Zabezpečení ve službě Azure Cosmos DB – Přehled
platí pro: 
SQL api
rozhraní API Cassandra
Gremlin api
rozhraní API pro tabulky
Azure Cosmos DB api pro MongoDB
Tento článek popisuje osvědčené postupy zabezpečení databází a klíčové funkce, které nabízí služba Azure Cosmos DB a které pomáhají s ochranou před porušeními zabezpečení databází, jejich rozpoznáváním a reakcí na ně.
co je nového v Azure Cosmos DB zabezpečení
šifrování v klidovém umístění je teď k dispozici pro dokumenty a zálohy uložené v Azure Cosmos DB ve všech oblastech Azure. Šifrování v klidovém umístění se používá automaticky pro nové i stávající zákazníky v těchto oblastech. Není nutné nic konfigurovat. a získáte stejnou skvělou latenci, propustnost, dostupnost a funkčnost, stejně jako v případě, že máte na vědomí, že vaše data jsou bezpečná a zabezpečená pomocí šifrování v klidovém stavu. Data uložená ve vašem účtu Azure Cosmos se automaticky a hladce šifrují pomocí klíčů spravovaných microsoftem pomocí klíčů spravovaných službou. Volitelně můžete zvolit přidání druhé vrstvy šifrování s klíči, které spravujete pomocí zákaznických klíčů nebo CMK.
Návody zabezpečení databáze
Zabezpečení dat je sdílená odpovědnost mezi vámi, zákazníkem a vaším poskytovatelem databáze. V závislosti na tom, jaký poskytovatel databáze si zvolíte, se může změnit množství zodpovědnosti, které je třeba provést. Pokud zvolíte místní řešení, musíte poskytnout vše od ochrany koncových bodů až po fyzické zabezpečení vašeho hardwaru – což není jednoduchý úkol. pokud zvolíte poskytovatele cloudové databáze PaaS, jako je například Azure Cosmos DB, vaše oblast obav se podstatně zmenší. následující obrázek, který se vypůjčil ze sdílených odpovědností microsoftu za Cloud Computing , ukazuje, jak se vaše zodpovědnost sníží s poskytovatelem PaaS, jako Azure Cosmos DB.
Předchozí diagram ukazuje komponenty cloudového zabezpečení na vysoké úrovni, ale jaké položky si musíte zabývat konkrétně pro vaše databázové řešení? A jak můžete porovnat řešení mezi sebou?
Doporučujeme následující kontrolní seznam požadavků, na které se mají porovnat databázové systémy:
- Nastavení zabezpečení sítě a brány firewall
- Ověřování uživatelů a jemně odstupňované uživatelské ovládací prvky
- Možnost globálně replikovat data pro regionální selhání
- Možnost převzetí služeb při selhání z jednoho datového centra na jiný
- Replikace místních dat v datovém centru
- Automatické zálohování dat
- Obnovení odstraněných dat ze zálohy
- Chraňte a izolujte citlivá data
- Monitorování útoků
- Reakce na útoky
- Schopnost omezit geografickou ochrannou data na dodržování omezení zásad správného řízení dat
- Fyzická ochrana serverů v chráněných datových centrech
- Certifikace
I když se to může zdát zřejmé, nedávné nepostradatelné porušení databáze nám připomínat jednoduché, ale kritické důležitosti následujících požadavků:
- Aktualizované servery, které jsou v aktuálním stavu
- HTTPS ve výchozím nastavení/šifrování TLS
- Účty pro správu se silnými hesly
jak aplikace Azure Cosmos DB zabezpečit moji databázi
pojďme se podívat na předchozí seznam – kolik těchto požadavků na zabezpečení Azure Cosmos DB poskytnout? Každé jedno.
Pojďme se na každou z nich dig podrobněji.
| Požadavek zabezpečení | přístup k zabezpečení Azure Cosmos DB |
|---|---|
| Zabezpečení sítě | Použití brány firewall protokolu IP je první vrstvou ochrany pro zabezpečení vaší databáze. Azure Cosmos DB podporuje řízení přístupu na základě protokolu IP, která jsou řízená pomocí zásad pro podporu brány firewall. řízení přístupu na základě IP adresy se podobá pravidlům brány firewall používaným tradičními databázovými systémy, ale rozbalí se, aby byl účet databáze Azure Cosmos dostupný jenom ze schválené sady počítačů nebo cloudových služeb. další informace najdete v článku o podpoře Azure Cosmos DB brány firewall . Azure Cosmos DB vám umožní povolit konkrétní IP adresu (168.61.48.0), rozsah ip adres (168.61.48.0/8) a kombinace ip adres a rozsahů. všechny požadavky pocházející z počítačů mimo tento seznam povolených jsou blokované Azure Cosmos DB. Požadavky ze schválených počítačů a cloudových služeb pak musí dokončit proces ověřování, aby bylo možné k prostředkům udělit řízení přístupu. značky služby virtuální sítě můžete použít k zajištění izolace sítě a ochraně vašich Azure Cosmos DBch prostředků z obecného internetového prostředí. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureCosmosDB) v příslušném zdrojovém nebo cílovém poli pravidla můžete povolit nebo odepřít provoz pro příslušnou službu. |
| Autorizace | Azure Cosmos DB pro autorizaci používá algoritmus HMAC (hash-based message authentication code). každý požadavek má pomocí klíče tajného účtu hodnotu hash a při každém volání Azure Cosmos DB se pošle následná hodnota hash kódovaná pomocí základního-64. pro ověření žádosti služba Azure Cosmos DB používá správný tajný klíč a vlastnosti k vygenerování hodnoty hash, a pak porovná hodnotu s hodnotou v žádosti. Pokud se dvě hodnoty shodují, operace se úspěšně autorizuje a zpracuje se. v opačném případě dojde k chybě autorizace a žádost se odmítne. Můžete použít buď primární klíč, nebo token prostředku , který umožňuje jemně odstupňovaný přístup k prostředku, jako je například dokument. další informace najdete v zabezpečení přístupu k prostředkům Azure Cosmos DB. |
| Uživatelé a oprávnění | Pomocí primárního klíče pro účet můžete vytvořit prostředky uživatelů a prostředky oprávnění na databázi. Token prostředku je přidružen k oprávnění v databázi a určuje, zda má uživatel přístup k prostředku aplikace v databázi (čtení i zápis, jen pro čtení nebo bez přístupu). Mezi prostředky aplikace patří kontejner, dokumenty, přílohy, uložené procedury, triggery a UDF. Token prostředku se pak při ověřování použije k poskytnutí nebo zamítnutí přístupu k prostředku. další informace najdete v zabezpečení přístupu k prostředkům Azure Cosmos DB. |
| Integrace služby Active Directory (Azure RBAC) | pomocí řízení přístupu (IAM) v Azure Portal můžete také poskytnout nebo omezit přístup k Cosmosmu účtu, databázi, kontejneru a nabídkám (propustnost). IAM poskytuje řízení přístupu na základě role a integruje se se službou Active Directory. Můžete použít předdefinované role nebo vlastní role pro jednotlivce a skupiny. Další informace najdete v článku věnovaném integraci služby Active Directory . |
| Globální replikace | Azure Cosmos DB nabízí globální distribuci klíč, která umožňuje replikovat data do libovolného datacentra Azure v celém světě pomocí kliknutí na tlačítko. Globální replikace umožňuje horizontální škálování a přístup k datům po celém světě a zajišťuje tak přístup s nízkou latencí. Globální replikace v souvislosti se zabezpečením zajišťuje ochranu dat před místními chybami. Další informace najdete v části Globální distribuce dat. |
| Místní převzetí služeb při selhání | pokud jste svá data replikoval ve více než jednom datovém centru, Azure Cosmos DB se automaticky převezmou na vaše operace, aby místní datové centrum bylo online. Seznam oblastí převzetí služeb při selhání můžete vytvořit pomocí oblastí, ve kterých se vaše data replikují. další informace najdete v oblasti místní převzetí služeb při selhání v Azure Cosmos DB. |
| Místní replikace | i v rámci jednoho datového centra Azure Cosmos DB automaticky replikuje data pro zajištění vysoké dostupnosti, což vám umožní vybrat si úrovně konzistence. Tato replikace garantuje smlouvu SLA 99,99% dostupnosti pro všechny účty v jedné oblasti a všechny účty ve více oblastech s odlehčenou konzistencí a 99,999% dostupností pro všechny účty databáze ve více oblastech. |
| Automatizované online zálohování | databáze Azure Cosmos se pravidelně zálohují a ukládají se v geograficky redundantním úložišti. další informace najdete v automatickém online zálohování a obnovení pomocí Azure Cosmos DB. |
| Obnovení odstraněných dat | Automatické zálohování online lze použít k obnovení dat, která jste pravděpodobně omylem odstranili až do 30 dnů od události. další informace najdete v automatickém online zálohování a obnovení pomocí Azure Cosmos DB |
| Chraňte a izolujte citlivá data | Všechna data v oblastech uvedených v části Co je nového? je teď zašifrovaný v klidovém stavu. Osobní údaje a další důvěrné údaje mohou být izolované na konkrétního kontejneru a přístup pro čtení i zápis, nebo jen pro čtení, mohou být omezeny na konkrétní uživatele. |
| Monitorování útoků | Pomocí protokolu auditu a protokolů aktivitmůžete monitorovat účet pro normální a neobvyklé aktivity. Můžete si prohlédnout, jaké operace byly provedeny na vašich prostředcích, kteří operaci zahájili, kdy k operaci došlo, na stavu operace a mnohem více, jak je znázorněno na snímku obrazovky, který následuje v této tabulce. |
| Reakce na útoky | Po kontaktování podpory Azure za účelem nahlášení potenciálního útoku se aktivuje proces reakce na případ 5 kroků. Cílem procesu 5 kroků je obnovit normální zabezpečení a provoz služeb co nejrychleji po zjištění problému a spuštění šetření. další informace najdete v Microsoft Azure odpovědi na zabezpečení v cloudu. |
| Geografické oplocení | Azure Cosmos DB zajišťuje zásady správného řízení dat pro oblasti svrchovan (například německo, čína, US Gov). |
| Chráněná zařízení | data v Azure Cosmos DB se ukládají na ssd v chráněných datových centrech Azure. Další informace najdete v globálním datacentru Microsoftu . |
| Šifrování HTTPS/SSL/TLS | všechna připojení k Azure Cosmos DB podporují protokol HTTPS. Azure Cosmos DB podporuje také protokol TLS 1,2. Je možné vyhovět minimální verzi TLS na straně serveru. Uděláte to tak, že otevřete lístek podpory Azure. |
| Šifrování neaktivních uložených dat | všechna data uložená v Azure Cosmos DB jsou v klidovém stavu šifrovaná. další informace najdete v Azure Cosmos DB šifrování v klidovém umístění . |
| Opravené servery | jako spravovaná databáze Azure Cosmos DB eliminuje nutnost spravovat a opravovat servery, které jsou pro vás hotové, automaticky. |
| Účty pro správu se silnými hesly | je těžké se domnívat, že tento požadavek potřebujeme, ale na rozdíl od některých z našich konkurence není možné mít účet správce bez hesla v Azure Cosmos DB. Zabezpečení prostřednictvím ověřování TLS a tajného klíče HMAC je ve výchozím nastavení vloženými. |
| Certifikace zabezpečení a ochrany dat | Nejaktuálnější seznam certifikací najdete na celkovém webu dodržování předpisů Azure a v nejnovějším dokumentu o dodržování předpisů Azure všemi certifikacemi (vyhledejte Cosmos). Další informace najdete v tématu 25. dubna 2018 post [Azure #CosmosDB: Secure, Private, splňující předpisy, která zahrnuje SOC 1/2 Type 2, HITRUST, PCI DSS Level 1, ISO 27001, HIPAA, FedRAMP High a spoustu dalších. |
následující snímek obrazovky ukazuje, jak můžete pomocí protokolu auditu a protokolů aktivit monitorovat svůj účet:
Primární a sekundární klíče
Primární a sekundární klíč poskytují přístup ke všem prostředkům správy pro účet databáze. Primární a sekundární klíč:
- Poskytněte přístup k účtům, databázím, uživatelům a oprávněním.
- Nelze použít k poskytnutí podrobného přístupu k kontejnerům a dokumentům.
- Se vytvoří během vytváření účtu.
- Může být kdykoli znovu vygenerována.
Každý účet se skládá ze dvou klíčů: primárního a sekundárního klíče. Účelem duálních klíčů je, abyste mohli znovu vygenerovat nebo obnovit klíče a zajistit tak nepřetržitý přístup k vašemu účtu a datům.
Primární a sekundární klíč přicházejí ve dvou verzích: čtení i zápis a jen pro čtení. Klíče jen pro čtení umožňují pouze operace čtení u účtu, ale neposkytují přístup k prostředkům oprávnění ke čtení.
Střídání klíčů a obnovení
Proces střídání a obnovování klíčů je jednoduchý. nejdřív se ujistěte, že je vaše aplikace konzistentně k účtu Azure Cosmos DB k pro přístup pomocí primárního klíče nebo sekundárního klíče . Pak postupujte podle kroků uvedených níže. Informace o monitorování účtu pro aktualizace klíčů a generování klíčů najdete v článku monitorování aktualizací klíčů pomocí metrik a výstrah .
- SQL API
- Rozhraní API služby Azure Cosmos DB pro MongoDB
- Rozhraní Cassandra API
- Rozhraní Gremlin API
- Rozhraní Table API
Pokud vaše aplikace aktuálně používá primární klíč
v Azure Portal přejděte na svůj účet Azure Cosmos DB.
V nabídce vlevo vyberte klíče a potom vyberte znovu vygenerovat sekundární klíč ze tří teček na pravé straně sekundárního klíče.
ověřte, že nový sekundární klíč funguje konzistentně proti vašemu Azure Cosmos DBmu účtu. opakované generování klíče může trvat několik hodin v závislosti na velikosti Cosmos DB účtu.
Nahraďte primární klíč sekundárním klíčem ve vaší aplikaci.
Vraťte se na Azure Portal a aktivujte obnovení primárního klíče.
Pokud vaše aplikace aktuálně používá sekundární klíč
v Azure Portal přejděte na svůj účet Azure Cosmos DB.
V nabídce vlevo vyberte klíče a potom vyberte znovu vygenerovat primární klíč ze tří teček na pravé straně primárního klíče.
ověřte, že nový primární klíč funguje konzistentně s vaším účtem Azure Cosmos DB. opakované generování klíče může trvat několik hodin v závislosti na velikosti Cosmos DB účtu.
Nahraďte sekundární klíč primárním klíčem ve vaší aplikaci.
Vraťte se na Azure Portal a aktivujte vygenerování sekundárního klíče.
Sledovat stav opětovného generování klíče
Po otočení nebo opětovném vygenerování klíče můžete jeho stav sledovat z protokolu aktivit. Stav můžete sledovat pomocí následujících kroků:
přihlaste se k Azure Portal a přejděte k účtu Azure Cosmos DB.
Otevřete podokno Protokol aktivit a nastavte následující filtry:
- nastavte typ prostředku na Azure Cosmos DB účty.
- Nastavte operaci pro otočení klíčů.
Měli byste vidět, jak klíč znovu vygeneroval události spolu se stavem, čas, kdy byla operace vydaná, a podrobnosti uživatele, který inicioval vygenerování klíče. Operace generování klíče se inicializuje se stavem přijato , pak se změní na zahájeno a potom na úspěch po dokončení operace.
Další kroky
další informace o primárních klíčích a tokenech prostředků najdete v tématu zabezpečení přístupu k Azure Cosmos DB dat.
další informace o protokolování auditu najdete v tématu Azure Cosmos DB protokolování diagnostiky.
Další informace o certifikaci Microsoftu najdete v tématu Centrum zabezpečení Azure.