Biztonság az Azure Cosmos DB-ben – Áttekintés

A KÖVETKEZŐKRE VONATKOZIK: SQL API Cassandra API Gremlin API Table API Azure Cosmos DB API for MongoDB

Ez a cikk az Azure Cosmos DB által az adatbázis feltörésének megakadályozása, észlelése és kezelése érdekében biztosított adatbázis-biztonsági ajánlott eljárásokat és fő funkciókat írja le.

Az Azure Cosmos DB biztonságának újdonságai

Az inaktív adatok titkosítása mostantól minden Azure-régióban elérhető az Azure Cosmos DB-ben tárolt dokumentumokhoz és biztonsági másolatokhoz. A rendszer automatikusan alkalmazza az inaktív titkosítást az új és a meglévő ügyfelekre is ezekben a régiókban. Nincs szükség semmi konfigurálására; és ugyanolyan nagy késést, átviteli sebességet, rendelkezésre állást és funkciókat kap, mint korábban, azzal az előnnyel, hogy az inaktív adatok biztonságosak és biztonságosak. Az Azure Cosmos-fiókban tárolt adatok automatikusan és zökkenőmentesen titkosítva lesznek a Microsoft által szolgáltatás által felügyelt kulcsokkal. Igény szerint hozzáadhat egy második titkosítási réteget is, amely az ügyfél által felügyelt kulcsokkal vagy CMK-val kezeli a kulcsokat.

az adatbázis védelme Hogyan

Az adatbiztonság az Ön, az ügyfél és az adatbázis-szolgáltató közös felelőssége. A választott adatbázis-szolgáltatótól függően a felelősség mértéke változhat. Ha helyszíni megoldást választ, mindent meg kell adnia a végpontok védelmétől a hardver fizikai biztonságán át , ami nem egyszerű feladat. Ha PaaS-felhőadatbázis-szolgáltatót választ, például az Azure Cosmos DB-t, a problémás terület jelentősen csökken. A Microsoft Megosztott felelősségek a felhőalapú számítástechnikával kapcsolatos tanulmányából kölcsönzött alábbi kép bemutatja, hogyan csökken az Ön felelőssége egy PaaS-szolgáltatóval, például az Azure Cosmos DB-vel.

Az előző ábrán a magas szintű felhőbiztonsági összetevők láthatók, de milyen elemek miatt kell különösen az adatbázis-megoldás miatt aggódnia? És hogyan lehet összehasonlítani a megoldásokat egymással?

A következő ellenőrzőlistát javasoljuk az adatbázisrendszerek összehasonlítására vonatkozó követelményekről:

• Hálózati biztonsági és tűzfalbeállítások
• Felhasználói hitelesítés és részletes felhasználói vezérlők
• Az adatok globális replikálásának képessége regionális hibák esetén
• Feladatátvétel lehetősége az egyik adatközpontból a másikba
• Helyi adatreplikálás egy adatközpontban
• Automatikus adatmentések
• Törölt adatok visszaállítása biztonsági másolatokból
• Bizalmas adatok védelme és elkülönítése
• Támadások monitorozása
• Reagálás a támadásokra
• Adatok geokerítésének képessége az adatszabályozási korlátozások betartásához
• Kiszolgálók fizikai védelme védett adatközpontokban
• Tanúsítványok

És bár nyilvánvalónak tűnhet, a legutóbbi nagy léptékű adatbázis-incidensek emlékeztetnek minket a következő követelmények egyszerű, de kritikus fontosságára:

• Naprakészen tartott javított kiszolgálók
• HTTPS alapértelmezés szerint/TLS-titkosítás
• Erős jelszóval rendelkező rendszergazdai fiókok

Hogyan védi az Azure Cosmos DB az adatbázist?

Tekintsük át az előző listát – hány ilyen biztonsági követelményt biztosít az Azure Cosmos DB? Minden egyes.

Vizsgáljuk meg őket részletesen.

Biztonsági követelmények	Az Azure Cosmos DB biztonsági megközelítése
Hálózati biztonság	Az IP-tűzfal használata az adatbázis védelmének első védelmi rétege. Az Azure Cosmos DB támogatja a házirendalapú IP-alapú hozzáférés-vezérlést a bejövő tűzfalak támogatásához. Az IP-alapú hozzáférés-vezérlők hasonlóak a hagyományos adatbázisrendszerek által használt tűzfalszabályokhoz, de ki vannak bővítve, így az Azure Cosmos-adatbázisfiókok csak jóváhagyott gépekről vagy felhőszolgáltatásokból érhetők el. További információ az Azure Cosmos DB tűzfaltámogatási cikkében. Az Azure Cosmos DB lehetővé teszi egy adott IP-cím (168.61.48.0), egy IP-címtartomány (168.61.48.0/8) és IP-címek és tartományok kombinációjának engedélyezését. Az Azure Cosmos DB az engedélyezett listán kívüli gépekről érkező összes kérést letiltja. A jóváhagyott gépektől és felhőszolgáltatásoktól érkező kéréseknek ezután végre kell hajtaniuk a hitelesítési folyamatot, hogy hozzáférés-vezérlést kapjanak az erőforrásokhoz. A virtuális hálózati szolgáltatáscímkék használatával hálózatelkülönítést érhet el, és megvédheti Azure Cosmos DB-erőforrásait az általános internettől. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha egy szabály megfelelő forrás- vagy célmezőjében megadja a szolgáltatáscímke nevét (például AzureCosmosDB), engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
Engedélyezés	Az Azure Cosmos DB kivonatalapú üzenethitelesítési kódot (HMAC) használ az engedélyezéshez. Minden kérés kivonatolása a titkos fiókkulcs használatával történik, és a rendszer minden egyes hívással elküldi a base-64 kódolású kivonatot az Azure Cosmos DB-nek. A kérés érvényesítéséhez az Azure Cosmos DB szolgáltatás a megfelelő titkos kulcsot és tulajdonságokat használja a kivonat létrehozásához, majd összehasonlítja az értéket a kérelemben szereplővel. Ha a két érték megegyezik, a művelet sikeresen engedélyezve van, és a kérelem feldolgozása történik, ellenkező esetben engedélyezési hiba történik, és a kérés el lesz utasítva. Használhat elsődleges kulcsot vagy erőforrás-jogkivonatot is, amely részletes hozzáférést tesz lehetővé egy erőforráshoz, például egy dokumentumhoz. További információ az Azure Cosmos DB-erőforrásokhoz való hozzáférés biztosításáról.
Felhasználók és engedélyek	A fiók elsődleges kulcsával adatbázisonként hozhat létre felhasználói erőforrásokat és engedélyerőforrásokat. Az erőforrás-jogkivonat egy adatbázis engedélyéhez van társítva, és meghatározza, hogy a felhasználó rendelkezik-e hozzáféréssel (írásvédett, írásvédett vagy nincs hozzáférés) az adatbázis alkalmazás-erőforrásához. Az alkalmazás-erőforrások közé tartoznak a tárolók, a dokumentumok, a mellékletek, a tárolt eljárások, az eseményindítók és az UDF-ek. Ezt követően a rendszer az erőforrás-jogkivonatot használja a hitelesítés során az erőforráshoz való hozzáférés biztosításához vagy megtagadásához. További információ az Azure Cosmos DB-erőforrásokhoz való hozzáférés biztosításáról.
Active Directory-integráció (Azure RBAC)	A Cosmos-fiókhoz, -adatbázishoz, -tárolóhoz és -ajánlatokhoz (átviteli sebesség) a Hozzáférés-vezérlés (IAM) használatával is biztosíthatja vagy korlátozhatja a hozzáférést a Azure Portal. Az IAM szerepköralapú hozzáférés-vezérlést biztosít, és integrálható az Active Directoryval. A beépített szerepköröket és egyéni szerepköröket egyéni felhasználók és csoportok számára is használhatja. További információt az Active Directory integrációs cikkében talál.
Globális replikáció	Az Azure Cosmos DB kulcsrakész globális disztribúciót kínál, amely lehetővé teszi az adatok replikálását az Azure világszintű adatközpontjaiba egy gombnyomással. A globális replikáció lehetővé teszi a globális skálázást, és alacsony késésű hozzáférést biztosít az adatokhoz világszerte. A biztonság szempontjából a globális replikáció biztosítja a regionális hibák elleni adatvédelmet. További információ: Globális adatterjesztés.
Régiónkénti feladatátvétel	Ha több adatközpontban replikálta az adatokat, az Azure Cosmos DB automatikusan átgörgeti a műveleteket, ha egy regionális adatközpont offline állapotba kerül. A feladatátvételi régiók rangsorolt listáját azokat a régiókat használva hozhatja létre, amelyekben az adatok replikálva lesznek. További információ a regionális feladatátvételekről az Azure Cosmos DB-ben.
Helyi replikáció	Az Azure Cosmos DB még egyetlen adatközponton belül is automatikusan replikálja az adatokat a magas rendelkezésre állás érdekében, így kiválaszthatja a konzisztenciaszinteket. Ez a replikáció 99,99%-os rendelkezésre állási SLA-t garantál az összes egyrégiós fiókhoz és az összes többrégiós fiókhoz, és 99,999%-os olvasási rendelkezésre állást biztosít az összes többrégiós adatbázisfiókon.
Automatikus online biztonsági mentések	Az Azure Cosmos-adatbázisokról rendszeresen biztonsági másolatot készítünk, és egy georedundáns tárolóban tároljuk. További információ az Automatikus online biztonsági mentésről és visszaállításról az Azure Cosmos DB-vel.
Törölt adatok visszaállítása	Az automatikus online biztonsági mentések az esemény után akár 30 nappal a véletlenül törölt adatok helyreállítására is használhatók. További információ az automatikus online biztonsági mentésről és visszaállításról az Azure Cosmos DB-vel
Bizalmas adatok védelme és elkülönítése	Az újdonságok között felsorolt régiók összes adata A mostantól inaktív állapotban van titkosítva. A személyes adatok és egyéb bizalmas adatok elkülöníthetők egy adott tárolóhoz, és írási-olvasási, illetve írásvédett hozzáférések adott felhasználókra korlátozhatók.
Támadások monitorozása	Az auditnaplók és a tevékenységnaplók használatával figyelheti a fiókját a normál és rendellenes tevékenységekre. Megtekintheti, hogy milyen műveleteket hajtottak végre az erőforrásokon, ki kezdeményezte a műveletet, mikor történt a művelet, milyen állapotban volt a művelet, és még sok mást, ahogyan az alábbi táblázat képernyőképén látható.
Reagálás a támadásokra	Miután felvette a kapcsolatot Azure-támogatás egy lehetséges támadás bejelentéséhez, elindul egy ötlépéses incidenskezelési folyamat. Az 5 lépésből álló folyamat célja, hogy a probléma észlelése és a vizsgálat megkezdése után a lehető leggyorsabban visszaállítsa a normál szolgáltatásbiztonságot és -műveleteket. További információ a Microsoft Azure felhőbeli biztonsági válaszában.
Geokerítés	Az Azure Cosmos DB biztosítja a szuverén régiók (például Németország, Kína, US Gov) adatirányítását.
Védett létesítmények	Az Azure Cosmos DB-ben lévő adatokat az Azure védett adatközpontjaiban lévő SSD-k tárolják. További információ a Microsoft globális adatközpontjaiban
HTTPS/SSL/TLS-titkosítás	Az Azure Cosmos DB-hez csatlakozó összes kapcsolat támogatja a HTTPS-t. Az Azure Cosmos DB legfeljebb 1,3 TLS-szinteket támogat (beleértve). A minimális TLS-szintű kiszolgálóoldal kényszeríthető. Ehhez nyisson meg egy Azure-támogatás jegyet.
Titkosítás inaktív állapotban	Az Azure Cosmos DB-ben tárolt összes adat titkosítva van. További információ az inaktív Azure Cosmos DB-titkosításról
Javított kiszolgálók	Felügyelt adatbázisként az Azure Cosmos DB szükségtelenné teszi a kiszolgálók automatikus kezelését és javítását.
Erős jelszóval rendelkező rendszergazdai fiókok	Nehéz elhinni, hogy még ezt a követelményt is meg kell említenünk, de néhány versenytársunkkal ellentétben nem lehet olyan rendszergazdai fiókkal rendelkezni, amely nem rendelkezik jelszóval az Azure Cosmos DB-ben. A TLS- és HMAC-alapú titkos hitelesítésen keresztüli biztonság alapértelmezés szerint be van kapcsolva.
Biztonsági és adatvédelmi tanúsítványok	A tanúsítványok legfrissebb listájáért tekintse meg a teljes Azure-megfelelőségi webhelyet , valamint a legújabb Azure megfelelőségi dokumentumot az összes tanúsítvánnyal (keressen rá a Cosmosra).

Az alábbi képernyőkép bemutatja, hogyan használhatja az auditnaplózást és a tevékenységnaplókat a fiók monitorozásához:

Elsődleges/másodlagos kulcsok

Az elsődleges/másodlagos kulcsok hozzáférést biztosítanak az adatbázisfiók összes felügyeleti erőforrásához. Elsődleges/másodlagos kulcsok:

• Hozzáférés biztosítása fiókokhoz, adatbázisokhoz, felhasználókhoz és engedélyekhez.
• Nem használható tárolók és dokumentumok részletes elérésére.
• A fiók létrehozásakor jönnek létre.
• Bármikor újra létrehozható.

Minden fiók két kulcsból áll: egy elsődleges és egy másodlagos kulcsból. A kettős kulcsok célja, hogy újragenerálhassa vagy összesítse a kulcsokat, és folyamatos hozzáférést biztosítson a fiókjához és adataihoz.

Az elsődleges/másodlagos kulcsok két verzióban érhetőek el: írásvédett és írásvédett. A csak olvasható kulcsok csak olvasási műveleteket tesznek lehetővé a fiókon, de nem biztosítanak hozzáférést az olvasási engedélyekkel kapcsolatos erőforrásokhoz.

Kulcsrotálás és -újragenerálás

A kulcsrotálás és -újragenerálás folyamata egyszerű. Először győződjön meg arról, hogy az alkalmazás konzisztensen használja az elsődleges kulcsot vagy a másodlagos kulcsot az Azure Cosmos DB-fiók eléréséhez. Ezután kövesse az alábbi lépéseket. A kulcsfrissítések és kulcsok újragenerálásának figyeléséhez tekintse meg a kulcsfrissítések figyelését metrikákkal és riasztásokkal foglalkozó cikket.

SQL API

Ha az alkalmazás jelenleg az elsődleges kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd a másodlagos kulcs jobb oldalán található három pontból válassza a Másodlagos kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új másodlagos kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le az elsődleges kulcsot az alkalmazás másodlagos kulcsára.

5. Vissza a Azure Portal, és aktiválja az elsődleges kulcs újragenerálását.

   

Ha az alkalmazás jelenleg a másodlagos kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd az elsődleges kulcs jobb oldalán található három pontból válassza az Elsődleges kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új elsődleges kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le a másodlagos kulcsot az alkalmazás elsődleges kulcsára.

5. Vissza a Azure Portal, és aktiválja a másodlagos kulcs újragenerálását.

   

MongoDB-hez készült Azure Cosmos DB API

Ha az alkalmazás jelenleg az elsődleges kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd a másodlagos jelszó jobb oldalán található három pontból válassza a Jelszó újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új másodlagos kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le az elsődleges kulcsot az alkalmazás másodlagos kulcsára.

5. Vissza a Azure Portal, és aktiválja az elsődleges kulcs újragenerálását.

   

Ha az alkalmazás jelenleg a másodlagos kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd az elsődleges jelszó jobb oldalán található három pontból válassza a Jelszó újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új elsődleges kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le a másodlagos kulcsot az alkalmazás elsődleges kulcsára.

5. Vissza a Azure Portal, és aktiválja a másodlagos kulcs újragenerálását.

   

Cassandra API

Ha az alkalmazás jelenleg az elsődleges kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd a másodlagos jelszó jobb oldalán található három pontból válassza a Másodlagos Read-Write jelszó újbóli létrehozása lehetőséget.

   

3. Ellenőrizze, hogy az új másodlagos kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le az elsődleges kulcsot az alkalmazás másodlagos kulcsára.

5. Vissza a Azure Portal, és aktiválja az elsődleges kulcs újragenerálását.

   

Ha az alkalmazás jelenleg a másodlagos kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd az elsődleges jelszó jobb oldalán található három pontból válassza az Elsődleges Read-Write jelszó újbóli létrehozása lehetőséget.

   

3. Ellenőrizze, hogy az új elsődleges kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le a másodlagos kulcsot az alkalmazás elsődleges kulcsára.

5. Vissza a Azure Portal, és aktiválja a másodlagos kulcs újragenerálását.

   

Gremlin API

Ha az alkalmazás jelenleg az elsődleges kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd a másodlagos kulcs jobb oldalán található három pontból válassza a Másodlagos kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új másodlagos kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le az elsődleges kulcsot az alkalmazás másodlagos kulcsára.

5. Vissza a Azure Portal, és aktiválja az elsődleges kulcs újragenerálását.

   

Ha az alkalmazás jelenleg a másodlagos kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kulcsok lehetőséget, majd az elsődleges kulcs jobb oldalán található három pontból válassza az Elsődleges kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új elsődleges kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le a másodlagos kulcsot az alkalmazás elsődleges kulcsára.

5. Vissza a Azure Portal, és aktiválja a másodlagos kulcs újragenerálását.

   

Table API

Ha az alkalmazás jelenleg az elsődleges kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd a másodlagos kulcs jobb oldalán található három pontból válassza a Másodlagos kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új másodlagos kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le az elsődleges kulcsot az alkalmazás másodlagos kulcsára.

5. Vissza a Azure Portal, és aktiválja az elsődleges kulcs újragenerálását.

   

Ha az alkalmazás jelenleg a másodlagos kulcsot használja

1. Lépjen az Azure Cosmos DB-fiókjához a Azure Portal.

2. A bal oldali menüben válassza a Kapcsolati sztring lehetőséget, majd az elsődleges kulcs jobb oldalán található három pontból válassza az Elsődleges kulcs újragenerálása lehetőséget.

   

3. Ellenőrizze, hogy az új elsődleges kulcs konzisztensen működik-e az Azure Cosmos DB-fiókkal. A kulcsok újragenerálása a Cosmos DB-fiók méretétől függően akár egy perctől akár több óráig is eltarthat.

4. Cserélje le a másodlagos kulcsot az alkalmazás elsődleges kulcsára.

5. Vissza a Azure Portal, és aktiválja a másodlagos kulcs újragenerálását.

   

Kulcsregenerálás állapotának nyomon követése

Miután elforgatott vagy újragenerált egy kulcsot, nyomon követheti az állapotát a tevékenységnaplóból. Az állapot nyomon követéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be a Azure Portal, és lépjen az Azure Cosmos DB-fiókjához.

2. Nyissa meg a Tevékenységnapló panelt, és állítsa be a következő szűrőket:

   • Állítsa az erőforrástípustAzure Cosmos DB-fiókokra.
   • Állítsa a műveleteta kulcsok elforgatására.

   

3. Látnia kell a kulcs-újragenerálási eseményeket, valamint az állapotát, a művelet kiadásának időpontját, a kulcs-újragenerálást kezdeményező felhasználó adatait. A kulcslétrehozási művelet elfogadott állapotban indul el, majd a művelet befejezésekor Elindítva , majd Sikeresre változik.

Következő lépések

További információ az elsődleges kulcsokról és az erőforrás-jogkivonatokról: Az Azure Cosmos DB-adatokhoz való hozzáférés biztonságossá tétele.

A naplózással kapcsolatos további információkért lásd az Azure Cosmos DB diagnosztikai naplózását.

A Microsoft-minősítésekkel kapcsolatos további információkért lásd az Azure Adatvédelmi központot.