Säkerhet i Azure Cosmos DB – översiktSecurity in Azure Cosmos DB - overview

GÄLLER för: SQL API API för Cassandra Gremlin API tabell-API Azure Cosmos DB API för MongoDB

I den här artikeln beskrivs metodtips för databassäkerhet och viktiga funktioner som erbjuds av Azure Cosmos DB som hjälper dig att förhindra, identifiera och reagera på databasintrång.This article discusses database security best practices and key features offered by Azure Cosmos DB to help you prevent, detect, and respond to database breaches.

Vad är nytt i Azure Cosmos DB säkerhetWhat's new in Azure Cosmos DB security

Kryptering i vila är nu tillgängligt för dokument och säkerhets kopior som lagras i Azure Cosmos DB i alla Azure-regioner.Encryption at rest is now available for documents and backups stored in Azure Cosmos DB in all Azure regions. Kryptering i vila tillämpas automatiskt för både nya och befintliga kunder i dessa regioner.Encryption at rest is applied automatically for both new and existing customers in these regions. Du behöver inte konfigurera något. och du får samma svars tid, data flöde, tillgänglighet och funktionalitet som innan fördelarna med att veta hur dina data är säkra och är säkra med kryptering i vila.There is no need to configure anything; and you get the same great latency, throughput, availability, and functionality as before with the benefit of knowing your data is safe and secure with encryption at rest.

Hur gör jag för att skydda min databasHow do I secure my database

Data säkerhet är ett delat ansvar mellan dig, kunden och din databas leverantör.Data security is a shared responsibility between you, the customer, and your database provider. Beroende på vilken databas leverantör du väljer kan du variera mängden ansvar som du bär.Depending on the database provider you choose, the amount of responsibility you carry can vary. Om du väljer en lokal lösning måste du ge allt från slut punkts skydd till fysisk säkerhet för din maskin vara, vilket inte är enkelt.If you choose an on-premises solution, you need to provide everything from end-point protection to physical security of your hardware - which is no easy task. Om du väljer en moln databas leverantör för PaaS, till exempel Azure Cosmos DB, minskar ditt eget intresse avsevärt.If you choose a PaaS cloud database provider such as Azure Cosmos DB, your area of concern shrinks considerably. Följande bild, som lånas från Microsofts delade ansvar för molnbaserad data behandling White Paper, visar hur ditt ansvar minskar med en PaaS-provider som Azure Cosmos dB.The following image, borrowed from Microsoft's Shared Responsibilities for Cloud Computing white paper, shows how your responsibility decreases with a PaaS provider like Azure Cosmos DB.

Kund-och databas leverantörs ansvar

Föregående diagram visar moln säkerhets komponenter på hög nivå, men vilka objekt behöver du bekymra dig om specifikt för din databas lösning?The preceding diagram shows high-level cloud security components, but what items do you need to worry about specifically for your database solution? Och hur kan du jämföra lösningar med varandra?And how can you compare solutions to each other?

Vi rekommenderar följande check lista över krav för att jämföra databas system:We recommend the following checklist of requirements on which to compare database systems:

  • Inställningar för nätverks säkerhet och brand väggNetwork security and firewall settings
  • Användarautentisering och detaljerade användar kontrollerUser authentication and fine grained user controls
  • Möjlighet att replikera data globalt för regionala haverierAbility to replicate data globally for regional failures
  • Möjlighet att redundansväxla ett Data Center till ett annatAbility to fail over from one data center to another
  • Lokal datareplikering i ett Data CenterLocal data replication within a data center
  • Automatisk data säkerhets kopieringAutomatic data backups
  • Återställning av borttagna data från säkerhets kopiorRestoration of deleted data from backups
  • Skydda och isolera känsliga dataProtect and isolate sensitive data
  • Övervakning av attackerMonitoring for attacks
  • Svara på attackerResponding to attacks
  • Möjlighet att använda geo-stängsel för att följa data styrnings begränsningarAbility to geo-fence data to adhere to data governance restrictions
  • Fysiskt skydd av servrar i skyddade data CenterPhysical protection of servers in protected data centers
  • CertifieringarCertifications

Och även om det kan verka självklart kan den senaste storskaliga databasen påminna oss om den enkla men viktiga betydelsen av följande krav:And although it may seem obvious, recent large-scale database breaches remind us of the simple but critical importance of the following requirements:

  • Korrigerade servrar som hålls aktuellaPatched servers that are kept up-to-date
  • HTTPS som standard/TLS-krypteringHTTPS by default/TLS encryption
  • Administrativa konton med starka lösen ordAdministrative accounts with strong passwords

Hur skyddar Azure Cosmos DB databasenHow does Azure Cosmos DB secure my database

Nu ska vi gå tillbaka i föregående lista – hur många av dessa säkerhets krav Azure Cosmos DB tillhandahålla?Let's look back at the preceding list - how many of those security requirements does Azure Cosmos DB provide? Var och en.Every single one.

Låt oss titta närmare på var och en.Let's dig into each one in detail.

Säkerhets kravSecurity requirement Azure Cosmos DB säkerhets metodAzure Cosmos DB's security approach
NätverkssäkerhetNetwork security Att använda en IP-brandvägg är det första skydds lagret som skyddar din databas.Using an IP firewall is the first layer of protection to secure your database. Azure Cosmos DB stöder princip drivna IP-baserade åtkomst kontroller för inkommande brand Väggs stöd.Azure Cosmos DB supports policy driven IP-based access controls for inbound firewall support. IP-baserade åtkomst kontroller liknar de brand Väggs regler som används av traditionella databas system, men de expanderas så att ett Azure Cosmos Database-konto endast är tillgängligt från en godkänd uppsättning datorer eller moln tjänster.The IP-based access controls are similar to the firewall rules used by traditional database systems, but they are expanded so that an Azure Cosmos database account is only accessible from an approved set of machines or cloud services. Läs mer i artikeln om stöd för Azure Cosmos DB-brandvägg .Learn more in Azure Cosmos DB firewall support article.

Med Azure Cosmos DB kan du aktivera en speciell IP-adress (168.61.48.0), ett IP-intervall (168.61.48.0/8) och kombinationer av IP-adresser och intervall.Azure Cosmos DB enables you to enable a specific IP address (168.61.48.0), an IP range (168.61.48.0/8), and combinations of IPs and ranges.

Alla begär Anden som kommer från datorer utanför den här tillåtna listan blockeras av Azure Cosmos DB.All requests originating from machines outside this allowed list are blocked by Azure Cosmos DB. Begär Anden från godkända datorer och moln tjänster måste sedan slutföra autentiseringsprocessen för att få åtkomst kontroll till resurserna.Requests from approved machines and cloud services then must complete the authentication process to be given access control to the resources.

Du kan använda taggar för virtuella nätverks tjänster för att uppnå nätverks isolering och skydda dina Azure Cosmos DB resurser från det allmänna Internet.You can use virtual network service tags to achieve network isolation and protect your Azure Cosmos DB resources from the general Internet. Använd tjänst Taggar i stället för vissa IP-adresser när du skapar säkerhets regler.Use service tags in place of specific IP addresses when you create security rules. Genom att ange service tag-namnet (till exempel AzureCosmosDB) i lämpligt käll-eller mål fält för en regel kan du tillåta eller neka trafiken för motsvarande tjänst.By specifying the service tag name (for example, AzureCosmosDB) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service.
AuktoriseringAuthorization Azure Cosmos DB använder hash-baserad meddelande authentication code (HMAC) för auktorisering.Azure Cosmos DB uses hash-based message authentication code (HMAC) for authorization.

Varje begäran hashas med den hemliga konto nyckeln och den efterföljande bas-64-kodade hashen skickas med varje anrop till Azure Cosmos DB.Each request is hashed using the secret account key, and the subsequent base-64 encoded hash is sent with each call to Azure Cosmos DB. För att verifiera begäran använder tjänsten Azure Cosmos DB rätt hemliga nyckel och egenskaper för att generera en hash. Därefter jämförs värdet med det som finns i begäran.To validate the request, the Azure Cosmos DB service uses the correct secret key and properties to generate a hash, then it compares the value with the one in the request. Om de två värdena matchar, godkänns åtgärden korrekt och begäran bearbetas, annars uppstår ett auktoriseringsfel och begäran avvisas.If the two values match, the operation is authorized successfully and the request is processed, otherwise there is an authorization failure and the request is rejected.

Du kan antingen använda en primär nyckeleller en resurs-token som ger detaljerad åtkomst till en resurs, till exempel ett dokument.You can use either a primary key, or a resource token allowing fine-grained access to a resource such as a document.

Läs mer om hur du skyddar åtkomsten till Azure Cosmos DB resurser.Learn more in Securing access to Azure Cosmos DB resources.
Användare och behörigheterUsers and permissions Med hjälp av den primära nyckeln för kontot kan du skapa användar resurser och behörighets resurser per databas.Using the primary key for the account, you can create user resources and permission resources per database. En Resource-token är associerad med en behörighet i en databas och avgör om användaren har åtkomst (Read-Write, skrivskyddad eller ingen åtkomst) till en program resurs i databasen.A resource token is associated with a permission in a database and determines whether the user has access (read-write, read-only, or no access) to an application resource in the database. Program resurser omfattar behållare, dokument, bilagor, lagrade procedurer, utlösare och UDF: er.Application resources include container, documents, attachments, stored procedures, triggers, and UDFs. Resurs-token används sedan vid autentisering för att ge eller neka åtkomst till resursen.The resource token is then used during authentication to provide or deny access to the resource.

Läs mer om hur du skyddar åtkomsten till Azure Cosmos DB resurser.Learn more in Securing access to Azure Cosmos DB resources.
Active Directory-integrering (Azure RBAC)Active directory integration (Azure RBAC) Du kan också ange eller begränsa åtkomsten till Cosmos-kontot, databasen, behållaren och erbjudandena (genom strömning) med åtkomst kontroll (IAM) i Azure Portal.You can also provide or restrict access to the Cosmos account, database, container, and offers (throughput) using Access control (IAM) in the Azure portal. IAM tillhandahåller rollbaserad åtkomst kontroll och kan integreras med Active Directory.IAM provides role-based access control and integrates with Active Directory. Du kan använda inbyggda roller eller anpassade roller för enskilda användare och grupper.You can use built in roles or custom roles for individuals and groups. Mer information finns i Active Directory integrations artikeln.See Active Directory integration article for more information.
Global replikeringGlobal replication Azure Cosmos DB erbjuder nyckel färdig global distribution, vilket gör att du kan replikera dina data till någon av Azures världs omfattande data Center med ett klick på en knapp.Azure Cosmos DB offers turnkey global distribution, which enables you to replicate your data to any one of Azure's world-wide datacenters with the click of a button. Med global replikering kan du skala globalt och ge låg latens åtkomst till dina data runtom i världen.Global replication lets you scale globally and provide low-latency access to your data around the world.

I säkerhets kontexten säkerställer global replikering data skydd mot regionala haverier.In the context of security, global replication ensures data protection against regional failures.

Läs mer i Distribuera data globalt.Learn more in Distribute data globally.
Regionala redundanstestningarRegional failovers Om du har replikerat dina data i mer än ett Data Center, kan Azure Cosmos DB automatiskt gå över dina åtgärder om ett regionalt Data Center är offline.If you have replicated your data in more than one data center, Azure Cosmos DB automatically rolls over your operations should a regional data center go offline. Du kan skapa en prioriterad lista över växlings regioner med hjälp av de regioner där dina data replikeras.You can create a prioritized list of failover regions using the regions in which your data is replicated.

Läs mer i regional redundans i Azure Cosmos DB.Learn more in Regional Failovers in Azure Cosmos DB.
Lokal replikeringLocal replication I ett enda data Center replikerar Azure Cosmos DB automatiskt data för hög tillgänglighet och ger dig möjlighet att välja konsekvens nivåer.Even within a single data center, Azure Cosmos DB automatically replicates data for high availability giving you the choice of consistency levels. Den här replikeringen garanterar ett service avtal på 99,99% tillgänglighet för alla enkla region konton och alla konton med flera regioner med avslappnad konsekvens och 99,999% Läs tillgänglighet för alla databas konton i flera regioner.This replication guarantees a 99.99% availability SLA for all single region accounts and all multi-region accounts with relaxed consistency, and 99.999% read availability on all multi-region database accounts.
Automatiserade säkerhets kopieringar onlineAutomated online backups Azure Cosmos-databaser säkerhets kopie ras regelbundet och lagras i en Geo-redundant lagring.Azure Cosmos databases are backed up regularly and stored in a geo redundant store.

Läs mer i Automatisk säkerhets kopiering och återställning online med Azure Cosmos DB.Learn more in Automatic online backup and restore with Azure Cosmos DB.
Återställ borttagna dataRestore deleted data De automatiserade säkerhets kopieringarna kan användas för att återställa data som du kan ha tagit bort av misstag, upp till ~ 30 dagar efter händelsen.The automated online backups can be used to recover data you may have accidentally deleted up to ~30 days after the event.

Läs mer i Automatisk säkerhets kopiering och återställning online med Azure Cosmos DBLearn more in Automatic online backup and restore with Azure Cosmos DB
Skydda och isolera känsliga dataProtect and isolate sensitive data Alla data i de regioner som anges i vad är nytt? är nu krypterad i vila.All data in the regions listed in What's new? is now encrypted at rest.

Personliga data och andra konfidentiella data kan isoleras till en viss behållare och skriv-eller Läs behörighet kan begränsas till vissa användare.Personal data and other confidential data can be isolated to specific container and read-write, or read-only access can be limited to specific users.
Övervaka för attackerMonitor for attacks Genom att använda gransknings loggning och aktivitets loggarkan du övervaka ditt konto för normal och onormal aktivitet.By using audit logging and activity logs, you can monitor your account for normal and abnormal activity. Du kan se vilka åtgärder som utfördes på resurserna, som initierade åtgärden, när åtgärden utfördes, status för åtgärden och mycket mer som visas på skärm bilden efter den här tabellen.You can view what operations were performed on your resources, who initiated the operation, when the operation occurred, the status of the operation, and much more as shown in the screenshot following this table.
Svara på attackerRespond to attacks När du har kontaktat Azure-supporten för att rapportera en potentiell attack, startas en process med 5 stegs incident svar.Once you have contacted Azure support to report a potential attack, a 5-step incident response process is kicked off. Målet med en 5-stegs process är att återställa normala tjänst säkerhet och-åtgärder så snabbt som möjligt när ett problem har upptäckts och en undersökning har startats.The goal of the 5-step process is to restore normal service security and operations as quickly as possible after an issue is detected and an investigation is started.

Läs mer i Microsoft Azure säkerhets svar i molnet.Learn more in Microsoft Azure Security Response in the Cloud.
Geo-staketGeo-fencing Azure Cosmos DB garanterar data styrning för suveräna regioner (till exempel Tyskland, Kina, US Gov).Azure Cosmos DB ensures data governance for sovereign regions (for example, Germany, China, US Gov).
Skyddade anläggningarProtected facilities Data i Azure Cosmos DB lagras på SSD i Azures skyddade data Center.Data in Azure Cosmos DB is stored on SSDs in Azure's protected data centers.

Läs mer i Microsofts globala data CenterLearn more in Microsoft global datacenters
HTTPS/SSL/TLS-krypteringHTTPS/SSL/TLS encryption Alla anslutningar till Azure Cosmos DB stöd för HTTPS.All connections to Azure Cosmos DB support HTTPS. Azure Cosmos DB stöder även TLS 1,2.Azure Cosmos DB also supports TLS 1.2.
Det är möjligt att framtvinga en lägsta TLS-version på Server sidan.It is possible to enforce a minimum TLS version server-side. Om du vill göra det kontaktar du azurecosmosdbtls@service.microsoft.com .To do so, please contact azurecosmosdbtls@service.microsoft.com.
Kryptering i vilaEncryption at rest Alla data som lagras i Azure Cosmos DB krypteras i vila.All data stored into Azure Cosmos DB is encrypted at rest. Läs mer i Azure Cosmos DB kryptering i vilaLearn more in Azure Cosmos DB encryption at rest
Korrigerade servrarPatched servers Som en hanterad databas eliminerar Azure Cosmos DB behovet av att hantera och korrigera servrar, som du gör automatiskt.As a managed database, Azure Cosmos DB eliminates the need to manage and patch servers, that's done for you, automatically.
Administrativa konton med starka lösen ordAdministrative accounts with strong passwords Det är svårt att tro att vi ens behöver nämna detta krav, men till skillnad från några av våra konkurrenter är det omöjligt att ha ett administrativt konto utan lösen ord i Azure Cosmos DB.It's hard to believe we even need to mention this requirement, but unlike some of our competitors, it's impossible to have an administrative account with no password in Azure Cosmos DB.

Säkerhet via TLS och HMAC-baserad autentisering är bakade i som standard.Security via TLS and HMAC secret based authentication is baked in by default.
Säkerhets-och data skydds certifieringarSecurity and data protection certifications Den senaste listan över certifieringar finns i den övergripande Azure Compliance-webbplatsen samt det senaste Azure Compliance-dokumentet med alla certifieringar (Sök efter Cosmos).For the most up-to-date list of certifications see the overall Azure Compliance site as well as the latest Azure Compliance Document with all certifications (search for Cosmos). För en mer fokuserad läsning kolla den 25 april 2018 post [Azure #CosmosDB: säker, privat, kompatibel med SOCS 1/2 typ 2, HITRUST, PCI DSS nivå 1, ISO 27001, HIPAA, FedRAMP hög och många andra.For a more focused read check out the April 25, 2018 post [Azure #CosmosDB: Secure, private, compliant that includes SOCS 1/2 Type 2, HITRUST, PCI DSS Level 1, ISO 27001, HIPAA, FedRAMP High, and many others.

Följande skärm bild visar hur du kan använda gransknings loggning och aktivitets loggar för att övervaka ditt konto: aktivitets loggar för Azure Cosmos DB

Primära nycklarPrimary keys

Primära nycklar ger åtkomst till alla administrativa resurser för databas kontot.Primary keys provide access to all the administrative resources for the database account. Primär nycklar:Primary keys:

  • Ge åtkomst till konton, databaser, användare och behörigheter.Provide access to accounts, databases, users, and permissions.
  • Kan inte användas för att ge detaljerad åtkomst till behållare och dokument.Cannot be used to provide granular access to containers and documents.
  • Skapas när ett konto skapas.Are created during the creation of an account.
  • Kan återskapas när som helst.Can be regenerated at any time.

Varje konto består av två primär nycklar: en primär nyckel och en sekundär nyckel.Each account consists of two primary keys: a primary key and secondary key. Syftet med dubbla nycklar är att du kan skapa om eller registrera nycklar, vilket ger kontinuerlig åtkomst till ditt konto och dina data.The purpose of dual keys is so that you can regenerate, or roll keys, providing continuous access to your account and data.

Förutom de två primära nycklarna för det Cosmos DB kontot finns det två skrivskyddade nycklar.In addition to the two primary keys for the Cosmos DB account, there are two read-only keys. Dessa skrivskyddade nycklar tillåter bara Läs åtgärder på kontot.These read-only keys only allow read operations on the account. Skrivskyddade nycklar ger inte åtkomst till Läs behörighets resurser.Read-only keys do not provide access to read permissions resources.

Primära, sekundära, skrivskyddade och Läs-och skriv-och skrivbara primär nycklar kan hämtas och återskapas med hjälp av Azure Portal.Primary, secondary, read only, and read-write primary keys can be retrieved and regenerated using the Azure portal. Instruktioner finns i Visa, kopiera och återskapa åtkomst nycklar.For instructions, see View, copy, and regenerate access keys.

Åtkomst kontroll (IAM) i Azure Portal – demonstrera NoSQL Database-säkerhet

Nästa stegNext steps

Mer information om primära nycklar och resurs-token finns i Skydda åtkomsten till Azure Cosmos db data.For more information about primary keys and resource tokens, see Securing access to Azure Cosmos DB data.

Mer information om gransknings loggning finns i Azure Cosmos DB diagnostisk loggning.For more information about audit logging, see Azure Cosmos DB diagnostic logging.

Mer information om Microsoft-certifieringar finns Azure Säkerhetscenter.For more information about Microsoft certifications, see Azure Trust Center.