Azure Cosmos DB’de güvenlik - genel bakış

  • Makale
  • Okumak için 12 dakika

Uygulama hedefı: MongoDB için SQL API Cassandra API gremlin API tablo API'si Azure Cosmos DB API 'si

Bu makalede veritabanı ihlallerini önlemenize, algılamanıza ve yanıtlamanıza yardımcı olmak üzere Azure Cosmos DB tarafından sunulan veritabanı güvenliği en iyi yöntemleri ve önemli özellikleri açıklanır.

Azure Cosmos DB güvenliği yenilikleri

bekleyen şifreleme artık tüm Azure bölgelerinde Azure Cosmos DB depolanan belgeler ve yedeklemeler için kullanılabilir. Bekleyen şifreleme, bu bölgelerdeki hem yeni hem de mevcut müşteriler için otomatik olarak uygulanır. Herhangi bir şey yapılandırmaya gerek yoktur; ve bekleyen şifreleme sayesinde verilerinizin güvende ve güvenli olduğunu bilmenin avantajlarından faydalanmadan önceki gibi harika gecikme süresi, aktarım hızı, kullanılabilirlik ve işlevleri de elde edersiniz. Azure Cosmos hesabınızda depolanan veriler, hizmet tarafından yönetilen anahtarlar kullanılarak Microsoft tarafından yönetilen anahtarlarla otomatik olarak ve sorunsuz bir şekilde şifrelenir. İsteğe bağlı olarak, müşteri tarafından yönetilen anahtarlar veya CMKkullanarak yönettiğiniz anahtarlarla ikinci bir şifreleme katmanı eklemeyi tercih edebilirsiniz.

Veritabanım güvenli Nasıl yaparım?

Veri güvenliği, siz, müşteri ve veritabanı sağlayıcınız arasında paylaşılan bir sorumluluktur. Seçtiğiniz veritabanı sağlayıcısına bağlı olarak, gerçekleştirdiğiniz sorumluluk miktarı farklılık gösterebilir. Şirket içi bir çözüm seçerseniz, uç nokta korumasından her şeyi donanımınızın fiziksel güvenliğine (kolay bir görev olmadan) sağlamanız gerekir. Azure Cosmos DB gibi bir paas bulut veritabanı sağlayıcısı seçerseniz, sorun alanı önemli ölçüde küçülür. Microsoft 'un bulut bilgi işlem teknik incelemesi için paylaşılan sorumluluklarından ödünç alınan aşağıdaki görüntüde, sorumluluğun Azure Cosmos DB gibi bir paas sağlayıcısıyla nasıl azaldığını gösterir.

Müşteri ve veritabanı sağlayıcısı sorumlulukları

Önceki diyagramda, üst düzey bulut güvenlik bileşenleri gösteriliyor, ancak veritabanı çözümünüz için özel olarak hangi öğeleri merak etmeniz gerekiyor? Çözümleri birbirleriyle nasıl karşılaştırabileceğiniz.

Veritabanı sistemlerini karşılaştırmak için aşağıdaki gereksinimlerin denetim listesini öneririz:

  • Ağ güvenliği ve güvenlik duvarı ayarları
  • Kullanıcı kimlik doğrulaması ve hassas Kullanıcı denetimleri
  • Bölgesel hatalarda verileri küresel olarak çoğaltabilme
  • Bir veri merkezinden diğerine yük devretme olanağı
  • Veri merkezi içinde yerel veri çoğaltma
  • Otomatik veri yedeklemeleri
  • Yedeklerden silinen verilerin geri yüklenmesi
  • Hassas verileri koruyun ve yalıtın
  • Saldırıları izleme
  • Saldırılara yanıt verme
  • Veri idare kısıtlamalarına uyacak şekilde coğrafi çit verileri
  • Korunan veri merkezlerindeki sunucuların fiziksel koruması
  • Sertifikalar

Ayrıca, çok sayıda büyük ölçekli veritabanı ihlal etmekle birlikte, aşağıdaki gereksinimlerin basit ancak kritik önem derecesini hatırlatır:

  • Güncel tutulan ve düzeltme eki uygulanan sunucular
  • Varsayılan/TLS şifrelemesi ile HTTPS
  • Güçlü parolalara sahip yönetim hesapları

veritabanımın güvenliğini nasıl Azure Cosmos DB?

önceki listeye geri bakalım: bu güvenlik gereksinimlerinden kaç tane Azure Cosmos DB sağlar? Her tek bir.

Her birine ayrıntılı bir şekilde bakalım.

Güvenlik gereksinimi Azure Cosmos DB güvenlik yaklaşımı
Ağ güvenliği IP güvenlik duvarı kullanmak, veritabanınızı güvenli hale getirmeye yönelik ilk koruma katmanıdır. Azure Cosmos DB, gelen güvenlik duvarı desteği için ilke temelli ıp tabanlı erişim denetimlerini destekler. ıp tabanlı erişim denetimleri geleneksel veritabanı sistemleri tarafından kullanılan güvenlik duvarı kurallarına benzerdir, ancak Azure Cosmos veritabanı hesabına yalnızca onaylanan bir makine veya bulut hizmeti tarafından erişilebilmeleri için genişletilir. Azure Cosmos DB güvenlik duvarı destek makalesinde daha fazla bilgi edinin.

Azure Cosmos DB belirli bir ıp adresini (168.61.48.0), ıp aralığını (168.61.48.0/8) ve ıp ve aralık birleşimlerini etkinleştirmenizi sağlar.

izin verilen bu liste dışındaki makinelerden kaynaklanan tüm istekler Azure Cosmos DB tarafından engellenir. Onaylanan makinelerden ve bulut hizmetlerinden gelen istekler, kaynaklara erişim denetimi verilecek şekilde kimlik doğrulama işlemini tamamlamalıdır.

ağ yalıtımı elde etmek ve Azure Cosmos DB kaynaklarınızı genel Internet 'ten korumak için sanal ağ hizmeti etiketlerini kullanabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun kaynak veya hedef alanındaki hizmet etiketi adını (örneğin, Azuversmosdb) belirterek, karşılık gelen hizmet için trafiğe izin verebilir veya bu trafiği reddedebilirsiniz.
Yetkilendirme Azure Cosmos DB yetkilendirme için karma tabanlı ileti kimlik doğrulama kodu (HMAC) kullanır.

her istek, gizli hesap anahtarı kullanılarak karma hale getirilir ve sonraki temel 64 kodlu karma, Azure Cosmos DB her çağrısıyla birlikte gönderilir. isteği doğrulamak için Azure Cosmos DB hizmeti, karma oluşturmak için doğru gizli anahtar ve özellikleri kullanır, ardından değeri istekteki bir değerle karşılaştırır. İki değer eşleşiyorsa, işlem başarıyla yetkilendirilir ve istek işlendiğinde, aksi takdirde bir yetkilendirme hatası olur ve istek reddedilir.

Bir birincil anahtarveya bir kaynak belirteci kullanarak, bir belge gibi bir kaynağa ayrıntılı erişime izin verebilirsiniz.

Azure Cosmos DB kaynaklarına erişimi güvenli hale getirmehakkında daha fazla bilgi edinin.
Kullanıcılar ve izinler Hesap için birincil anahtarı kullanarak, veritabanı başına kullanıcı kaynakları ve izin kaynakları oluşturabilirsiniz. Kaynak belirteci, veritabanındaki bir izinle ilişkilendirilir ve kullanıcının veritabanında bir uygulama kaynağına erişimi olup olmadığını (salt okuma yazma, salt okuma veya erişim yok) belirler. Uygulama kaynakları kapsayıcı, belgeler, ekler, saklı yordamlar, Tetikleyiciler ve UDF 'ler içerir. Kaynak belirteci daha sonra kaynak erişimi sağlamak veya reddetmek için kimlik doğrulama sırasında kullanılır.

Azure Cosmos DB kaynaklarına erişimi güvenli hale getirmehakkında daha fazla bilgi edinin.
Active Directory Tümleştirmesi (Azure RBAC) ayrıca, Azure portal erişim denetimi (ıam) kullanarak Cosmos hesap, veritabanı, kapsayıcı ve tekliflere (aktarım hızı) erişimi de sağlayabilir veya kısıtlayabilirsiniz. IAM, rol tabanlı erişim denetimi sağlar ve Active Directory ile tümleşir. Yerleşik roller veya bireyler ve gruplar için özel roller kullanabilirsiniz. Daha fazla bilgi için bkz. Active Directory tümleştirme makalesi.
Genel çoğaltma Azure Cosmos DB, bir düğmeye tıklayarak verilerinizi Azure 'un dünya çapındaki veri merkezlerinden herhangi birine çoğaltmanızı sağlayan, anahtar temelli genel dağıtım sunar. Küresel çoğaltma, genel olarak ölçeklendirmenize ve dünyanın dört bir yanındaki verilerinize düşük gecikmeli erişim sağlamanıza olanak tanır.

Güvenlik bağlamında, genel çoğaltma, bölgesel hatalara karşı veri koruma sağlar.

Verileri küresel olarak dağıtma bölümünde daha fazlasını öğrenin.
Bölgesel yük devretme verilerinizi birden fazla veri merkezinde çoğaltdıysanız, bölgesel veri merkezi 'nin çevrimdışı olması için Azure Cosmos DB otomatik olarak işlemlerinizi kaydeder. Verilerinizin çoğaltılacağı bölgeleri kullanarak, yük devretme bölgelerinin öncelikli bir listesini oluşturabilirsiniz.

Azure Cosmos DB bölgeselyük devretmeler hakkında daha fazla bilgi edinin.
Yerel çoğaltma tek bir veri merkezi içinde bile, Azure Cosmos DB tutarlılık düzeyiseçimi sunarak yüksek kullanılabilirliğe yönelik verileri otomatik olarak çoğaltır. Bu çoğaltma, tüm tek bölge hesapları için% 99,99 kullanılabilirlik SLA 'sını ve gevşek tutarlılığa sahip tüm çok bölgeli hesapları garanti eder ve tüm çok bölgeli veritabanı hesaplarında% 99,999 okuma kullanılabilirliği sağlar.
Otomatik çevrimiçi yedeklemeler Azure Cosmos veritabanları düzenli olarak yedeklenir ve coğrafi olarak yedekli bir depoda depolanır.

Azure Cosmos DB ile otomatik çevrimiçi yedekleme ve geri yüklemehakkında daha fazla bilgi edinin.
Silinen verileri geri yükleme Otomatik çevrimiçi yedeklemeler, yanlışlıkla en fazla ~ 30 gün sonra silinmiş olabilecek verileri kurtarmak için kullanılabilir.

Azure Cosmos DB ile otomatik çevrimiçi yedekleme ve geri yükleme hakkında daha fazla bilgi edinin
Hassas verileri koruyun ve yalıtın Bölgelerdeki tüm veriler, yenilikler bölümünde listelendi. Artık Rest 'de şifrelenir.

Kişisel veriler ve diğer gizli veriler belirli bir kapsayıcıya yalıtılabilir ve okuma/yazma veya salt okuma erişimi belirli kullanıcılarla sınırlı olabilir.
Saldırıları izle Denetim günlüğü ve etkinlik günlüklerinikullanarak, hesabınızı normal ve anormal etkinlikler için izleyebilirsiniz. Kaynaklarınız üzerinde gerçekleştirilen işlemleri, işlemi kimin yaptığını, işlem ne zaman oluştuğunu, işlemin durumunu ve bu tablonun altındaki ekran görüntüsünde gösterilen çok daha fazlasını görüntüleyebilirsiniz.
Saldırılara yanıt verme Olası bir saldırı bildirmek üzere Azure Destek ile iletişim kurduktan sonra, 5 adımlı bir olay yanıtı işlemi kapatılır. 5 adımlı işlemin amacı, bir sorun saptandıktan ve bir araştırma başladıktan sonra normal hizmet güvenliğini ve işlemlerini mümkün olduğunca hızlı bir şekilde geri yüklemektir.

bulutta Microsoft Azure güvenlik yanıtıhakkında daha fazla bilgi edinin.
Coğrafi yalıtma Azure Cosmos DB bağımsız bölgeler (almanya, Çin ve abd gibi) için veri idaresi US Gov.
Korumalı tesisler Azure Cosmos DB'de veriler, Azure'ın korumalı veri merkezlerindeki SSD'lerde depolanır.

Microsoft küresel veri merkezlerinde daha fazla bilgi
HTTPS/SSL/TLS şifrelemesi Azure Cosmos DB'ye tüm bağlantılar HTTPS'yi destekler. Azure Cosmos DB, TLS 1.2'yi de destekler.
En düşük TLS sürümü sunucu tarafı zorunlu kılınabiliyor. Bunu yapmak için bir Azure desteği açın.
Bekleme sırasında şifreleme Azure Cosmos DB'de depolanan tüm veriler, istirahatta şifrelenir. Azure Cosmos DB şifrelemesi hakkında daha fazla bilgi edinin
Düzeltme eki uygulamalı sunucular Yönetilen veritabanı olarak Azure Cosmos DB, sizin için otomatik olarak yapılan sunucuları yönetme ve düzeltme eki uygulama ihtiyacı ortadan kaldırıyor.
Güçlü parolalara sahip yönetim hesapları Bu gereksinimden bahsetmemiz bile zor olsa da, bazı rakiplerimizden farklı olarak Azure Cosmos DB'de parolasız bir yönetim hesabına sahip olmak mümkün değildir.

TLS ve HMAC gizli bilgi tabanlı kimlik doğrulaması aracılığıyla güvenlik varsayılan olarak kullanılır.
Güvenlik ve veri koruma sertifikaları Sertifikaların en güncel listesi için genel Azure Uyumluluğu sitesine ve tüm sertifikalara sahip en son Azure Uyumluluk Belgesi'ne bakın (tüm sertifikalar için Cosmos. Daha odaklanmış bir bilgi için [Azure #CosmosDB: SOCS 1/2 Type 2, HITRUST, PCI DSS Level 1, ISO 27001, HIPAA, FedRAMP Yüksek ve daha fazlasını içeren uyumlu, güvenli, özel ve diğer 25 Nisan 2018 gönderilerini okuyun.

Aşağıdaki ekran görüntüsünde, hesaplarınızı izlemek için denetim günlüğünü ve etkinlik günlüklerini nasıl kullanabileceğiniz gösterir: Azure Cosmos DB için etkinlik günlükleri

Birincil/ikincil anahtarlar

Birincil/ikincil anahtarlar, veritabanı hesabının tüm yönetim kaynaklarına erişim sağlar. Birincil/ikincil anahtarlar:

  • Hesaplara, veritabanlarına, kullanıcılara ve izinlere erişim sağlama.
  • Kapsayıcılara ve belgelere ayrıntılı erişim sağlamak için kullanılamaz.
  • Bir hesap oluşturulurken oluşturulur.
  • Herhangi bir zamanda yeniden üret olabilir.

Her hesap iki anahtardan oluşur: birincil anahtar ve ikincil anahtar. Çift anahtarın amacı, hesabınıza ve verilerinize sürekli erişim sağlayarak anahtarları yeniden oluşturıp alabilirsiniz.

Birincil/ikincil anahtarlar iki sürümde gelir: okuma-yazma ve salt okuma. Salt okunur anahtarlar hesapta yalnızca okuma işlemlerine izin vermekle birlikte okuma izinleri kaynaklarına erişim izni vermez.

Anahtar döndürme ve yeniden oluşturma

Anahtar döndürme ve yeniden oluşturma işlemi basittir. İlk olarak, azure veritabanı hesabınıza erişmek için uygulamanın birincil anahtarı veya ikincil anahtarı tutarlı bir şekilde Cosmos olun. Ardından, aşağıda açıklanan adımları izleyin. Hesabınız için anahtar güncelleştirmelerini ve anahtar yeniden oluşturmayı izlemek üzere ölçümler ve uyarılar ile anahtar güncelleştirmelerini izleme makalesine bakın.

Uygulamanız şu anda birincil anahtarı kullanıyorsa

  1. Uygulamanın azure Cosmos DB hesabınıza Azure portal.

  2. Sol menüden Anahtarlar'ı seçin ve ardından ikincil anahtarınızı sağ tarafta bulunan üç noktanın İkincil Anahtarı Yeniden Oluştur'a tıklayın.

    İkincil anahtarın Azure portal gösteren ekran görüntüsü

  3. Yeni ikincil anahtarın Azure veritabanı hesabınızla tutarlı bir şekilde çalıştığını Cosmos olun. Anahtar yeniden oluşturma, veritabanı hesabının boyutuna bağlı olarak bir dakika ile Cosmos sürebilir.

  4. Birincil anahtarınızı uygulamanıza ikincil anahtarla değiştirin.

  5. Geri dön anahtarına Azure portal ve birincil anahtarın yeniden oluşturulmasını tetikler.

    Birincil anahtarın Azure portal gösteren ekran görüntüsü

Uygulamanız şu anda ikincil anahtarı kullanıyorsa

  1. Uygulamanın azure Cosmos DB hesabınıza Azure portal.

  2. Sol menüden Anahtarlar'ı seçin ve ardından birincil anahtarınızı sağ tarafta bulunan üç noktadan Birincil Anahtarı Yeniden Oluştur'a tıklayın.

    Birincil anahtarın Azure portal gösteren ekran görüntüsü

  3. Yeni birincil anahtarın Azure Cosmos DB hesabınızla tutarlı bir şekilde çalıştığını doğrulama. Anahtar yeniden oluşturma, veritabanı hesabının boyutuna bağlı olarak bir dakika ile Cosmos sürebilir.

  4. İkincil anahtarınızı uygulamanıza birincil anahtarla değiştirin.

  5. Geri dön anahtarına Azure portal ve ikincil anahtarın yeniden oluşturulmasını tetikler.

    İkincil anahtarın Azure portal gösteren ekran görüntüsü

Anahtar yeniden oluşturma durumunu izleme

Bir anahtarı döndürdikten veya yeniden üretdikten sonra, Etkinlik günlüğünden anahtarın durumunu izleyebilirsiniz. Durumu izlemek için aşağıdaki adımları kullanın:

  1. Azure portal oturum açın ve Azure Cosmos DB hesabınıza gidin.

  2. Etkinlik günlüğü bölmesini açın ve aşağıdaki filtreleri ayarlayın:

    • Kaynak türü olarak Azure veritabanı Cosmos ayarlayın.
    • İşlem'i Anahtarları döndür olarak ayarlayın.

    Etkinlik günlüğünden anahtar yeniden oluşturma durumu

  3. Anahtar yeniden oluşturma olaylarının yanı sıra durum, işlem ne zaman verildi, anahtar yeniden oluşturma işlemi başlatan kullanıcının ayrıntılarıyla birlikte görüyor olun. Anahtar oluşturma işlemi Kabul Edildi durumuyla başlatılır, ardından Başlatıldı olarak değişir ve işlem tamamlandığında Başarılı olarak değişir.

Sonraki adımlar

Birincil anahtarlar ve kaynak belirteçleri hakkında daha fazla bilgi için bkz. Azure veritabanı verilerine Cosmos güvenliğini sağlama.

Denetim günlüğü hakkında daha fazla bilgi için bkz. Azure Cosmos DB tanılama günlüğü.

Microsoft sertifikaları hakkında daha fazla bilgi için bkz. Azure Güven Merkezi.