Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Cosmos DB pour NoSQL est un service de base de données multimodèle distribué mondialement conçu pour les applications stratégiques. Bien que Azure Cosmos DB fournit des fonctionnalités de sécurité intégrées pour protéger vos données, il est essentiel de suivre les bonnes pratiques pour améliorer davantage la sécurité de votre compte, de vos données et de vos configurations réseau.
Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement Azure Cosmos DB pour NoSQL.
Sécurité du réseau
Désactivez l’accès au réseau public et utilisez uniquement les points de terminaison privés : déployez Azure Cosmos DB pour NoSQL avec une configuration qui limite l’accès réseau à un réseau virtuel déloyé Azure. Le compte est exposé via le sous-réseau spécifique que vous avez configuré. Ensuite, désactivez l’accès au réseau public pour l’ensemble du compte et utilisez des points de terminaison privés exclusivement pour les services qui se connectent au compte. Pour plus d’informations, consultez configurer l’accès au réseau virtuel et configurer l’accès à partir de points de terminaison privés.
Activez le périmètre de sécurité réseau pour l’isolation réseau : utilisez le périmètre de sécurité réseau (NSP) pour restreindre l’accès à votre compte Azure Cosmos DB en définissant les limites du réseau et en l’isolant de l’accès internet public. Pour plus d’informations, consultez Configurer le périmètre de sécurité réseau.
Gestion des identités
Utilisez les identités managées pour accéder à votre compte à partir d’autres services Azure : les identités managées éliminent la nécessité de gérer les informations d’identification en fournissant une identité managée automatiquement dans Microsoft Entra ID. Utilisez des identités managées pour accéder en toute sécurité à Azure Cosmos DB à partir d’autres services Azure sans incorporer d’informations d’identification dans votre code. Pour plus d’informations, voir Identités managées pour les ressources Azure.
Utilisez le contrôle d'accès basé sur les rôles du plan de contrôle Azure pour gérer les bases de données de comptes et les conteneurs : Appliquez le contrôle d'accès basé sur les rôles d'Azure pour définir des autorisations granulaires pour la gestion des comptes, des bases de données et des conteneurs Azure Cosmos DB. Ce contrôle garantit que seuls les utilisateurs ou services autorisés peuvent effectuer des opérations administratives. Pour plus d’informations, consultez Accorder un accès dans le plan de contrôle.
Utilisez le contrôle d’accès en fonction du plan de données natif pour interroger, créer et accéder à des éléments au sein d’un conteneur : implémentez le contrôle d’accès en fonction du rôle du plan de données pour appliquer l’accès au moins privilégié pour interroger, créer et accéder aux éléments dans des conteneurs Azure Cosmos DB. Ce contrôle permet de sécuriser vos opérations de données. Pour découvrir plus d’informations, consultez Octroi d’accès au plan de données.
Séparez les identités Azure utilisées pour l’accès aux données et au plan de contrôle : utilisez des identités Azure distinctes pour les opérations de plan de contrôle et de plan de données pour réduire le risque d’escalade des privilèges et garantir un meilleur contrôle d’accès. Cette séparation améliore la sécurité en limitant l’étendue de chaque identité.
Faites pivoter régulièrement les clés d’accès si vous utilisez l’authentification basée sur des clés : si vous utilisez toujours l’authentification basée sur des clés, faites pivoter vos clés primaires et secondaires selon une planification régulière. Utilisez la clé secondaire pendant la rotation de la clé primaire pour éviter les temps d’arrêt. Pour connaître les étapes de rotation des clés, consultez Faire pivoter les clés de compte. Pour migrer vers l’authentification Microsoft Entra ID, consultez Connect à l’aide du contrôle d’accès en fonction du rôle.
Sécurité du transport
- Utilisez et appliquez TLS 1.3 pour la sécurité du transport : appliquez la sécurité de la couche de transport (TLS) 1.3 pour sécuriser les données en transit avec les derniers protocoles de chiffrement, garantissant un chiffrement plus fort et des performances améliorées. Pour plus d’informations, consultez Application minimale de TLS.
Chiffrement des données
Chiffrer les données au repos ou en mouvement à l’aide de clés gérées par le service ou de clés gérées par le client (CMK) : protégez les données sensibles en les chiffrant au repos et en transit. Utilisez des clés gérées par le service pour une simplicité ou des clés gérées par le client pour un meilleur contrôle du chiffrement. Pour plus d’informations, consultez Configurer des clés gérées par le client.
Utilisez Always Encrypted pour sécuriser les données avec le chiffrement côté client : Always Encrypted garantit que les données sensibles sont chiffrées côté client avant d’être envoyées à Azure Cosmos DB, fournissant une couche de sécurité supplémentaire. Pour plus d'informations, consultez Always Encrypted.
Sauvegarde et restauration
Activez la sauvegarde et la restauration continues natives : protégez vos données en activant la sauvegarde continue, ce qui vous permet de restaurer votre compte Azure Cosmos DB à n’importe quel point dans le temps pendant la période de rétention. Pour plus d’informations, consultez Sauvegarde et restauration continues.
Tester les procédures de sauvegarde et de récupération : pour vérifier l’efficacité des processus de sauvegarde, testez régulièrement la restauration des bases de données, des conteneurs et des éléments. Pour plus d’informations, consultez restaurer un conteneur ou une base de données.