Sécuriser votre compte Azure Cosmos DB for Apache Gremlin

Azure Cosmos DB pour Apache Gremlin est un service de base de données de graphe entièrement managé qui vous permet de stocker, interroger et parcourir des données de graphe à grande échelle à l’aide du langage de requête Gremlin.

Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement Azure Cosmos DB for Apache Gremlin.

Sécurité du réseau

• Désactivez l’accès au réseau public et utilisez uniquement les points de terminaison privés : déployez Azure Cosmos DB pour NoSQL avec une configuration qui limite l’accès réseau à un réseau virtuel déloyé Azure. Le compte est exposé via le sous-réseau spécifique que vous avez configuré. Ensuite, désactivez l’accès au réseau public pour l’ensemble du compte et utilisez des points de terminaison privés exclusivement pour les services qui se connectent au compte. Pour plus d’informations, consultez configurer l’accès au réseau virtuel et configurer l’accès à partir de points de terminaison privés.

• Activez le périmètre de sécurité réseau pour l’isolation réseau : utilisez le périmètre de sécurité réseau (NSP) pour restreindre l’accès à votre compte Azure Cosmos DB en définissant les limites du réseau et en l’isolant de l’accès internet public. Pour plus d’informations, consultez Configurer le périmètre de sécurité réseau.

Gestion des identités

• Utilisez le contrôle d'accès basé sur les rôles du plan de contrôle Azure pour gérer les bases de données de comptes et les conteneurs : Appliquez le contrôle d'accès basé sur les rôles d'Azure pour définir des autorisations granulaires pour la gestion des comptes, des bases de données et des conteneurs Azure Cosmos DB. Ce contrôle garantit que seuls les utilisateurs ou services autorisés peuvent effectuer des opérations administratives. Pour plus d’informations, consultez Accorder un accès dans le plan de contrôle.

Sécurité du transport

• Utilisez et appliquez TLS 1.3 pour la sécurité du transport : appliquez la sécurité de la couche de transport (TLS) 1.3 pour sécuriser les données en transit avec les derniers protocoles de chiffrement, garantissant un chiffrement plus fort et des performances améliorées. Pour plus d’informations, consultez Application minimale de TLS.

Chiffrement des données

• Chiffrer les données au repos ou en mouvement à l’aide de clés gérées par le service ou de clés gérées par le client (CMK) : protégez les données sensibles en les chiffrant au repos et en transit. Utilisez des clés gérées par le service pour une simplicité ou des clés gérées par le client pour un meilleur contrôle du chiffrement. Pour plus d’informations, consultez Configurer des clés gérées par le client.

• Utilisez Always Encrypted pour sécuriser les données avec le chiffrement côté client : Always Encrypted garantit que les données sensibles sont chiffrées côté client avant d’être envoyées à Azure Cosmos DB, fournissant une couche de sécurité supplémentaire. Pour plus d'informations, consultez Always Encrypted.

Sauvegarde et restauration

• Activez la sauvegarde et la restauration continues natives : protégez vos données en activant la sauvegarde continue, ce qui vous permet de restaurer votre compte Azure Cosmos DB à n’importe quel point dans le temps pendant la période de rétention. Pour plus d’informations, consultez Sauvegarde et restauration continues.

• Tester les procédures de sauvegarde et de récupération : pour vérifier l’efficacité des processus de sauvegarde, testez régulièrement la restauration des bases de données, des conteneurs et des éléments. Pour plus d’informations, consultez restaurer un conteneur ou une base de données.