Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Cosmos DB per NoSQL è un servizio di database multimodello distribuito a livello globale progettato per applicazioni cruciali. Anche se Azure Cosmos DB offre funzionalità di sicurezza predefinite per proteggere i dati, è essenziale seguire le procedure consigliate per migliorare ulteriormente la sicurezza dell'account, dei dati e delle configurazioni di rete.
Questo articolo fornisce indicazioni su come proteggere al meglio le Azure Cosmos DB per la distribuzione di NoSQL.
Sicurezza della rete
Disabilita l'accesso alla rete pubblica e utilizza solo Endpoint privati: Distribuisci Azure Cosmos DB per NoSQL con una configurazione che limita l'accesso alla rete a una rete virtuale distribuita su Azure. L'account viene esposto tramite la subnet specifica configurata. Disabilitare quindi l'accesso alla rete pubblica per l'intero account e usare endpoint privati esclusivamente per i servizi che si connettono all'account. Per altre informazioni, vedere Configurare l'accesso alla rete virtuale e configurare l'accesso da endpoint privati.
Enable Network Security Perimeter for network isolation: Use Network Security Perimeter (NSP) per limitare l'accesso all'account Azure Cosmos DB definendo i limiti di rete e isolandoli dall'accesso a Internet pubblico. Per altre informazioni, vedere Configurare il perimetro di sicurezza di rete.
Gestione delle identità
Usare le identità gestite per accedere all'account da altri servizi di Azure: le identità gestite eliminano la necessità di gestire le credenziali fornendo un'identità gestita automaticamente in Microsoft Entra ID. Usare le identità gestite per accedere in modo sicuro alle Azure Cosmos DB da altri servizi di Azure senza incorporare le credenziali nel codice. Per altre informazioni, vedere Identità gestite per le risorse Azure.
Usare il controllo degli accessi in base al ruolo del piano di controllo di Azure per gestire database e contenitori degli account: applicare il controllo degli accessi in base al ruolo di Azure per definire autorizzazioni specifiche per la gestione di account, database e contenitori di Azure Cosmos DB. Questo controllo garantisce che solo gli utenti o i servizi autorizzati possano eseguire operazioni amministrative. Per ulteriori informazioni, consultare Autorizzare l'accesso al piano di controllo.
Usare il controllo degli accessi in base al ruolo del piano dati nativo per eseguire query, creare e accedere agli elementi all'interno di un contenitore: implementare il controllo degli accessi in base al ruolo del piano dati per applicare l'accesso con privilegi minimi per l'esecuzione di query, la creazione e l'accesso agli elementi all'interno di Azure Cosmos DB contenitori. Questo controllo consente di proteggere le operazioni dei dati. Per ulteriori informazioni, consultare Grant data plane access.
Separare le identità Azure usate per l'accesso al piano di controllo e ai dati: usare identità Azure distinte per le operazioni del piano di controllo e del piano dati per ridurre il rischio di escalation dei privilegi e garantire un migliore controllo di accesso. Questa separazione migliora la sicurezza limitando l'ambito di ogni identità.
Ruotare regolarmente le chiavi di accesso se si usa l'autenticazione basata su chiave: se si usa ancora l'autenticazione basata su chiave, ruotare le chiavi primarie e secondarie in base a una pianificazione regolare. Usare la chiave secondaria durante la rotazione della chiave primaria per evitare tempi di inattività. Per i passaggi di rotazione delle chiavi, vedere Ruotare le chiavi dell'account. Per eseguire la migrazione all'autenticazione Microsoft Entra ID, vedere Connect usando il controllo degli accessi in base al ruolo.
Sicurezza del trasporto
- Usare e applicare TLS 1.3 per la sicurezza del trasporto: applicare TLS 1.3 (Transport Layer Security) 1.3 per proteggere i dati in transito con i protocolli di crittografia più recenti, garantendo una crittografia più avanzata e prestazioni migliorate. Per altre informazioni, vedere Applicazione minima di TLS.
Crittografia dei dati
Crittografare i dati inattivi o in movimento usando chiavi gestite dal servizio o chiavi gestite dal cliente: proteggere i dati sensibili crittografandoli inattivi e in transito. Usare chiavi gestite dal servizio per semplicità o chiavi gestite dal cliente per un maggiore controllo sulla crittografia. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente.
Use Always Encrypted per proteggere i dati con crittografia lato client: Always Encrypted garantisce che i dati sensibili vengano crittografati sul lato client prima di essere inviati a Azure Cosmos DB, fornendo un ulteriore livello di sicurezza. Per altre informazioni, vedere Always Encrypted.
Backup e ripristino
Abilitare il backup e il ripristino continui nativi: proteggere i dati abilitando il backup continuo, che consente di ripristinare l'account Azure Cosmos DB in qualsiasi momento entro il periodo di conservazione. Per altre informazioni, vedere Backup e ripristino continui.
Testare le procedure di backup e ripristino: per verificare l'efficacia dei processi di backup, testare regolarmente il ripristino di database, contenitori ed elementi. Per altre informazioni, vedere Ripristinare un contenitore o un database.