Přehled zabezpečení databáze ve službě Azure Cosmos DB pro virtuální jádro MongoDB
PLATÍ PRO: 
Virtuální jádro MongoDB
Tento článek popisuje osvědčené postupy zabezpečení databáze a klíčové funkce nabízené službou Azure Cosmos DB pro virtuální jádro MongoDB, které vám pomůžou předcházet porušením zabezpečení databáze, zjišťovat je a reagovat na ně.
Novinky ve službě Azure Cosmos DB pro zabezpečení virtuálních jader MongoDB
Šifrování neaktivních uložených dat je teď dostupné pro dokumenty a zálohy uložené ve službě Azure Cosmos DB pro virtuální jádro MongoDB ve většině oblastí Azure. Šifrování neaktivních uložených dat se použije automaticky pro nové i stávající zákazníky v těchto oblastech. Nemusíte nic konfigurovat. Získáte stejnou vysokou latenci, propustnost, dostupnost a funkce jako předtím s výhodou, že vaše data jsou bezpečná a zabezpečená pomocí šifrování neaktivních uložených dat. Data uložená v clusteru virtuálních jader Azure Cosmos DB pro MongoDB se automaticky a bezproblémově šifrují pomocí klíčů spravovaných Microsoftem pomocí klíčů spravovaných službou.
Návody zabezpečení databáze
Zabezpečení dat je sdílená odpovědnost mezi vámi, zákazníkem a vaším poskytovatelem databáze. V závislosti na zvoleném poskytovateli databáze se množství odpovědnosti, kterou nesete, může lišit. Pokud zvolíte místní řešení, musíte poskytnout všechno od ochrany koncového bodu až po fyzické zabezpečení hardwaru , což není snadný úkol. Pokud zvolíte poskytovatele cloudové databáze PaaS, jako je Azure Cosmos DB, vaše oblast zájmu se výrazně zmenší. Následující obrázek, který jsme si půjčili z dokumentu White Paper o sdílených zodpovědnostech Microsoftu za cloud computing , ukazuje, jak se vaše odpovědnost snižuje u poskytovatele PaaS, jako je Azure Cosmos DB.
Předchozí diagram znázorňuje komponenty zabezpečení cloudu vysoké úrovně, ale o jaké položky se potřebujete starat konkrétně pro vaše databázové řešení? A jak si můžete vzájemně porovnat řešení?
Pro porovnání databázových systémů doporučujeme následující kontrolní seznam požadavků:
- Nastavení zabezpečení sítě a brány firewall
- Ověřování uživatelů a jemně odstupňované uživatelské ovládací prvky
- Schopnost globálně replikovat data pro regionální selhání
- Schopnost převzít služby při selhání z jednoho datového centra do jiného
- Místní replikace dat v rámci datového centra
- Automatické zálohování dat
- Obnovení odstraněných dat ze záloh
- Ochrana a izolace citlivých dat
- Monitorování útoků
- Reakce na útoky
- Schopnost geograficky ohraničení dat dodržovat omezení zásad správného řízení dat
- Fyzická ochrana serverů v chráněných datových centrech
- Certifikace
I když to může vypadat jako běžné, nedávné rozsáhlé porušení zabezpečení databáze nám připomíná jednoduchou, ale kritickou důležitost následujících požadavků:
- Opravené servery, které jsou aktuální
- Šifrování HTTPS ve výchozím nastavení/TLS
- Účty pro správu se silnými hesly
Jak Azure Cosmos DB zabezpečuje databázi
Virtuální jádro Azure Cosmos DB pro MongoDB bez problémů splňuje každý z těchto požadavků na zabezpečení.
Pojďme se podrobněji podívat na každý z nich.
| Požadavek na zabezpečení | Přístup k zabezpečení služby Azure Cosmos DB |
|---|---|
| Zabezpečení sítě | Privátní přístup implementovaný prostřednictvím vyspělé technologie Private Link umožňuje poskytnout přístup ke clusteru pro prostředky ve virtuálních sítích Azure. Veřejný přístup umožňuje otevřít cluster pro definovanou sadu veřejných IP adres. Privátní a veřejný přístup je možné kdykoli kombinovat a povolit nebo zakázat. Výchozí konfigurace: Clustery virtuálních jader Azure Cosmos DB pro MongoDB se ve výchozím nastavení vytvářejí uzamčené. Aby bylo možné poskytnout přístup ke clusteru, je potřeba aktualizovat nastavení sítě, aby bylo možné povolit privátní nebo veřejný přístup ke clusteru během vytváření clusteru nebo po něm. Privátní přístup: S povoleným privátním přístupem je možné vytvořit privátní koncový bod pro přístup k privátnímu clusteru z virtuální sítě Azure. Privátní koncový bod se vytvoří v podsíti zadané virtuální sítě. Po dokončení jsou všechny možnosti virtuální sítě Azure dostupné pro cluster, včetně místního a globálního partnerského vztahu virtuálních sítí, přístupu k privátním místním prostředím, filtrování a směrování síťového provozu a dalších. Veřejný přístup: Použití brány firewall protokolu IP je první vrstva ochrany pro zabezpečení databáze. Azure Cosmos DB pro mongoDB vCore podporuje řízení přístupu na základě zásad pro příchozí bránu firewall. Řízení přístupu na základě PROTOKOLU IP se podobá pravidlům brány firewall používaným tradičními databázovými systémy. Rozšíří se ale tak, aby byl cluster virtuálních jader Azure Cosmos DB pro MongoDB přístupný jenom ze schválené sady počítačů nebo cloudových služeb. Všechny požadavky pocházející z počítačů mimo tento seznam povolených položek jsou zablokované virtuálními jádry Služby Azure Cosmos DB pro MongoDB. Žádosti ze schválených počítačů a cloudových služeb pak musí dokončit proces ověřování, aby byl udělen řízení přístupu k prostředkům. |
| Místní replikace | I v rámci jedné oblasti replikuje virtuální jádro Azure Cosmos DB pro MongoDB data na úrovni úložiště a udržuje 3 synchronní repliky jednotlivých fyzických horizontálních oddílů transparentně za všech okolností. Clustery s podporou vysoké dostupnosti mají další vrstvu replikace mezi jednotlivými primárními a pohotovostními fyzickými páry horizontálních oddílů. Replikace s vysokou dostupností je synchronní a poskytuje nulovou ztrátu dat při převzetí služeb při selhání, čímž zaručuje měsíční smlouvu SLA o měsíční dostupnosti 99,99 % pro nastavení jedné oblasti. |
| Globální replikace | Azure Cosmos DB pro MongoDB vCore nabízí replikaci mezi oblastmi, která umožňuje replikovat data do jiné oblasti Azure. Globální replikace umožňuje škálovat globálně a poskytovat přístup k datům po celém světě s nízkou latencí. V kontextu zabezpečení zajišťuje globální replikace ochranu dat před občasnými výpadky oblastí. V případě clusteru repliky mezi oblastmi se kopie dat vždy nachází v jiné oblasti. Replika v jiné oblasti v kombinaci s vysokou dostupností poskytuje smlouvu SLA s měsíční dostupností 99,995 % pro nastavení více oblastí. |
| Izolace databáze | Databáze Azure Cosmos DB pro virtuální jádra MongoDB jsou hostované na vlastních vyhrazených prostředcích. To znamená, že každý cluster získá svůj vlastní vyhrazený uzel označovaný jako fyzický horizontální oddíl nebo několik z nich v konfiguraci s více horizontálními oddíly. Každý fyzický horizontální oddíl má k němu připojené vlastní výpočetní prostředky a vzdálené úložiště. Neexistuje žádné sdílení infrastruktury mezi clustery poskytující další vrstvu fyzické a logické izolace pro vaši databázi. |
| Automatizované zálohování clusteru | Zálohování pro clustery virtuálních jader Azure Cosmos DB pro MongoDB je povolené při vytváření clusteru, je plně automatizované a nedá se zakázat. Obnovení se poskytuje do jakéhokoli časového razítka během 35denní doby uchovávání záloh. |
| Obnovení odstraněných dat | Automatizované online zálohy je možné použít k obnovení dat z clusteru, které jste omylem odstranili až přibližně 7 dní po události. |
| Šifrování HTTPS/SSL/TLS | Šifrují se veškerá síťová komunikace s clustery azure Cosmos DB pro virtuální jádra MongoDB. Akceptují se pouze připojení přes klienta MongoDB a šifrování se vždy vynucuje. Při každém zápisu dat do virtuálních jader Azure Cosmos DB pro MongoDB se vaše data šifrují během přenosu. Šifrování dat podporuje úrovně protokolu TLS až 1.3 (včetně). |
| Šifrování neaktivních uložených dat | Data virtuálních jader Azure Cosmos DB pro MongoDB včetně všech záloh se šifrují na disku, včetně dočasných souborů. Služba používá 256bitovou šifru AES, která je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždy zapnuté a nejde ho zakázat. |
| Monitorování útoků | Pomocí protokolování auditu a protokolů aktivit můžete monitorovat běžnou a neobvyklou aktivitu databáze. Můžete zobrazit, jaké operace byly provedeny s vašimi prostředky. Tato data zahrnují, kdo operaci zahájil, kdy k operaci došlo, stav operace a mnoho dalšího. |
| Reakce na útoky | Jakmile kontaktujete podpora Azure a nahlásíte potenciální útok, zahájí se proces reakce na incidenty s pěti kroky. Cílem pěti kroků je obnovení normálního zabezpečení a provozu služeb. Pětistupňový proces obnoví služby co nejrychleji po zjištění problému a spustí se šetření. Přečtěte si další informace o sdílené odpovědnosti v cloudu. |
| Chráněná zařízení | Data ve službě Azure Cosmos DB pro virtuální jádro MongoDB se ukládají v chráněných datových centrech Azure. Další informace o globálních datových centrech Microsoftu |
| Opravené servery | Virtuální jádro Služby Azure Cosmos DB pro MongoDB eliminuje nutnost spravovat aktualizace softwaru a clustery oprav, které se pro vás provádějí automaticky. |
| Účty pro správu se silnými hesly | Je těžké uvěřit, že tento požadavek musíme zmínit, ale na rozdíl od některých konkurentů není možné mít účet pro správu bez hesla ve službě Azure Cosmos DB pro MongoDB. Heslo by mělo mít délku minimálně 8 znaků, musí obsahovat velká a malá písmena anglické abecedy, číslice a jiné než alfanumerické znaky. Zabezpečení prostřednictvím ověřování založeného na tajných klíčích TLS je ve výchozím nastavení upečené. |
| Sekundární účty | Podrobnější přístup k sekundárním uživatelským účtům je možné vytvořit v clusterech s oprávněními jen pro čtení nebo jen pro čtení v databázích clusteru. |
| Certifikace zabezpečení a ochrany dat | Nejaktuálnější seznam certifikací najdete v tématu Dodržování předpisů Azure a nejnovější dokument dodržování předpisů Azure se všemi certifikacemi Azure, včetně Azure Cosmos DB. |
Následující snímek obrazovky ukazuje, jak můžete pomocí protokolování auditu a protokolů aktivit monitorovat svůj účet: 
Možnosti zabezpečení sítě
Tato část popisuje různé možnosti zabezpečení sítě, které můžete pro cluster nakonfigurovat. Možnosti veřejného a privátního přístupu můžete v clusteru kombinovat. Nastavení konfigurace sítě můžete kdykoli změnit.
Žádný přístup
Žádný přístup není výchozí možností pro nově vytvořený cluster, pokud se během zřizování clusteru pro veřejný nebo privátní přístup nevytvořila žádná pravidla brány firewall ani privátní koncové body. V tomto případě se k databázovým uzlům nemůžou připojit žádné počítače, ať už uvnitř Nebo mimo Azure.
Přístup k veřejné IP adrese pomocí brány firewall
V možnosti veřejného přístupu se ke clusteru přiřadí veřejná IP adresa a přístup ke clusteru je chráněný bránou firewall. Pokud není v jednom z pravidel brány firewall v clusteru zadaná veřejná IP adresa, požadavky z této IP adresy brána firewall odmítne a nedostanou se k databázi.
Privátní přístup
V možnosti privátního přístupu se pro cluster vytvoří privátní koncový bod. Tento privátní koncový bod je přidružený k virtuální síti Azure a podsíti v rámci této virtuální sítě. Privátní koncový bod umožňuje hostitelům v přidružené virtuální síti a partnerských virtuálních sítích přistupovat ke clusteru virtuálních jader Azure Cosmos DB pro MongoDB.
Přehled brány firewall
Azure Cosmos DB pro MongoDB vCore používá bránu firewall na úrovni clusteru, aby zabránila veškerému přístupu ke clusteru, dokud nezadáte, které počítače (IP adresy) mají oprávnění. Brána firewall uděluje přístup ke clusteru na základě původní IP adresy každého požadavku. Pokud chcete nakonfigurovat bránu firewall, vytvoříte pravidla brány firewall, která určují rozsahy přijatelných IP adres.
Pravidla brány firewall umožňují klientům přístup ke clusteru a ke všem databázím v něm. Pravidla brány firewall na úrovni clusteru je možné nakonfigurovat pomocí webu Azure Portal nebo programově pomocí nástrojů Azure, jako je Azure CLI.
Brána firewall ve výchozím nastavení blokuje veškerý přístup ke clusteru. Pokud chcete začít používat cluster z jiného počítače, musíte zadat jedno nebo více pravidel brány firewall na úrovni clusteru, která umožní přístup ke clusteru. Pomocí pravidel brány firewall určete rozsahy IP adres z internetu, které chcete povolit. Pravidla brány firewall nemají vliv na přístup k samotnému webu Azure Portal. Pokusy o připojení z internetu a Azure musí nejprve projít bránou firewall, aby se mohly spojit s vašimi databázemi.