Übersicht über Datenbanksicherheit in Azure Cosmos DB for MongoDB vCore
GILT FÜR: 
MongoDB-vCore
Dieser Artikel erläutert bewährte Methoden und wichtige Funktionen von Azure Cosmos DB for MongoDB vCore für die Datenbanksicherheit, mit denen Sie Sicherheitsverletzungen in einer Datenbank verhindern bzw. erkennen und darauf reagieren können.
Neuerungen bei der Sicherheit von Azure Cosmos DB for MongoDB vCore
Die Verschlüsselung ruhender Daten ist nun für Dokumente und Sicherungen, die in Azure Cosmos DB for MongoDB vCore gespeichert sind, in den meisten Azure-Regionen verfügbar. Die Verschlüsselung ruhender Daten wird automatisch auf neue und bestehende Kunden in diesen Regionen angewendet. Es ist keine Konfiguration erforderlich. Sie können die gleichen Vorteile im Hinblick auf Latenz, Durchsatz, Verfügbarkeit und Funktionalität wie zuvor nutzen und können außerdem auf die Sicherheit Ihrer verschlüsselten ruhenden Daten vertrauen. In Ihrem Azure Cosmos DB for MongoDB vCore-Cluster gespeicherte Daten werden automatisch und nahtlos mit Schlüsseln verschlüsselt, die von Microsoft mit dienstseitig verwalteten Schlüsseln verwaltet werden.
Wie schütze ich meine Datenbank?
Für die Sicherheit der Daten sind Sie, Ihr Kunde und Ihr Datenbankanbieter gemeinsam verantwortlich. Der Umfang Ihres Verantwortungsbereichs kann je nach Datenbankanbieter unterschiedlich ausfallen. Wenn Sie sich für eine lokale Lösung entschieden haben, müssen Sie weitgehend selbst für die Sicherheit sorgen – vom Endpunktschutz bis hin zur physischen Sicherung Ihrer Hardware. Das ist keine leichte Aufgabe. Wenn Sie einen PaaS-basierten Clouddatenbankanbieter wie Azure Cosmos DB ins Boot holen, verkleinert sich Ihr Verantwortungsbereich erheblich. Die folgende Abbildung – entnommen aus dem Microsoft-Whitepaper Shared Responsibilities for Cloud Computing (Gemeinsame Verantwortung für das Cloud Computing) – zeigt, wie viel weniger Verantwortung auf Ihren Schultern liegt, wenn Sie mit einem PaaS-Anbieter wie Azure Cosmos DB arbeiten.
Das obige Diagramm zeigt allgemeine Sicherheitskomponenten in der Cloud. Um welche Elemente müssen Sie sich aber im Speziellen für Ihre Datenbanklösung kümmern? Und wie vergleichen Sie Lösungen sinnvoll miteinander?
Wir empfehlen die folgende Checkliste mit Anforderungen, anhand derer Sie Datenbanksysteme vergleichen können:
- Netzwerksicherheit und Firewalleinstellungen
- Benutzerauthentifizierung und differenzierte Benutzersteuerung
- Möglichkeit zum globalen Replizieren von Daten bei regionalen Ausfällen
- Möglichkeit zum Durchführen eines Failovers zwischen Rechenzentren
- Lokale Datenreplikation innerhalb eines Rechenzentrums
- Automatische Datensicherungen
- Wiederherstellung gelöschter Daten aus Sicherungskopien
- Schützen und Isolieren von vertraulichen Daten
- Überwachen auf Angriffe
- Reagieren auf Angriffe
- Möglichkeit, Daten per Geofencing auf einen geografischen Raum einzugrenzen, um Anforderungen an die Datengovernance zu erfüllen
- Physischer Schutz von Servern in geschützten Rechenzentren
- Zertifizierungen
Folgendes mag auf der Hand liegen, aber umfassende Verletzungen der Datenbanksicherheit in jüngster Zeit erinnern uns daran, wie wichtig diese vermeintlich einfachen Anforderungen sind:
- Gepatchte Server, die immer auf dem neuesten Stand gehalten werden
- Standardmäßig HTTPS sowie TLS-Verschlüsselung
- Administratorkonten mit sicheren Kennwörtern
Wie schützt Azure Cosmos DB meine Datenbank?
Azure Cosmos DB for MongoDB vCore erfüllt nahtlos alle Sicherheitsanforderungen.
Betrachten wir die Anforderungen nun im Detail.
| Sicherheitsanforderung | Sicherheitsansatz von Azure Cosmos DB |
|---|---|
| Netzwerksicherheit | Die Verwendung einer IP-Firewall ist die erste Schutzschicht, um Ihre Datenbank zu sichern. Azure Cosmos DB for MongoDB vCore unterstützt die richtliniengesteuerte IP-basierte Zugriffssteuerungen zur Unterstützung der Firewall für eingehende Verbindungen. Die IP-basierten Zugriffssteuerungen ähneln den Firewallregeln herkömmlicher Datenbanksysteme. Sie werden jedoch so erweitert, dass der Zugriff auf einen Azure Cosmos DB for MongoDB vCore-Cluster nur einer genehmigten Gruppe von Computern oder Clouddiensten vorbehalten ist. Mit Azure Cosmos DB for MongoDB vCore können Sie eine bestimmte IP-Adresse (168.61.48.0), einen IP-Adressbereich (168.61.48.0/8) sowie Kombinationen aus IP-Adressen und -Adressbereichen aktivieren. Alle Anforderungen von Computern, die sich nicht auf dieser Zulassungsliste befinden, werden von Azure Cosmos DB for MongoDB vCore blockiert. Anforderungen von zugelassenen Computern und Clouddiensten müssen den Authentifizierungsprozess durchlaufen, um Zugriff auf die Ressourcen zu erhalten. |
| Lokale Replikation | Auch innerhalb eines einzigen Rechenzentrums repliziert Azure Cosmos DB for MongoDB vCore die Daten mithilfe von LRS. Cluster mit aktivierter Hochverfügbarkeit verfügen zudem über eine weitere Replikationsebene zwischen einem primären und einem sekundären Knoten. Dadurch wird eine SLA mit 99,995 % Verfügbarkeit garantiert. |
| Automatisierte Onlinesicherungen | Azure Cosmos DB for MongoDB vCore-Datenbanken werden regelmäßig gesichert und in einem georedundanten Speicher gespeichert. |
| Wiederherstellen gelöschter Daten | Automatisierte Onlinesicherungen können zum Wiederherstellen von Daten verwendet werden, die versehentlich gelöscht wurden. Dies ist bis zu ca. 7 Tage nach dem Löschen möglich. |
| Schützen und Isolieren von vertraulichen Daten | Jetzt sind alle ruhenden Daten verschlüsselt, die sich in den unter „Neuerungen“ aufgeführten Regionen befinden. |
| Überwachen auf Angriffe | Mithilfe von Überwachungsprotokollierung und Aktivitätsprotokollen können Sie Ihr Konto auf normale und ungewöhnliche Aktivitäten überwachen. Sie können anzeigen, welche Vorgänge auf Ihre Ressourcen angewendet wurden. Zu diesen Daten gehören u. a. Auslöser, Zeitpunkt und Status des Vorgangs. |
| Reagieren auf Angriffe | Nachdem Sie den Azure-Support kontaktiert haben, um einen möglichen Angriff zu melden, wird ein fünfstufiger Prozess zur Reaktion auf den Incident angestoßen. Ziel des fünfstufigen Prozesses ist die Wiederherstellung der normalen Dienstsicherheit und Betriebsabläufe. Der fünfstufige Prozess stellt die Dienste so schnell wie möglich wieder her, nachdem ein Problem entdeckt und eine Untersuchung eingeleitet wurde. Weitere Informationen erhalten Sie unter Microsoft Azure Security Response in the Cloud (Sicherheitsreaktion von Microsoft Azure in der Cloud). |
| Geschützte Einrichtungen | Daten in Azure Cosmos DB for MongoDB vCore sind auf SSDs in den geschützten Rechenzentren von Azure gespeichert. Weitere Informationen erhalten Sie unter Globale Rechenzentren von Microsoft. |
| HTTPS-/SSL-/TLS-Verschlüsselung | Azure Cosmos DB for MongoDB vCore unterstützt TLS bis einschließlich Ebene 1.3. Es ist möglich, serverseitig eine TLS-Mindestebene zu erzwingen. |
| Verschlüsseln während der Übertragung | Die Verschlüsselung (SSL/TLS) wird immer erzwungen. Wenn Sie versuchen, ohne Verschlüsselung eine Verbindung mit Ihrem Cluster herzustellen, schlägt dieser Versuch fehl. Nur Verbindungen über einen MongoDB-Client werden akzeptiert, und die Verschlüsselung wird immer erzwungen. Wenn Daten in Azure Cosmos DB for MongoDB vCore geschrieben werden, werden Ihre Daten während der Übertragung mit Transport Layer Security 1.3 verschlüsselt. |
| Verschlüsselung von ruhenden Daten | Azure Cosmos DB for MongoDB vCore nutzt das mit FIPS 140-2 überprüfte Kryptografiemodul für die Speicherverschlüsselung ruhender Daten. Daten, einschließlich Sicherungen, werden auf dem Datenträger verschlüsselt (einschließlich der temporären Dateien). Der Dienst verwendet das in der Azure Storage-Verschlüsselung enthaltene AES-256-Bit-Verschlüsselungsverfahren, und die Schlüssel werden vom System verwaltet. Die Speicherverschlüsselung ist immer aktiviert und kann nicht deaktiviert werden. |
| Gepatchte Server | Mit Azure Cosmos DB for MongoDB vCore müssen Sie keine Cluster verwalten oder patchen – das wird automatisch für Sie erledigt. |
| Administratorkonten mit sicheren Kennwörtern | Es ist kaum zu glauben, dass diese Anforderung überhaupt erwähnt werden muss, aber im Gegensatz zu einigen unserer Wettbewerber ist es in Azure Cosmos DB for MongoDB vCore unmöglich, ein Administratorkonto ohne Kennwort einzurichten. Die Sicherheit über die auf TLS-Geheimnissen basierende Authentifizierung ist standardmäßig integriert. |
| Zertifizierungen für Sicherheit und Datenschutz | Die neueste Liste mit Zertifizierungen finden Sie unter Azure-Compliance und im aktuellen Dokument zur Azure-Compliance mit allen Azure-Zertifizierungen, einschließlich Azure Cosmos DB. |
Der folgende Screenshot zeigt, wie Sie Überwachungs- und Aktivitätsprotokolle zum Überwachen Ihres Kontos verwenden können: 
Optionen für die Netzwerksicherheit
In diesem Abschnitt werden verschiedene Optionen für die Netzwerksicherheit beschrieben, die Sie für Ihren Cluster konfigurieren können.
Kein Zugriff
Kein Zugriff ist die Standardeinstellung für einen neu erstellten Cluster, wenn öffentlicher oder privater Zugriff nicht aktiviert ist. In diesem Fall können keine Computer, weder innerhalb noch außerhalb von Azure, eine Verbindung mit den Datenbankknoten herstellen.
Öffentlicher IP-Zugriff mit Firewall
Mit der Option für öffentlichen Zugriff wird dem Cluster eine öffentliche IP-Adresse zugewiesen, und der Zugriff auf den Cluster wird durch eine Firewall geschützt.
Firewallübersicht
Azure Cosmos DB for MongoDB vCore verwendet eine Firewall auf Serverebene, um den gesamten Zugriff auf Ihren Cluster zu verhindern, bis Sie angeben, welche Computer über eine Berechtigung verfügen. Die Firewall gewährt den Clusterzugriff auf der Grundlage der Ursprungs-IP-Adresse der jeweiligen Anforderung. Zum Konfigurieren der Firewall erstellen Sie Firewallregeln, die Bereiche zulässiger IP-Adressen festlegen.
Firewallregeln ermöglichen Clients den Zugriff auf Ihren Cluster und alle darin enthaltenen Datenbanken. Firewallregeln auf Serverebene können mithilfe des Azure-Portals oder programmgesteuert mit Azure-Tools wie der Azure CLI konfiguriert werden.
Standardmäßig blockiert die Firewall den gesamten Zugriff auf den Cluster. Damit Sie Ihren Cluster über einen anderen Computer verwenden können, müssen Sie eine oder mehrere Firewallregeln auf Clusterebene angeben, um Zugriff auf Ihren Cluster zu ermöglichen. Legen Sie mithilfe der Firewallregeln fest, welche IP-Adressbereiche aus dem Internet zugelassen werden sollen. Firewallregeln wirken sich nicht auf den Zugriff auf die Website des Azure-Portals aus. Verbindungsversuche aus dem Internet und von Azure müssen zunächst die Firewall durchlaufen, bevor sie Ihre Datenbanken erreichen. Zusätzlich zu Firewallregeln kann Zugriff über private Verbindungen für eine private IP-Adresse genutzt werden, die nur für den Azure Cosmos DB for MongoDB vCore-Cluster verwendet wird.