Guía de seguridad para el Azure Cosmos DB for MongoDB
SE APLICA A: MongoDB
Al trabajar con Azure Cosmos DB for MongoDB, es importante asegurarse de que los usuarios y las aplicaciones autorizados tengan acceso a los datos al tiempo que impiden el acceso involuntario o no autorizado.
Aunque el uso de claves y credenciales de contraseña de propietario de recursos puede parecer una opción cómoda, no se recomienda debido a varias razones. En primer lugar, estos métodos carecen de la solidez y flexibilidad proporcionadas por la autenticación de Microsoft Entra. Microsoft Entra ofrece características de seguridad mejoradas, como la autenticación multifactor y las directivas de acceso condicional, lo que reduce considerablemente el riesgo de acceso no autorizado. Con Microsoft Entra, puede mejorar significativamente la posición de seguridad de las aplicaciones y proteger los datos confidenciales frente a posibles amenazas.
Administración del acceso
El control de acceso basado en roles mediante Microsoft Entra ofrece la capacidad de administrar qué usuarios, dispositivos o cargas de trabajo pueden acceder a los datos y hasta qué punto pueden acceder a esos datos. El uso de la personalización avanzada de permisos en una definición de roles ofrece flexibilidad para aplicar la entidad de seguridad de "privilegios mínimos" al tiempo que mantiene el acceso a datos sencillo y optimizado para el desarrollo.
Concesión de acceso en producción
En las aplicaciones de producción, Microsoft Entra ofrece muchos tipos de identidad, entre los que se incluyen, entre otros:
- Identidades de carga de trabajo para cargas de trabajo de aplicaciones específicas
- Identidades administradas asignadas por el sistema nativas a un servicio de Azure
- Identidades administradas asignadas por el usuario que se pueden reutilizar de forma flexible entre varios servicios de Azure
- Entidades de servicio para escenarios personalizados y más sofisticados
- Identidades de dispositivo para cargas de trabajo perimetrales
Con estas identidades, puede conceder acceso específico a aplicaciones de producción o cargas de trabajo específicas para consultar, leer o manipular recursos en Azure Cosmos DB.
Concesión de acceso en el desarrollo
En desarrollo, Microsoft Entra ofrece el mismo nivel de flexibilidad a las identidades humanas del desarrollador. Puede usar las mismas técnicas de asignación y definiciones de control de acceso basadas en rol para conceder a los desarrolladores acceso a las cuentas de base de datos de prueba, almacenamiento provisional o desarrollo.
El equipo de seguridad tiene un único conjunto de herramientas para administrar identidades y permisos para las cuentas en todos los entornos.
Simplificación del código de autenticación
Con el SDK de Azure, las técnicas que se usan para acceder a los datos de Azure Cosmos DB mediante programación en muchos escenarios diferentes:
- Si la aplicación está en desarrollo o producción
- Si usa identidades humanas, de carga de trabajo, administradas o de dispositivo
- Si su equipo prefiere usar la CLI de Azure, Azure PowerShell, Azure Developer CLI, Visual Studio o Visual Studio Code
- Si su equipo usa Python, JavaScript, TypeScript, .NET, Go o Java
El SDK de Azure proporciona una biblioteca de identidades compatible con muchas plataformas, lenguaje de desarrollo y técnicas de autenticación. Una vez que aprenda a habilitar la autenticación de Microsoft Entra, la técnica sigue siendo la misma en todos los escenarios. No es necesario crear pilas de autenticación distintas para cada entorno.