Introducción a la seguridad de bases de datos en el núcleo virtual de Azure Cosmos DB for MongoDB
SE APLICA A: núcleo virtual de MongoDB
En este artículo se describen los procedimientos recomendados de seguridad de bases de datos y las principales características que ofrece el núcleo virtual de Azure Cosmos DB for MongoDB para ayudarle a evitar y detectar infracciones en bases de datos, así como a responder a estos incidentes.
Novedades en la seguridad de núcleo virtual de Azure Cosmos DB for MongoDB
El cifrado en reposo ahora está disponible para los documentos y copias de seguridad almacenados en el núcleo virtual de Azure Cosmos DB for MongoDB en todas las regiones de Azure. El cifrado en reposo se aplica automáticamente a los clientes nuevos y existentes de estas regiones. No es necesario configurar nada. Obtiene la misma latencia, rendimiento, disponibilidad y funcionalidad excelentes que antes con la ventaja de saber que los datos son seguros y de protegerlos con el cifrado en reposo. Los datos almacenados en clúster de núcleo virtual de Azure Cosmos DB for MongoDB se cifran de forma automática y efectiva con claves administradas por Microsoft mediante las claves administradas por el servicio.
¿Cómo puedo proteger mi base de datos?
La seguridad de los datos constituye una responsabilidad compartida entre el cliente y el proveedor de base de datos. Dependiendo del proveedor de base de datos que elija, puede variar el nivel de responsabilidad que asumir. Si elige una solución local, debe proporcionar todos los elementos: desde la protección de extremo a extremo hasta la seguridad física del hardware, lo que no es tarea fácil. Si elige un proveedor de bases de datos en la nube PaaS como Azure Cosmos DB, se reduce considerablemente el área de responsabilidad. En la siguiente imagen, que se tomó prestada de las notas del producto Shared Responsibilities for Cloud Computing (Responsabilidades compartidas de la informática en la nube), se muestra cómo se reduce la responsabilidad con un proveedor de PaaS como Azure Cosmos DB.
En el diagrama anterior se muestran los componentes de seguridad en la nube de alto nivel, pero, en una solución de base de datos, ¿por qué debe preocuparse exactamente? ¿Y cómo puede comparar soluciones?
Recomendamos la siguiente lista de comprobación de requisitos para comparar sistemas de bases de datos:
- Seguridad de red y la configuración de firewall
- Autenticación de usuarios y controles de usuario muy específicos
- Capacidad de replicar datos globalmente en caso de errores regionales
- Capacidad de conmutar por error de un centro de datos a otro
- Replicación de datos local dentro de un centro de datos
- Copias de seguridad de datos automáticas
- Restauración de los datos eliminados de las copias de seguridad
- Protección y aislamiento de datos confidenciales
- Supervisión de ataques
- Respuesta a alertas
- Capacidad de aplicar límites geografos a datos para cumplir las restricciones de gobernanza de datos
- Protección física de los servidores en centros de datos protegidos
- Certificaciones
Aunque puede parecer obvio, algunas infracciones recientes de bases de datos de gran envergadura nos recuerdan lo importantes que son los siguientes requisitos (que, además, son muy fáciles de cumplir):
- Servidores revisados que se mantengan actualizados
- Protocolo HTTPS de forma predeterminada/cifrado TLS
- Cuentas administrativas con contraseñas seguras
¿Cómo protege Azure Cosmos DB mi base de datos?
El núcleo virtual de Azure Cosmos DB for MongoDB cumple sin problemas todos y cada uno de esos requisitos de seguridad.
Analicemos cada uno de ellas en detalle.
Requisito de seguridad | Enfoque de seguridad de Azure Cosmos DB |
---|---|
Seguridad de las redes | Usar un firewall IP es la primera línea de defensa para proteger una base de datos. El núcleo virtual de Azure Cosmos DB for MongoDB admite controles de acceso basados en IP orientados a directivas para agregar compatibilidad con el firewall de entrada. Los controles de acceso basados en IP son similares a las reglas de firewall que usan los sistemas de base de datos tradicionales. Sin embargo, se han ampliado para que un clúster de núcleo virtual de Azure Cosmos DB for MongoDB sea accesible desde un conjunto aprobado de máquinas o servicios en la nube. El núcleo virtual de Azure Cosmos DB for MongoDB permite habilitar una dirección IP específica (168.61.48.0), un intervalo IP (168.61.48.0/8) o combinaciones de direcciones IP e intervalos. El núcleo virtual de Azure Cosmos DB for MongoDB bloqueará todas las solicitudes procedentes de máquinas que no pertenezcan a esta lista permitida. Las solicitudes de máquinas aprobadas y servicios en la nube deben completar el proceso de autenticación para poder controlar el acceso a los recursos. |
Replicación local | Incluso dentro de un único centro de datos, el núcleo virtual de Azure Cosmos DB for MongoDB para núcleo virtual replica los datos mediante LRS. Los clústeres habilitados para alta disponibilidad también tienen otra capa de replicación entre un nodo principal y secundario, lo que garantiza un SLA de disponibilidad del 99,995 %. |
Copias de seguridad en línea automatizadas | Las copias de seguridad de las bases de datos de núcleo virtual de Azure Cosmos DB for MongoDB se realizan de manera periódica y se guardan en un almacén con redundancia geográfica. |
Restauración de los datos eliminados | Las copias de seguridad automatizadas en línea se pueden utilizar para recuperar los datos que puede que haya eliminado accidentalmente hasta unos 7 días después del hecho. |
Protección y aislamiento de datos confidenciales | Todos los datos de las regiones incluidos en Novedades ahora se cifran en reposo. |
Supervisión de los ataques | Use los registros de auditoría y los registros de actividad para supervisar la actividad normal y la anómala de su cuenta. Puede ver qué operaciones se realizaron en los recursos. Estos datos incluyen: quién inició la operación, cuando se produjo, el estado y mucha más información. |
Respuesta a ataques | Una vez que se ha puesto en contacto con el equipo de Soporte técnico de Azure para informar de un posible ataque, se inicia un proceso de respuesta a incidentes de cinco pasos. El objetivo del proceso de cinco pasos es restaurar la seguridad y las operaciones normales del servicio. El proceso de cinco pasos restaura los servicios lo antes posible después de que se detecte un problema y se inicie una investigación. Obtenga más información en Microsoft Azure Security Response in the Cloud (Respuesta de seguridad de Microsoft Azure en la nube). |
Instalaciones protegidas | Los datos del núcleo virtual de Azure Cosmos DB for MongoDB se almacenan en los SSD de los centros de datos protegidos de Azure. Obtenga información sobre los centros de datos globales de Microsoft. |
HTTPS, SSL y cifrado TLS | El núcleo virtual de Azure Cosmos DB for MongoDB admite niveles de TLS de hasta 1.3 (incluido). Es posible aplicar un nivel de TLS mínimo en el servidor. |
Cifrado en tránsito | El cifrado (SSL/TLS) siempre se aplica y, si intenta conectarse al clúster sin cifrado, se produce un error en ese intento. Solo se aceptan conexiones a través de un cliente de MongoDB y siempre se aplica el cifrado. Cada vez que se escriben datos en el núcleo virtual de Azure Cosmos DB for MongoDB, los datos se cifran en tránsito con Seguridad de la capa de transporte 1.3. |
Cifrado en reposo | Azure Cosmos DB para núcleo virtual de Mongo DB usa el módulo criptográfico con validación FIPS 140-2 para el cifrado del almacenamiento de los datos en reposo. Los datos, incluidas todas las copias de seguridad, se cifran en el disco, y también incluyen los archivos temporales. El servicio usa el cifrado AES de 256 bits que se incluye en el cifrado de almacenamiento de Azure y las claves las administra el sistema. El cifrado de almacenamiento siempre está activado y no se puede deshabilitar. |
Servidores revisados | El núcleo virtual de Azure Cosmos DB for MongoDB elimina la necesidad de administrar y aplicar revisiones a los clústeres, lo que se hace automáticamente. |
Cuentas administrativas con contraseñas seguras | Cuesta creer que tengamos que hacer mención a este requisito, pero, a diferencia de algunos de nuestros competidores, no se puede tener una cuenta administrativa sin contraseña en el núcleo virtual de Azure Cosmos DB for MongoDB. La seguridad a través de la autenticación basada en secretos de TLS se realiza de forma predeterminada. |
Certificaciones de protección de datos y seguridad | Para obtener la lista más actualizada de certificaciones, consulte Cumplimiento de Azure y el documento de cumplimiento de Azure más reciente con todas las certificaciones de Azure, incluido Azure Cosmos DB. |
En la captura de pantalla siguiente se muestra cómo puede usar los registros de actividad y los registros de auditoría para supervisar su cuenta:
Opciones de seguridad de red
En esta sección se describen varias opciones de seguridad de red que puede configurar para su clúster.
Sin acceso
Sin acceso es la opción predeterminada de un clúster creado recientemente si el acceso público o privado no está habilitado. En este caso, ningún equipo, ya sea dentro o fuera de Azure, puede conectarse a los nodos de base de datos.
Acceso dirección IP pública con firewall
En la opción de acceso público, se asigna una dirección IP pública al clúster y un firewall protege el acceso al clúster.
Información general de firewalls
Azure Cosmos DB para núcleo virtual de Mongo DB usa un firewall de nivel de servidor para impedir todo el acceso al clúster hasta que especifique qué equipos tienen permiso. Asimismo, otorgan acceso al clúster según la dirección IP de origen de cada solicitud. Para configurar su firewall, cree reglas de firewall que especifiquen intervalos de direcciones IP aceptables.
Las reglas de firewall permiten a los clientes acceder al clúster y a todas las bases de datos que contiene. Las reglas de firewall de nivel de servidor se pueden configurar mediante Azure Portal o programación usando herramientas de Azure, como la CLI de Azure.
De forma predeterminada, el firewall bloquea todo el acceso a su clúster. Para comenzar a usar el clúster desde otro equipo, debe especificar una o varias reglas de firewall a nivel de servidor para habilitar el acceso a su clúster. Use las reglas de firewall para especificar los intervalos de direcciones IP de Internet que se permitirán. Las reglas de firewall no afectan al acceso al sitio web de Azure Portal. Los intentos de conexión desde Internet y Azure deben atravesar primero el firewall antes de poder alcanzar sus bases de datos. Además de las reglas de firewall, se incluye el acceso de vínculo privado que se puede usar para una dirección IP privada solo para el clúster de núcleo virtual de Azure Cosmos DB for MongoDB.