Compartir a través de


Guía de seguridad para el Azure Cosmos DB for NoSQL

SE APLICA A: NoSQL

Diagrama de la ubicación actual (

Diagrama de la secuencia de la guía de implementación, incluidas estas ubicaciones, en orden: Información general, Conceptos, Preparación, Control de acceso basado en rol, Red y Referencia. La ubicación "Información general" está resaltada actualmente.

Al trabajar con Azure Cosmos DB for NoSQL, es importante asegurarse de que los usuarios y las aplicaciones autorizados tengan acceso a los datos y, al mismo tiempo, impidan el acceso involuntario o no autorizado.

Aunque el uso de claves y credenciales de contraseña de propietario de recursos puede parecer una opción cómoda, no se recomienda debido a varias razones. En primer lugar, estos métodos carecen de la solidez y flexibilidad que proporciona la autenticación de Microsoft Entra. Microsoft Entra ofrece características de seguridad mejoradas, como la autenticación multifactor y las directivas de acceso condicional, lo que reduce considerablemente el riesgo de acceso no autorizado. Con Microsoft Entra, puede mejorar significativamente la posición de seguridad de las aplicaciones y proteger los datos confidenciales frente a posibles amenazas.

Administración del acceso

El control de acceso basado en rol mediante Microsoft Entra ofrece la posibilidad de administrar qué usuarios, dispositivos o cargas de trabajo pueden acceder a los datos y cuál es el alcance de dicho acceso. El uso de la personalización avanzada de permisos en una definición de roles ofrece la flexibilidad de aplicar la entidad de seguridad de "privilegios mínimos" y, al mismo tiempo, mantiene el acceso a datos sencillo y optimizado para las tareas de desarrollo.

Concesión de acceso en producción

En las aplicaciones de producción, Microsoft Entra ofrece muchos tipos de identidad, entre los que se incluyen:

  • Identidades de carga de trabajo para cargas de trabajo de aplicaciones específicas
  • Identidades administradas asignadas por el sistema nativas de un servicio de Azure
  • Identidades administradas asignadas por el usuario que se pueden reutilizar de forma flexible entre varios servicios de Azure
  • Entidades de servicio para escenarios personalizados y más sofisticados
  • Identidades de dispositivo para cargas de trabajo perimetrales

Con estas identidades, puede conceder acceso específico a determinadas aplicaciones de producción o cargas de trabajo para consultar, leer o manipular recursos en Azure Cosmos DB.

Concesión de acceso en el desarrollo

En el desarrollo, Microsoft Entra ofrece el mismo nivel de flexibilidad a las identidades humanas del desarrollador. Puede usar las mismas técnicas de asignación y definiciones de control de acceso basado en rol para conceder a los desarrolladores acceso a las cuentas de base de datos de prueba, ensayo o desarrollo.

El equipo de seguridad tiene un único conjunto de herramientas para administrar identidades y permisos para las cuentas en todos los entornos.

Simplificación del código de autenticación

Con el SDK de Azure, las técnicas que se usan para acceder a los datos de Azure Cosmos DB mediante programación en muchos escenarios diferentes:

  • Si la aplicación está en desarrollo o producción
  • Si usa identidades humanas, de carga de trabajo, administradas o de dispositivo
  • Si su equipo prefiere usar la CLI de Azure, Azure PowerShell, Azure Developer CLI, Visual Studio o Visual Studio Code
  • Si su equipo usa Python, JavaScript, TypeScript, .NET, Go o Java

El SDK de Azure proporciona una biblioteca de identidades compatible con muchas plataformas, lenguajes de desarrollo y técnicas de autenticación. Una vez que aprenda a habilitar la autenticación de Microsoft Entra, la técnica sigue siendo la misma en todos los escenarios. No es necesario crear pilas de autenticación distintas para cada entorno.

Paso siguiente