Consideraciones de seguridad en Azure Cosmos DB
La seguridad de los datos constituye una responsabilidad compartida entre el cliente y el proveedor de base de datos. Dependiendo del proveedor de base de datos que elija, puede variar el nivel de responsabilidad que asumir. Si elige una solución local, debe proporcionar todos los elementos, desde la protección de extremo a extremo hasta la seguridad física del hardware, lo que no es tarea fácil. Si elige un proveedor de base de datos en la nube de plataforma como servicio (PaaS) como Azure Cosmos DB, se reduce considerablemente el área de preocupación.
Para más información, consulte la responsabilidad compartida en la nube.
Lista de comprobación
Recomendamos la siguiente lista de comprobación de requisitos para comparar sistemas de bases de datos:
- Seguridad de red y la configuración de firewall
- Autenticación de usuarios y controles de usuario muy específicos
- Capacidad de replicar datos globalmente en caso de errores regionales
- Capacidad de conmutar por error de un centro de datos a otro
- Replicación de datos locales dentro de un centro de datos
- Copias de seguridad de datos automáticas
- Restauración de los datos eliminados de las copias de seguridad
- Capacidad de protección y aislamiento de datos confidenciales
- Supervisión de ataques
- Respuestas integradas a ataques
- Capacidad de aplicar límites geografos a datos para cumplir las restricciones de gobernanza de datos
- Protección física de los servidores en centros de datos protegidos
- Certificaciones
Aunque puede parecer obvio, algunas infracciones recientes de bases de datos de gran envergadura nos recuerdan lo importantes y simples que son los siguientes requisitos:
- Servidores revisados que se mantengan actualizados
- Protocolo HTTPS de forma predeterminada/cifrado TLS
- Cuentas administrativas con contraseñas seguras
¿Cómo puede proteger Azure Cosmos DB mi base de datos?
Azure Cosmos DB protege la base de datos de forma predeterminada con muchas características integradas en el servicio y Azure en general.
| Requisito de seguridad | Enfoque de seguridad de Azure Cosmos DB |
|---|---|
| Seguridad de las redes | Usar un firewall IP es la primera línea de defensa para proteger una base de datos. Azure Cosmos DB admite controles de acceso basados en IP orientados a directivas para agregar compatibilidad con el firewall de entrada. Los controles de acceso basados en IP son similares a las reglas de firewall que usan los sistemas de base de datos tradicionales. Sin embargo, se han ampliado para que una cuenta de bases de datos de Azure Cosmos DB sea accesible desde un conjunto aprobado de máquinas o servicios en la nube. Para obtener más información, consulte Compatibilidad con un firewall de Azure Cosmos DB. Con Azure Cosmos DB puede habilitar una dirección IP específica (168.61.48.0), un intervalo IP (168.61.48.0/8) y combinaciones de direcciones IP e intervalos. Azure Cosmos DB bloquea todas las solicitudes que se originan desde máquinas fuera de esta lista de permitidos. Las solicitudes de máquinas aprobadas y servicios en la nube deben completar el proceso de autenticación para poder controlar el acceso a los recursos. Puede usar etiquetas de servicio de red virtual para lograr el aislamiento de red y proteger los recursos de Azure Cosmos DB desde el Internet general. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, AzureCosmosDB) en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. |
| Authorization | Azure Cosmos DB utiliza el código de autenticación de mensajes basado en hash (HMAC) para la autorización. Cada solicitud se cifra mediante la clave de cuenta secreta, y el hash codificado en base64 subsiguiente se envía con cada llamada a Azure Cosmos DB. Para validar la solicitud, Azure Cosmos DB utiliza la clave secreta y las propiedades correctas para generar un código hash y, luego, compara el valor con el que muestra la solicitud. Si los dos valores coinciden, la operación se autoriza correctamente y se procesa la solicitud. Si los valores no coinciden, se produce un error de autorización y se rechaza la solicitud. Puede usar una clave principal, lo que permite acceso muy específico a un recurso, por ejemplo, un documento. Para obtener más información, consulte Protección del acceso a los recursos de Azure Cosmos DB. |
| Usuarios y permisos | Mediante la clave principal de la cuenta, puede crear recursos de usuario y de permiso por base de datos. Un token de recurso está asociado con un permiso en una base de datos y determina si el usuario tiene acceso (lectura y escritura, de solo lectura, o ninguno) aun recurso de aplicación en la base de datos. Los recursos de aplicación incluyen contenedores, documentos, datos adjuntos, procedimientos almacenados, desencadenadores y funciones definidas por el usuario. El token de recurso se usa luego durante la autenticación para proporcionar o denegar el acceso al recurso. Para obtener más información, consulte Protección del acceso a los recursos de Azure Cosmos DB. |
| Integración de Active Directory (control de acceso basado en roles de Azure) | También puede proporcionar o restringir el acceso a la cuenta de Azure Cosmos DB, la base de datos, el contenedor y las ofertas (rendimiento) mediante el control de acceso (IAM) en Azure Portal. IAM proporciona una funcionalidad de control de acceso basado en roles y se integra con Active Directory. Puede usar roles integrados o personalizados para usuarios y grupos. |
| Replicación global | Azure Cosmos DB ofrece una distribución global llave en mano, lo que permite replicar los datos en cualquiera de los centros de datos de Azure de todo el mundo de forma sencilla. Gracias a la replicación global, podrá realizar un escalado a nivel internacional y proporcionar un acceso de latencia baja a datos de todo el mundo. En el contexto de seguridad, la replicación global garantiza la protección de los datos frente a errores regionales. Para obtener más información, consulte Distribuir datos globalmente. |
| Conmutaciones por error regionales | Si replica los datos en más de un centro de datos, Azure Cosmos DB sustituirá automáticamente las operaciones en caso de que se desconecte un centro de datos regional. Puede crear una lista de prioridades de regiones de conmutación por error con las regiones en las que se replicarán los datos. Para obtener más información, consulte Conmutaciones por error regionales de Azure Cosmos DB. |
| Replicación local | Incluso dentro de un solo centro de datos, Azure Cosmos DB replica automáticamente los datos para lograr una alta disponibilidad, lo que posibilita diversos niveles de coherencia. Esta replicación garantiza un Acuerdo de Nivel de Servicio con disponibilidad del 99,99 % para todas las cuentas de una sola región y todas las cuentas de varias regiones con coherencia moderada y disponibilidad de lectura del 99,999 % para todas las cuentas de base de datos de varias regiones. |
| Copias de seguridad en línea automatizadas | Las copias de seguridad de las bases de datos de Azure Cosmos DB se realizan de manera periódica y se guardan en un almacén con redundancia geográfica. Para obtener más información, consulte Copias de seguridad y restauración automáticas en línea con Azure Cosmos DB. |
| Restauración de los datos eliminados | Puede usar las copias de seguridad automatizadas en línea para recuperar los datos eliminados accidentalmente hasta unos 30 días después del evento. Para obtener más información, consulte Copias de seguridad y restauración automáticas en línea con Azure Cosmos DB. |
| Protección y aislamiento de datos confidenciales | Todos los datos de las regiones incluidos en Novedades ahora se cifran en reposo. Los datos personales y otros datos confidenciales se pueden aislar en contenedores específicos. Además, se puede limitar el acceso de escritura-lectura o de solo lectura a usuarios concretos. |
| Supervisión de los ataques | Use los registros de auditoría y los registros de actividad para supervisar la actividad normal y la anómala de su cuenta. Puede ver qué operaciones se realizaron en los recursos. Estos datos incluyen quién inició la operación, cuándo se produjo, el estado y más información. |
| Respuesta a ataques | Después de contactar con el soporte técnico de Azure para informar de un posible ataque, se inicia un proceso de respuesta a incidentes en cinco pasos. El objetivo es restaurar la seguridad y las operaciones normales del servicio. El proceso restaura los servicios lo antes posible después de que se detecte un problema y se inicie una investigación. Para obtener más información, consulte Respuesta de seguridad en la nube de Microsoft Azure. |
| Geovalla | Azure Cosmos DB garantiza la gobernanza de datos para regiones soberanas (por ejemplo, Alemania, China y US Government). |
| Instalaciones protegidas | Los datos de Azure Cosmos DB se almacenan en unidades de estado sólido en los centros de datos protegidos de Azure. Para obtener más información, consulte Centros de datos globales de Microsoft. |
| Cifrado HTTPS y TLS | Todas las conexiones a Azure Cosmos DB admiten HTTPS. Azure Cosmos DB admite niveles de seguridad de la capa de transporte (TLS) hasta 1.2 (incluido). Es posible aplicar un nivel de TLS mínimo en el lado servidor. Para hacerlo, consulte la guía de autoservicio Cumplimiento mínimo de la versión de TLS en Azure Cosmos DB. |
| Cifrado en reposo | Todos los datos almacenados en Azure Cosmos DB se cifran en reposo. Obtenga más información en Cifrado de Azure Cosmos DB en reposo. |
| Servidores revisados | Como base de datos administrada, Azure Cosmos DB aplica revisiones y administra automáticamente el servidor en su nombre, lo que elimina la necesidad de tareas de mantenimiento manual. |
| Cuentas administrativas con contraseñas seguras | Es imposible tener una cuenta administrativa sin contraseña en Azure Cosmos DB. La seguridad mediante TLS y la autenticación basada en secreto HMAC están incorporadas de manera predeterminada. |
| Certificaciones de protección de datos y seguridad | Para obtener la lista más actualizada de certificaciones, consulte Cumplimiento de Azure y el documento de cumplimiento de Azure más reciente con todas las certificaciones de Azure, incluido Azure Cosmos DB. |