Vue d’ensemble de la sécurité de base de données dans Azure Cosmos DB pour MongoDB vCore
S’APPLIQUE À : 
MongoDB vCore
Cet article décrit les meilleures pratiques en matière de sécurité de la base de données et les principales fonctionnalités d’Azure Cosmos DB pour MongoDB vCore qui vous aident à prévenir et détecter les violations de la base de données et à y répondre.
Nouveautés de la sécurité Azure Cosmos DB pour MongoDB vCore
Le chiffrement au repos est désormais disponible pour les documents et les sauvegardes stockés dans Azure Cosmos DB pour MongoDB vCore dans la plupart des régions Azure. Un chiffrement au repos est automatiquement appliqué aux clients nouveaux et existants dans ces régions. Il n’est pas nécessaire de configurer quoi que ce soit. Vous bénéficiez des mêmes performances remarquables en matière de temps de latence, de débit, de disponibilité et de fonctionnalité qu’auparavant, avec l’avantage de savoir que vos données sont en lieu sûr et sécurisée grâce à un chiffrement au repos. Les données stockées dans votre cluster Azure Cosmos DB pour MongoDB vCore sont chiffrées automatiquement et de façon fluide avec des clés gérées par Microsoft à l’aide de clés gérées par le service.
Comment sécuriser une base de données
La sécurité des données est une responsabilité partagée entre vous, le client et le fournisseur de votre base de données. Selon le fournisseur de base de données que vous choisissez, la part de votre responsabilité peut varier. Si vous choisissez une solution locale, vous devez fournir tous les éléments de la protection de point de terminaison à la sécurité physique de votre matériel, ce qui n’est pas une tâche facile. Si vous choisissez un fournisseur de base de données cloud PaaS comme Azure Cosmos DB, vous réduisez considérablement votre niveau d’inquiétude. L’image suivante, tirée du livre blanc Microsoft Shared Responsibilities for Cloud Computing (Responsabilités partagées en matière de cloud computing), montre en quoi votre responsabilité diminue en faisant appel à un fournisseur PaaS tel qu’Azure Cosmos DB.
Le diagramme précédent présente les composants de sécurité cloud de haut niveau. Quels sont ceux auxquels vous devez être particulièrement attentif pour votre solution de base de données ? Et comment comparer les solutions entre elles ?
Nous vous recommandons d’utiliser la liste de vérification suivante qui répertorie les critères selon lesquels comparer les systèmes de base de données :
- Sécurité du réseau et paramètres de pare-feu
- Authentification des utilisateurs et contrôles utilisateur affinés
- Possibilité de répliquer des données globalement en cas de défaillances régionales
- Possibilité de basculer d’un centre de données vers un autre
- Réplication locale des données dans un centre de données
- Sauvegardes automatiques des données
- Restauration des données supprimées à partir de sauvegardes
- Protection et isolement des données sensibles
- Surveillance des attaques
- Réponse aux attaques
- Possibilité de délimiter géographiquement les données pour respecter les restrictions de gouvernance des données
- Protection physique des serveurs dans les centres de données protégés
- Certifications
Bien que cela paraisse évident, de récents exemples de violations de base de données à grande échelle nous rappellent l’importance simple mais critique des exigences suivantes :
- Serveurs corrigés et régulièrement mis à jour
- Chiffrement HTTPS par défaut/TLS
- Comptes administratifs avec des mots de passe forts
Comment Azure Cosmos DB sécurise ma base de données ?
Azure Cosmos DB pour MongoDB vCore répond parfaitement à chacune de ces exigences de sécurité.
Examinons à présent chacune d’entre elles en détail.
| Exigence de sécurité | Approche de la sécurité d’Azure Cosmos DB |
|---|---|
| Sécurité du réseau | L’accès privé implémenté via la technologie Private Link mature vous permet de fournir l’accès au cluster pour les ressources dans les réseaux virtuels Azure. L’accès public vous permet d’ouvrir le cluster sur un ensemble défini d’adresses IP publiques. L’accès privé et public peut être combiné et activé ou désactivé à tout moment. Configuration par défaut : les clusters vCore Azure Cosmos DB for MongoDB sont créés en étant verrouillés par défaut. Pour fournir l’accès au cluster, les paramètres de mise en réseau doivent être mis à jour pour activer l’accès privé et/ou public au cluster lors de la création du cluster ou après celui-ci. Accès privé : avec l’accès privé activé, un point de terminaison privé peut être créé pour accéder au cluster privé à partir du réseau virtuel Azure. Le point de terminaison privé est créé dans le sous-réseau d’un réseau virtuel spécifié. Une fois terminé, toutes les fonctionnalités de réseau virtuel Azure sont disponibles pour le cluster, notamment l’appairage de réseaux virtuels locaux et globaux, l’accès à des environnements locaux privés, le filtrage et le routage du trafic réseau, etc. Accès public : l’utilisation d’un pare-feu IP est la première couche de protection pour sécuriser votre base de données. Azure Cosmos DB pour MongoDB vCore prend en charge les contrôles d’accès basés sur IP pilotés par stratégie pour le pare-feu entrant. Les contrôles d’accès basés sur IP sont similaires aux règles de pare-feu utilisées par les systèmes de base de données traditionnels. Cependant, elles sont étendues de sorte qu’un cluster Azure Cosmos DB pour MongoDB vCore ne soit accessible qu’à partir d’un ensemble approuvé de machines ou de services cloud. Toutes les demandes provenant d’ordinateurs ne figurant pas dans cette liste sont bloquées par Azure Cosmos DB pour MongoDB vCore. Les demandes issues d’ordinateurs et de services cloud approuvés doivent ensuite terminer le processus d’authentification pour bénéficier d’un contrôle d’accès sur les ressources. |
| Réplication locale | Même dans une seule région, Azure Cosmos DB for MongoDB vCore réplique les données au niveau du stockage en conservant 3 réplicas synchrones de chaque partition physique en toute transparence. Les clusters à haute disponibilité ont une autre couche de réplication entre chaque paire de partitions physiques principale et de secours. La réplication de haute disponibilité est synchrone et permet de n’avoir aucune perte de données sur les basculements, garantissant ainsi un contrat SLA de disponibilité mensuel de 99,99 % pour la configuration d’une seule région. |
| Réplication mondiale | Azure Cosmos DB for MongoDB vCore offre une réplication interrégion qui vous permet de répliquer vos données vers une autre région Azure. La réplication mondiale vous permet une mise à l’échelle globale et fournit un accès à faible latence à vos données dans le monde entier. Dans le contexte de la sécurité, la réplication globale garantit la protection des données contre les pannes régionales peu fréquentes. Avec le cluster réplica interrégion, une copie de vos données est toujours présente dans une autre région. Le réplica d’une autre région, combiné à la haute disponibilité, fournit un contrat SLA de disponibilité mensuel de 99,995 % pour la configuration multirégion. |
| Isolation de base de données | Les bases de données vCore Azure Cosmos DB for MongoDB sont hébergées sur leurs propres ressources dédiées. Cela signifie que chaque cluster obtient son propre nœud dédié appelé partition physique ou quelques-uns dans une configuration multi-partition. Chaque partition physique a son propre calcul et son stockage distant attaché. Il n’existe aucun partage d’infrastructure entre clusters fournissant une couche supplémentaire d’isolation physique et logique pour votre base de données. |
| Sauvegardes de cluster automatisées | La sauvegarde des clusters vCore Azure Cosmos DB for MongoDB est activée au moment de la création du cluster, est entièrement automatisée et ne peut pas être désactivée. La restauration est assurée à n’importe quel horodatage dans un délai de conservation de sauvegarde de 35 jours. |
| Restaurer les données supprimées | Les sauvegardes en ligne automatisées peuvent être utilisées pour récupérer des données à partir d’un cluster, vous avez peut-être supprimé accidentellement jusqu’à ~7 jours après l’événement. |
| Chiffrement HTTPS/SSL/TLS | Toutes les communications réseau avec des clusters vCore Azure Cosmos DB for MongoDB sont chiffrées. Seules les connexions via un client MongoDB sont acceptées et le chiffrement est toujours appliqué. Chaque fois que les données sont écrites dans Azure Cosmos DB for MongoDB vCore, vos données sont chiffrées en transit. Le chiffrement des données prend en charge les niveaux TLS jusqu’à 1.3 (inclus). |
| Chiffrement au repos | Les données vCore Azure Cosmos DB for MongoDB, y compris toutes les sauvegardes, sont chiffrées sur disque, y compris les fichiers temporaires. Le service utilise le chiffrement AES 256 bits inclus dans le chiffrement de stockage Azure, et les clés sont gérées par le système. Le chiffrement de stockage est toujours activé et ne peut pas être désactivé. |
| Surveillance des attaques | En utilisant l’enregistrement d’audit et les journaux d’activité, vous pouvez surveiller les activités normales et anormales de votre base de données. Vous pouvez voir les opérations qui ont été effectuées sur vos ressources. Ces données incluent qui a initié l’opération, quand l’opération a été réalisée, l’état de l’opération et bien plus encore. |
| Réponse aux attaques | Une fois que vous avez contacté le support Azure pour signaler une attaque potentielle, un processus de réponse aux incidents en cinq étapes est lancé. L’objectif du processus en cinq étapes est de restaurer la sécurité et les opérations normales du service. Le processus en cinq étapes permet de rétablir les services aussi rapidement que possible après la détection d’un problème et l’ouverture d’une enquête. Découvrez-en plus dans l’article Responsabilité partagée dans le cloud. |
| Installations protégées | Les données dans Azure Cosmos DB for MongoDB vCore sont stockées dans les centres de données protégés d’Azure. Pour en savoir plus, consultez les centres de données Microsoft globaux. |
| Serveurs corrigés | Azure Cosmos DB for MongoDB vCore évite d’avoir à gérer automatiquement les mises à jour logicielles et les clusters de correctifs. |
| Comptes administratifs avec des mots de passe forts | Il est difficile de croire que nous devions encore mentionner cette exigence, mais contrairement à certains de nos concurrents, il est impossible d’avoir un compte d’administrateur sans mot de passe dans Azure Cosmos DB pour MongoDB vCore. Le mot de passe doit contenir au moins 8 caractères, inclure des lettres majuscules et minuscules en anglais, des chiffres et des caractères non alphanumériques. La sécurité via l’authentification basée sur un secret TLS est intégrée par défaut. |
| Comptes secondaires | Pour un accès plus granulaire, des comptes d’utilisateurs secondaires peuvent être créés sur des clusters avec des privilèges en lecture-écriture ou en lecture seule sur les bases de données du cluster. |
| Certifications de sécurité et de protection des données | Pour obtenir la liste la plus à jour des certifications, consultez Conformité Azure et le dernier document de conformité Azure avec toutes les certifications Azure, y compris Azure Cosmos DB. |
La capture d’écran suivante montre comment utiliser l’enregistrement d’audit et les journaux d’activité pour monitorer votre compte : 
Options de sécurité réseau
Cette section décrit les différentes options de sécurité réseau que vous pouvez configurer pour votre cluster. Vous pouvez combiner des options d’accès public et privé sur votre cluster. Vous pouvez modifier les paramètres de configuration réseau à tout moment.
Pas d’accès
Aucun accès est l’option par défaut d’un cluster nouvellement créé si aucune règle de pare-feu ou point de terminaison privé n’a été créée lors de l’approvisionnement du cluster pour l’accès public ou privé respectivement. Dans ce cas, aucun ordinateur (que ce soit à l’intérieur ou à l’extérieur d’Azure) ne peut se connecter aux nœuds de base de données.
Accès IP public avec pare-feu
Dans l’option d’accès public, une IP publique est affectée au cluster et l’accès à celui-ci est protégé par un pare-feu. Si l’adresse IP publique n’est pas spécifiée dans l’une des règles de pare-feu du cluster, les demandes de cette adresse IP sont rejetées par le pare-feu et n’atteignent pas la base de données.
Accès privé
Dans l’option d’accès privé, un point de terminaison privé est créé pour le cluster. Ce point de terminaison privé est associé à un réseau virtuel Azure (VNet) et à un sous-réseau au sein de ce VNet. Le point de terminaison privé permet aux hôtes du réseau virtuel associé et des réseaux virtuels appairés d'accéder au cluster vCore Azure Cosmos DB for MongoDB.
Présentation du pare-feu
Azure Cosmos DB for MongoDB vCore utilise un pare-feu au niveau du cluster pour empêcher tout accès à votre cluster jusqu’à ce que vous spécifiiez les ordinateurs (adresses IP) autorisés. Le pare-feu octroie l’accès au cluster en fonction de l’adresse IP d’origine de chaque requête. Pour configurer votre pare-feu, vous créez des règles de pare-feu qui spécifient les plages d’adresses IP acceptables.
Les règles de pare-feu permettent aux clients d’accéder à votre cluster et à toutes les bases de données qu’il contient. Les règles de pare-feu au niveau du cluster peuvent être configurées à l’aide du portail Azure ou par programmation à l’aide d’outils Azure tels que l’interface de ligne de commande Azure.
Par défaut, le pare-feu bloque tout accès au cluster. Pour commencer à utiliser votre cluster à partir d’un autre ordinateur, vous devez spécifier une ou plusieurs règles de pare-feu au niveau du cluster pour activer l’accès à votre cluster. Utilisez les règles de pare-feu pour spécifier les plages d’adresses IP d’Internet à autoriser. Les règles de pare-feu n’affectent pas l’accès au site web du portail Azure. Les tentatives de connexion en provenance d’Internet et d’Azure doivent franchir le pare-feu avant de pouvoir atteindre vos bases de données.