Delen via


Beveiligingsrichtlijnen voor Azure Cosmos DB for NoSQL

VAN TOEPASSING OP: NoSQL

Diagram van de huidige locatie ('Overzicht') in de volgorde van de implementatiehandleiding.

Diagram van de volgorde van de implementatiehandleiding, inclusief deze locaties, in volgorde: Overzicht, Concepten, Voorbereiden, op rollen gebaseerd toegangsbeheer, Netwerk en Verwijzing. De locatie Overzicht is momenteel gemarkeerd.

Wanneer u met Azure Cosmos DB for NoSQL werkt, is het belangrijk ervoor te zorgen dat geautoriseerde gebruikers en toepassingen toegang hebben tot gegevens terwijl onbedoelde of onbevoegde toegang wordt voorkomen.

Hoewel het gebruik van sleutels en wachtwoordreferenties van de resource-eigenaar misschien een handige optie lijkt, wordt het niet aanbevolen om verschillende redenen. Ten eerste ontbreken deze methoden de robuustheid en flexibiliteit van Microsoft Entra-verificatie. Microsoft Entra biedt verbeterde beveiligingsfuncties, zoals meervoudige verificatie en beleid voor voorwaardelijke toegang, waardoor het risico op onbevoegde toegang aanzienlijk wordt verminderd. Met Behulp van Microsoft Entra kunt u de beveiligingspostuur van uw toepassingen aanzienlijk verbeteren en gevoelige gegevens beschermen tegen mogelijke bedreigingen.

Toegang beheren

Op rollen gebaseerd toegangsbeheer met Microsoft Entra biedt u de mogelijkheid om te beheren welke gebruikers, apparaten of workloads toegang hebben tot uw gegevens en in welke mate ze toegang hebben tot die gegevens. Het gebruik van verfijnde machtigingen in een roldefinitie biedt u de flexibiliteit om de beveiligingsprincipaal van 'minimale bevoegdheid' af te dwingen, terwijl gegevenstoegang eenvoudig en gestroomlijnd blijft voor ontwikkeling.

Toegang verlenen in productie

In productietoepassingen biedt Microsoft Entra veel identiteitstypen, waaronder, maar niet beperkt tot:

  • Workloadidentiteiten voor specifieke toepassingsworkloads
  • Door het systeem toegewezen beheerde identiteiten die systeemeigen zijn voor een Azure-service
  • Door de gebruiker toegewezen beheerde identiteiten die flexibel kunnen worden hergebruikt tussen meerdere Azure-services
  • Service-principals voor aangepaste en geavanceerdere scenario's
  • Apparaat-id's voor edge-workloads

Met deze identiteiten kunt u specifieke productietoepassingen of workloads gedetailleerde toegang verlenen tot query's, lezen of bewerken van resources in Azure Cosmos DB.

Toegang verlenen in ontwikkeling

In ontwikkeling biedt Microsoft Entra hetzelfde flexibiliteitsniveau voor de menselijke identiteiten van uw ontwikkelaar. U kunt dezelfde definities en toewijzingstechnieken voor op rollen gebaseerd toegangsbeheer gebruiken om uw ontwikkelaars toegang te verlenen tot test-, faserings- of ontwikkelingsdatabaseaccounts.

Uw beveiligingsteam heeft één reeks hulpprogramma's voor het beheren van identiteiten en machtigingen voor uw accounts in al uw omgevingen.

Verificatiecode stroomlijnen

Met de Azure SDK hebben de technieken die worden gebruikt om programmatisch toegang te krijgen tot Azure Cosmos DB-gegevens in veel verschillende scenario's:

  • Als uw toepassing in ontwikkeling of productie is
  • Als u menselijke, workload-, beheerde of apparaatidentiteiten gebruikt
  • Als uw team liever Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio of Visual Studio Code gebruikt
  • Als uw team Python, JavaScript, TypeScript, .NET, Go of Java gebruikt

De Azure SDK biedt een identiteitsbibliotheek die compatibel is met veel platforms, ontwikkeltaal en verificatietechnieken. Zodra u hebt geleerd hoe u Microsoft Entra-verificatie inschakelt, blijft de techniek hetzelfde in al uw scenario's. U hoeft geen afzonderlijke verificatiestacks te bouwen voor elke omgeving.

Volgende stap