Orientações de segurança para o Azure Cosmos DB for Table
Diagrama da sequência do guia de implantação, incluindo estes locais, em ordem: Visão geral, Conceitos, Preparação, Controle de acesso baseado em função, Rede e Referência. O local “Visão geral” está destacado no momento.
Ao trabalhar com o Azure Cosmos DB for Table, é importante garantir que usuários e aplicativos autorizados tenham acesso aos dados, evitando acesso não intencional ou não autorizado.
Embora usar chaves e credenciais de senha do proprietário do recurso possa parecer uma opção conveniente, isso não é recomendado por vários motivos. Em primeiro lugar, esses métodos não têm a robustez e a flexibilidade fornecidas pela autenticação do Microsoft Entra. O Microsoft Entra oferece recursos de segurança aprimorados, como autenticação multifator e políticas de acesso condicional, que reduzem muito o risco de acesso não autorizado. Com o Microsoft Entra, é possível melhorar significativamente a postura de segurança dos aplicativos e proteger dados confidenciais contra possíveis ameaças.
Gerenciar acesso
Ao usar o controle de acesso baseado em função com o Microsoft Entra, é possível gerenciar quais usuários, dispositivos ou cargas de trabalho podem acessar os dados e até que ponto. Ao usar permissões refinadas em uma definição de função, você tem a flexibilidade de impor o princípio de segurança de "privilégio mínimo", o que ajuda a manter o acesso aos dados simples e otimizado para desenvolvimento.
Conceder acesso em ambientes de produção
O Microsoft Entra oferece muitos tipos de identidade em aplicativos de produção, incluindo os seguintes, entre outros:
- Identidades para cargas de trabalho de aplicativo específicas
- Identidades gerenciadas atribuídas pelo sistema nativas para um serviço do Azure
- Identidades gerenciadas atribuídas pelo usuário que podem ser reutilizadas de maneira flexível entre vários serviços do Azure
- Entidades de segurança de serviço para cenários personalizados e mais sofisticados
- Identidades de dispositivos para cargas de trabalho de borda
Com essas identidades, é possível conceder a aplicativos de produção ou cargas de trabalho específicos acesso detalhado para consultar, ler ou processar recursos no Azure Cosmos DB.
Conceder acesso em ambientes de desenvolvimento
Para ambientes de desenvolvimento, o Microsoft Entra oferece o mesmo nível de flexibilidade às identidades dos desenvolvedores. É possível usar as mesmas definições de controle de acesso baseado em funções e técnicas de atribuição para conceder aos desenvolvedores acesso a contas de banco de dados de teste, preparação ou desenvolvimento.
Sua equipe de segurança tem um único conjunto de ferramentas para gerenciar as identidades e permissões das contas em todos os ambientes.
Simplificar o código de autenticação
Com o SDK do Azure, há técnicas usadas para acessar dados do Azure Cosmos DB programaticamente em muitos cenários diferentes:
- Quando o aplicativo está em desenvolvimento ou em produção
- Quando você está usando identidades de pessoas, de carga de trabalho, gerenciadas ou de dispositivo
- Quando sua equipe prefere usar a CLI do Azure, o Azure PowerShell, a Azure Developer CLI, o Visual Studio ou o Visual Studio Code
- Quando sua equipe usa Python, JavaScript, TypeScript, .NET, Go ou Java
O SDK do Azure fornece uma biblioteca de identidades compatível com muitas plataformas, linguagens de desenvolvimento e técnicas de autenticação. Depois de aprender a habilitar a autenticação do Microsoft Entra, a técnica permanecerá a mesma em todos os cenários. Não há necessidade de criar pilhas de autenticação distintas para cada ambiente.