Sicherheitsleitfaden für Azure Cosmos DB for Table
Diagramm der Sequenz des Bereitstellungshandbuchs einschließlich dieser Abschnitte in der Reihenfolge: Übersicht, Konzepte, Vorbereiten, rollenbasierte Zugriffssteuerung, Netzwerk und Verweis. Der Abschnitt „Übersicht“ ist zurzeit hervorgehoben.
Beim Arbeiten mit Azure Cosmos DB for Table ist es wichtig, sicherzustellen, dass autorisierte Benutzer und Anwendungen Zugriff auf Daten haben, während unbeabsichtigter oder nicht autorisierter Zugriff verhindert wird.
Obwohl die Verwendung von Schlüsseln und Kennwortanmeldeinformationen des Ressourcenbesitzers eine bequeme Option zu sein scheint, wird sie aus mehreren Gründen nicht empfohlen. Erstens mangelt es diesen Methoden an der Robustheit und Flexibilität, welche die Microsoft Entra-Authentifizierung bietet. Microsoft Entra bietet Features für erhöhte Sicherheit wie die Multi-Faktor-Authentifizierung und Richtlinien für bedingten Zugriff, wodurch das Risiko eines nicht autorisierten Zugriffs erheblich reduziert wird. Durch Verwendung von Microsoft Entra können Sie den Sicherheitsstatus Ihrer Anwendungen erheblich verbessern und vertrauliche Daten vor potenziellen Bedrohungen schützen.
Verwalten des Zugriffs
Die rollenbasierte Zugriffssteuerung mithilfe von Microsoft Entra gibt Ihnen die Möglichkeit zu verwalten, welche Benutzer, Geräte oder Workloads auf Ihre Daten zugreifen können und in welchem Umfang sie auf diese Daten zugreifen können. Die Verwendung abgestimmter Berechtigungen in einer Rollendefinition gibt Ihnen die Flexibilität, das Sicherheitsprinzip „geringste Berechtigungen“ zu erzwingen und gleichzeitig den Datenzugriff einfach und für die Entwicklung optimiert zu halten.
Gewähren des Zugriffs in der Produktion
In Produktionsanwendungen bietet Microsoft Entra viele Identitätstypen, einschließlich, aber nicht beschränkt auf:
- Workloadidentitäten für bestimmte Anwendungsworkloads
- Systemseitig zugewiesene verwaltete Identitäten, die für einen Azure-Dienst nativ sind
- Benutzerseitig zugewiesene verwaltete Identitäten, die flexibel zwischen mehreren Azure-Diensten wiederverwendet werden können
- Dienstprinzipale für benutzerdefinierte und anspruchsvollere Szenarien
- Geräteidentitäten für Edge-Workloads
Mit diesen Identitäten können Sie bestimmten Produktionsanwendungen oder Workloads abgestimmten Zugriff zum Abfragen, Lesen oder Bearbeiten von Ressourcen in Azure Cosmos DB gewähren.
Gewähren des Zugriffs in der Entwicklung
In der Entwicklung bietet Microsoft Entra das gleiche Maß an Flexibilität für die menschlichen Identitäten Ihrer Entwickler. Sie können die gleichen rollenbasierten Zugriffssteuerungsdefinitionen und Zuordnungstechniken verwenden, um Ihren Entwicklern Zugriff auf Test-, Staging- oder Entwicklungsdatenbankkonten zu gewähren.
Ihr Sicherheitsteam verfügt über eine einzige Suite von Tools zur Verwaltung von Identitäten und Berechtigungen für Ihre Konten in allen Ihren Umgebungen.
Verbessern des Authentifizierungscodes
Mit dem Azure SDK lassen sich die Techniken für den programmgesteuerten Zugriff auf Azure Cosmos DB-Daten in vielen verschiedenen Szenarien nutzen:
- Wenn sich Ihre Anwendung in der Entwicklung oder Produktion befindet
- Wenn Sie menschliche, Workload-, verwaltete oder Geräteidentitäten verwenden
- Wenn Ihr Team die Verwendung von Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio oder Visual Studio Code bevorzugt
- Wenn Ihr Team Python, JavaScript, TypeScript, .NET, Go oder Java verwendet
Das Azure-SDK bietet eine Identitätsbibliothek, die mit vielen Plattformen, Entwicklungssprachen und Authentifizierungstechniken kompatibel ist. Sobald Sie gelernt haben, wie Sie die Microsoft Entra-Authentifizierung aktivieren, bleibt die Technik in allen Szenarien gleich. Es ist nicht erforderlich, für jede Umgebung unterschiedliche Authentifizierungsstapel zu erstellen.