Pokyny k zabezpečení pro Službu Azure Cosmos DB pro Apache Cassandra

PLATÍ PRO: Cassandra

Při práci se službou Azure Cosmos DB for Cassandra je důležité zajistit, aby autorizovaní uživatelé a aplikace měli přístup k datům a zároveň zabránili neúmyslnému nebo neoprávněnému přístupu.

Při používání klíčů a přihlašovacích údajů vlastníka prostředku se může zdát jako vhodná možnost, proto se nedoporučuje z několika důvodů. Za prvé, tyto metody nemají odolnost a flexibilitu poskytované ověřováním Microsoft Entra. Microsoft Entra nabízí vylepšené funkce zabezpečení, jako je vícefaktorové ověřování a zásady podmíněného přístupu, což výrazně snižuje riziko neoprávněného přístupu. Pomocí microsoft Entra můžete výrazně vylepšit stav zabezpečení aplikací a chránit citlivá data před potenciálními hrozbami.

Správa přístupu

Řízení přístupu na základě role pomocí Microsoft Entra vám umožňuje spravovat, kteří uživatelé, zařízení nebo úlohy mají přístup k vašim datům a v jakém rozsahu mají k nim přístup. Použití jemně odstupňovaných oprávnění v definici role vám dává flexibilitu vynucovat objekt zabezpečení s nejnižšími oprávněními a zároveň udržovat přístup k datům jednoduchý a zjednodušený pro vývoj.

Udělení přístupu v produkčním prostředí

V produkčních aplikacích Microsoft Entra nabízí mnoho typů identit, mimo jiné:

  • Identity úloh pro konkrétní aplikační úlohy
  • Spravované identity přiřazené systémem nativní pro službu Azure
  • Spravované identity přiřazené uživatelem, které je možné flexibilně používat mezi několika službami Azure
  • Instanční objekty pro vlastní a složitější scénáře
  • Identity zařízení pro hraniční úlohy

Pomocí těchto identit můžete konkrétním produkčním aplikacím nebo úlohám udělit jemně odstupňovaný přístup k dotazování, čtení nebo manipulaci s prostředky ve službě Azure Cosmos DB.

Udělení přístupu při vývoji

Ve vývoji nabízí Microsoft Entra stejnou úroveň flexibility pro lidské identity vašeho vývojáře. Pomocí stejných definic řízení přístupu na základě role a technik přiřazení můžete vývojářům udělit přístup k testovacím, přípravným nebo vývojovým databázovým účtům.

Váš bezpečnostní tým má jednu sadu nástrojů pro správu identit a oprávnění pro vaše účty ve všech vašich prostředích.

Zjednodušení ověřovacího kódu

Pomocí sady Azure SDK se techniky používané k přístupu k datům Azure Cosmos DB programově používají v mnoha různých scénářích:

  • Pokud je vaše aplikace ve vývoji nebo produkčním prostředí
  • Pokud používáte lidské identity, úlohy, spravované identity nebo identity zařízení
  • Pokud váš tým preferuje použití Azure CLI, Azure PowerShellu, Azure Developer CLI, sady Visual Studio nebo editoru Visual Studio Code
  • Pokud váš tým používá Python, JavaScript, TypeScript, .NET, Go nebo Java

Sada Azure SDK poskytuje knihovnu identit, která je kompatibilní s mnoha platformami, vývojovým jazykem a technikami ověřování. Jakmile se dozvíte, jak povolit ověřování Microsoft Entra, bude technika ve všech vašich scénářích stejná. Pro každé prostředí není potřeba vytvářet samostatné zásobníky ověřování.