Sicherheitsaspekte bei Azure Cosmos DB

Für die Sicherheit der Daten sind Sie, Ihr Kunde und Ihr Datenbankanbieter gemeinsam verantwortlich. Der Umfang Ihres Verantwortungsbereichs kann je nach Datenbankanbieter unterschiedlich ausfallen. Wenn Sie sich für eine lokale Lösung entschieden haben, müssen Sie weitgehend selbst für die Sicherheit sorgen – vom Endpunktschutz bis hin zur physischen Sicherung Ihrer Hardware. Das ist keine leichte Aufgabe. Wenn Sie sich für einen Clouddatenbankanbieter wie Azure Cosmos DB mit einem PaaS-Modell (Platform-as-a-Service) entscheiden, verkleinert sich Ihr Verantwortungsbereich erheblich.

Weitere Informationen finden Sie unter Gemeinsame Verantwortung in der Cloud.

Checkliste

Wir empfehlen die folgende Checkliste mit Anforderungen, anhand derer Sie Datenbanksysteme vergleichen können:

  • Netzwerksicherheit und Firewalleinstellungen
  • Benutzerauthentifizierung und feinkörnige Benutzerkontrollen
  • Möglichkeit zum globalen Replizieren von Daten bei regionalen Ausfällen
  • Möglichkeit zum Durchführen eines Failovers zwischen Rechenzentren
  • Lokale Datenreplikation innerhalb eines Rechenzentrums
  • Automatische Datensicherungen
  • Wiederherstellung gelöschter Daten aus Sicherungskopien
  • Fähigkeit zum Schützen und Isolieren vertraulicher Daten
  • Überwachen auf Angriffe
  • Integrierte Reaktionen auf Angriffe
  • Möglichkeit, Daten per Geofencing auf einen geografischen Raum einzugrenzen, um Anforderungen an die Datengovernance zu erfüllen
  • Physischer Schutz von Servern in geschützten Rechenzentren
  • Zertifizierungen

Folgendes mag zwar auf der Hand liegen, aber umfassende Verletzungen der Datenbanksicherheit in jüngster Zeit erinnern uns daran, wie wichtig diese vermeintlich einfachen Anforderungen sind:

  • Gepatchte Server, die immer auf dem neuesten Stand gehalten werden
  • Standardmäßig HTTPS sowie TLS-Verschlüsselung
  • Administratorkonten mit sicheren Kennwörtern

Wie sichert Azure Cosmos DB meine Datenbank?

Azure Cosmos DB schützt Ihre Datenbank standardmäßig mit vielen Funktionen, die in den Dienst und allgemein in Azure integriert sind.

Sicherheitsanforderung Sicherheitsansatz von Azure Cosmos DB
Netzwerksicherheit Die Verwendung einer IP-Firewall ist die erste Schutzschicht, um Ihre Datenbank zu sichern. Azure Cosmos DB unterstützt die richtliniengesteuerte IP-basierte Zugriffssteuerung zur Unterstützung der Firewall für eingehende Verbindungen. Die IP-basierten Zugriffssteuerungen ähneln den Firewallregeln herkömmlicher Datenbanksysteme. Sie werden jedoch so erweitert, dass der Zugriff auf ein Azure Cosmos DB-Datenbankkonto nur einer genehmigten Gruppe von Computern oder Clouddiensten vorbehalten ist. Weitere Informationen finden Sie unter Konfigurieren der IP-Firewall in Azure Cosmos DB. Mit Azure Cosmos DB können Sie eine bestimmte IP-Adresse (168.61.48.0), einen IP-Adressbereich (168.61.48.0/8) sowie Kombinationen aus IP-Adressen und -Adressbereichen aktivieren. Azure Cosmos DB blockiert alle Anforderungen von Computern, die sich nicht auf dieser Zulassungsliste befinden. Anforderungen von zugelassenen Computern und Clouddiensten müssen den Authentifizierungsprozess durchlaufen, um Zugriff auf die Ressourcen zu erhalten. Sie können mithilfe von Diensttags in virtuellen Netzwerken eine Netzwerkisolation erreichen und Ihre Azure Cosmos DB-Ressourcen vor dem allgemeinen Internet schützen. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Durch Angeben des Diensttagnamens (z. B. AzureCosmosDB) im entsprechenden Quell- oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.
Autorisierung Azure Cosmos DB verwendet einen hashbasierten Code für die Authentifizierung von Nachrichten (Hash-based Message Authentication Code, HMAC) zur Autorisierung. Für jede Anforderung wird mithilfe des geheimen Kontoschlüssels ein Hash erstellt, und der daraus resultierende Base64-codierte Hashwert wird mit jedem Aufruf an Azure Cosmos DB gesendet. Zur Überprüfung der Anforderung verwendet Azure Cosmos DB den korrekten geheimen Schlüssel und die zugehörigen Eigenschaften, um einen Hash zu generieren. Anschließend vergleicht der Dienst diesen Wert mit dem Wert in der Anforderung. Wenn die beiden Werte übereinstimmen, wird der Vorgang erfolgreich autorisiert und die Anforderung verarbeitet. Wenn sie nicht übereinstimmen, tritt ein Autorisierungsfehler auf, und die Anforderung wird abgelehnt. Sie können einen Primärschlüssel verwenden, der differenzierten Zugriff auf eine Ressource wie z. B. ein Dokument ermöglicht. Weitere Informationen finden Sie unter Sicherer Zugriff auf Daten in Azure Cosmos DB.
Benutzer und Berechtigungen Mit dem Primärschlüssel für das Konto können Sie Benutzer- und Berechtigungsressourcen pro Datenbank erstellen. Ein Ressourcentoken wird einer Berechtigung in einer Datenbank zugeordnet und legt fest, ob der Benutzer Zugriff (Lese-/Schreibzugriff, schreibgeschützten Zugriff oder keinen Zugriff) auf eine Anwendungsressource in der Datenbank erhält. Zu den Anwendungsressourcen zählen Container, Dokumente, Anlagen, gespeicherte Prozeduren, Trigger und benutzerdefinierte Funktionen. Das Ressourcentoken wird dann während der Authentifizierung verwendet, um den Zugriff auf die Ressource zu gewähren oder zu verweigern. Weitere Informationen finden Sie unter Sicherer Zugriff auf Daten in Azure Cosmos DB.
Active Directory-Integration (rollenbasierte Zugriffssteuerung in Azure) Sie können auch den Zugriff auf das Azure Cosmos DB-Konto, auf die Datenbank, auf den Container und auf Angebote (Durchsatz) über die Zugriffssteuerung (IAM) im Azure-Portal zulassen oder einschränken. IAM stellt eine rollenbasierte Zugriffssteuerung bereit und lässt sich in Active Directory integrieren. Sie können für Einzelbenutzer und Gruppen integrierte oder benutzerdefinierte Rollen verwenden.
Globale Replikation Azure Cosmos DB bietet eine sofort einsatzbereite globale Verteilung, mit der Sie Ihre Daten mühelos in jedem der weltweiten Azure-Rechenzentren replizieren können. Mit der globalen Replikation können Sie global skalieren und für niedrige Latenzen beim Zugriff auf Ihre Daten auf der ganzen Welt sorgen. Im Kontext der Sicherheit schützt die globale Replikation Ihre Daten vor regionalen Ausfällen. Weitere Informationen finden Sie unter Globales Verteilen Ihrer Daten mit Azure Cosmos DB.
Regionale Failover Wenn Sie Ihre Daten in mehr als einem Rechenzentrum repliziert haben, führt Azure Cosmos DB automatisch ein Rollover Ihrer Vorgänge aus, falls ein regionales Rechenzentrum offline geschaltet wird. Sie können anhand der Regionen, in denen Ihre Daten repliziert werden, eine Prioritätsliste mit Failoverregionen erstellen. Weitere Informationen finden Sie unter Realisieren von Hochverfügbarkeit mit Azure Cosmos DB.
Lokale Replikation Azure Cosmos DB repliziert Daten automatisch auch innerhalb eines einzelnen Rechenzentrums und sorgt so für Hochverfügbarkeit sowie für die Möglichkeit, verschiedene Konsistenzebenen auszuwählen. Diese Replikation garantiert eine Verfügbarkeits-SLA von 99,99 % für alle Konten mit einer einzelnen Region und für alle Konten mit mehreren Regionen und gelockerter Konsistenz sowie eine Leseverfügbarkeit von 99,999 % für alle Datenbankkonten mit mehreren Regionen.
Automatisierte Onlinesicherungen Azure Cosmos DB-Datenbanken werden regelmäßig gesichert und in einem georedundanten Speicher gespeichert. Weitere Informationen finden Sie unter Automatische Onlinesicherung und -wiederherstellung mit Azure Cosmos DB.
Wiederherstellen gelöschter Daten Automatisierte Onlinesicherungen können zum Wiederherstellen von Daten verwendet werden, die versehentlich gelöscht wurden. Dies ist bis zu ca. 30 Tage nach dem Löschen möglich. Weitere Informationen finden Sie unter Automatische Onlinesicherung und -wiederherstellung mit Azure Cosmos DB.
Schützen und Isolieren von vertraulichen Daten Jetzt sind alle ruhenden Daten verschlüsselt, die sich in den unter „Neuerungen“ aufgeführten Regionen befinden. Personenbezogene und vertrauliche Daten können in einem bestimmten Container isoliert werden, und der Lese-/Schreibzugriff bzw. der schreibgeschützte Zugriff kann auf bestimmte Benutzer*innen beschränkt werden.
Überwachen auf Angriffe Mithilfe von Überwachungsprotokollierung und Aktivitätsprotokollen können Sie Ihr Konto auf normale und ungewöhnliche Aktivitäten überwachen. Sie können anzeigen, welche Vorgänge auf Ihre Ressourcen angewendet wurden. Diese Daten beinhalten unter anderem, wer den jeweiligen Vorgang initiiert hat, wann der Vorgang ausgeführt wurde und welchen Status der Vorgang hat.
Reagieren auf Angriffe Wenn Sie den Azure-Support kontaktieren und einen potenziellen Angriff melden, beginnt ein fünfstufiger Prozess zur Reaktion auf einen Vorfall (Incident Response). Ziel ist die Wiederherstellung der normalen Dienstsicherheit und Betriebsabläufe. Der Prozess stellt die Dienste so schnell wie möglich wieder her, nachdem ein Problem erkannt und eine Untersuchung eingeleitet wurde. Weitere Informationen finden Sie unter Sicherheitsreaktion von Microsoft Azure in der Cloud.
Geofencing (geografische Eingrenzung) Azure Cosmos DB stellt die Datengovernance und -compliance für unabhängige Regionen sicher (z. B. für Deutschland, China und US Government).
Geschützte Einrichtungen Daten in Azure Cosmos DB sind auf SSDs in den geschützten Rechenzentren von Azure gespeichert. Weitere Informationen finden Sie unter Globale Azure-Infrastruktur.
HTTPS- und TLS-Verschlüsselung Alle Verbindungen mit Azure Cosmos DB unterstützen HTTPS. Azure Cosmos DB unterstützt Transport Layer Security (TLS) bis einschließlich Ebene 1.2. Es ist möglich, serverseitig eine TLS-Mindestebene zu erzwingen. Wie das geht, erfahren Sie unter Erzwingen von TLS-Mindestversionen in Azure Cosmos DB als Self-Service.
Verschlüsselung ruhender Daten Alle in Azure Cosmos DB gespeicherte Daten werden im Ruhezustand verschlüsselt. Weitere Informationen finden Sie unter Datenverschlüsselung in Azure Cosmos DB.
Gepatchte Server Als verwaltete Datenbank übernimmt Azure Cosmos DB automatisch das Patchen und Verwalten der Server, sodass keine manuellen Wartungsaufgaben erforderlich sind.
Administratorkonten mit sicheren Kennwörtern In Azure Cosmos DB ist es nicht möglich, ein Administratorkonto ohne Kennwort zu verwenden. Die Sicherheit über TLS und die auf HMAC-Geheimnissen basierende Authentifizierung sind standardmäßig integriert.
Zertifizierungen für Sicherheit und Datenschutz Die neueste Liste mit Zertifizierungen finden Sie unter Azure-Compliance und im aktuellen Dokument zur Azure-Compliance mit allen Azure-Zertifizierungen, einschließlich Azure Cosmos DB.