Linee guida sulla sicurezza per Azure Cosmos DB per tabelle

SI APPLICA A: Gremlin

Diagramma della posizione corrente ('Panoramica') nella sequenza della guida alla distribuzione.

Diagramma della sequenza della guida alla distribuzione, inclusi questi percorsi, in ordine: Panoramica, Concetti, Preparazione, Controllo degli accessi in base al ruolo, Rete e Riferimento. Il percorso "Panoramica" è attualmente evidenziato.

Quando si usa Azure Cosmos DB per tabelle, è importante assicurarsi che gli utenti e le applicazioni autorizzati abbiano accesso ai dati impedendo al tempo tempo di impedire l'accesso involontario o non autorizzato.

Anche se l'uso delle chiavi e delle credenziali della password del proprietario delle risorse potrebbe sembrare un'opzione pratica, non è consigliabile a causa di diversi motivi. In primo luogo, questi metodi non hanno la robustezza e la flessibilità offerte dall'autenticazione di Microsoft Entra. Microsoft Entra offre funzionalità di sicurezza avanzate, ad esempio l'autenticazione a più fattori e i criteri di accesso condizionale, riducendo notevolmente il rischio di accesso non autorizzato. Usando Microsoft Entra, è possibile migliorare significativamente il comportamento di sicurezza delle applicazioni e proteggere i dati sensibili da potenziali minacce.

Gestire l'accesso

Il controllo degli accessi in base al ruolo tramite Microsoft Entra consente di gestire quali utenti, dispositivi o carichi di lavoro possono accedere ai dati e in quale misura possono accedere a tali dati. L'uso di autorizzazioni con granularità fine in una definizione di ruolo offre la flessibilità necessaria per applicare l'entità di sicurezza di "privilegi minimi" mantenendo l'accesso ai dati semplice e semplificato per lo sviluppo.

Concedere l'accesso nell'ambiente di produzione

Nelle applicazioni di produzione, Microsoft Entra offre molti tipi di identità, tra cui:

  • Identità del carico di lavoro per carichi di lavoro di applicazioni specifici
  • Identità gestite assegnate dal sistema native a un servizio di Azure
  • Identità gestite assegnate dall'utente che possono essere riutilizzate in modo flessibile tra più servizi di Azure
  • Entità servizio per scenari personalizzati e più sofisticati
  • Identità dei dispositivi per carichi di lavoro perimetrali

Con queste identità, è possibile concedere a specifiche applicazioni di produzione o carichi di lavoro l'accesso con granularità fine alle query, alla lettura o alla modifica delle risorse in Azure Cosmos DB.

Concedere l'accesso in fase di sviluppo

In fase di sviluppo, Microsoft Entra offre lo stesso livello di flessibilità per le identità umane dello sviluppatore. È possibile usare le stesse definizioni di controllo degli accessi in base al ruolo e le stesse tecniche di assegnazione per concedere agli sviluppatori l'accesso agli account di test, gestione temporanea o database di sviluppo.

Il team addetto alla sicurezza ha una singola suite di strumenti per gestire identità e autorizzazioni per gli account in tutti gli ambienti.

Semplificare il codice di autenticazione

Con Azure SDK, le tecniche usate per accedere ai dati di Azure Cosmos DB a livello di programmazione in molti scenari diversi:

  • Se l'applicazione è in fase di sviluppo o produzione
  • Se si usano identità umane, di carico di lavoro, gestite o di dispositivi
  • Se il team preferisce usare l'interfaccia della riga di comando di Azure, Azure PowerShell, l'interfaccia della riga di comando per sviluppatori di Azure, Visual Studio o Visual Studio Code
  • Se il team usa Python, JavaScript, TypeScript, .NET, Go o Java

Azure SDK offre una libreria di identità compatibile con molte piattaforme, linguaggio di sviluppo e tecniche di autenticazione. Dopo aver appreso come abilitare l'autenticazione di Microsoft Entra, la tecnica rimane invariata in tutti gli scenari. Non è necessario creare stack di autenticazione distinti per ogni ambiente.

Passaggio successivo