Linha de base de segurança do Azure para o Azure Cosmos DB

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Azure Cosmos DB. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Cosmos DB.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Azure Cosmos DB foram excluídas. Para ver como o Azure Cosmos DB mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança do Azure Cosmos DB.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do Azure Cosmos DB, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Bases de Dados
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Falso
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente o serviço numa rede virtual. A sua conta do Azure Cosmos DB será exposta à rede virtual através dos respetivos IPs públicos.

Referência: Configurar o acesso ao Azure Cosmos DB a partir de redes virtuais (VNet)

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

NS-2: Proteger serviços cloud com controlos de rede

Funcionalidades

Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.

Referência: Configurar Azure Private Link para uma conta do Azure Cosmos

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: desative o acesso à rede pública utilizando a regra de filtragem da ACL ip ao nível do serviço ou um comutador de agregação para acesso à rede pública.

Referência: Configurar a firewall de IP no Azure Cosmos DB

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.DocumentDB:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas nas suas contas do Azure Cosmos DB para impedir o tráfego de origens não autorizadas. As contas que tenham, pelo menos, uma regra de IP definida com o filtro de rede virtual ativado são consideradas conformes. As contas que desativam o acesso público também são consideradas conformes. Auditoria, Negar, Desativado 2.0.0

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: Azure AD autenticação só é suportada na API Core (SQL). Outras APIs só suportam a autenticação baseada em chaves.

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Configurar o controlo de acesso baseado em funções com o Azure Active Directory para a sua conta do Azure Cosmos DB

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais. Estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Proteger o acesso aos dados no Azure Cosmos DB

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.DocumentDB:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas de base de dados do Cosmos DB devem ter métodos de autenticação local desativados A desativação de métodos de autenticação local melhora a segurança ao garantir que as contas de base de dados do Cosmos DB requerem exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Auditoria, Negar, Desativado 1.1.0

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: Azure AD autenticação só é suportada na API Core (SQL).

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Configurar identidades geridas com o Azure Active Directory para a sua conta do Azure Cosmos DB

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: Azure AD autenticação só é suportada pela API Core (SQL).

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Configurar o controlo de acesso baseado em funções com o Azure Active Directory para a sua conta do Azure Cosmos DB

IM-7: Restringir o acesso a recursos com base em condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: as políticas de acesso condicional são suportadas quando é utilizada Azure AD autenticação. Azure AD autenticação só é suportada na API Core (SQL).

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o Cosmos DB pode utilizar chaves primárias/secundárias (segredos partilhados) para controlar o acesso aos dados. A integração destes segredos no Key Vault não é suportada diretamente pelo Cosmos DB, mas o código de cliente personalizado que utiliza segredos partilhados pode utilizar Key Vault se assim o desejar.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existe nenhuma orientação atual da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Configurar o controlo de acesso baseado em funções com o Azure Active Directory para a sua conta do Azure Cosmos DB

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: o Lockbox não pode ser implementado no Azure Cosmos DB devido à natureza multi-inquilino do serviço.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: a classificação de dados do Microsoft Purview só suportava a API de Núcleo (SQL) do Azure Cosmos DB.

Orientação de Configuração: utilize o Microsoft Purview para analisar, classificar e etiquetar centralmente quaisquer dados confidenciais que residem na sua conta do Azure Cosmos DB.

Referência: Ligar à base de dados do Azure Cosmos (API SQL) no Microsoft Purview

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize Microsoft Defender para o Azure Cosmos DB para detetar tentativas de transferência de dados não autorizadas.

Referência: Microsoft Defender para o Azure Cosmos DB

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: o Cosmos DB suporta a encriptação de dados em trânsito com o TLS v1.2 ou superior e não pode ser desativada. O Azure também fornece encriptação para dados em trânsito entre datacenters do Azure.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Encriptação dupla

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: os dados armazenados na sua conta do Azure Cosmos DB são encriptados de forma automática e totalmente integrada com chaves geridas pela Microsoft (chaves geridas pelo serviço).

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Encriptação de dados no Azure Cosmos DB

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.

Referência: Configurar chaves geridas pelo cliente para a sua conta do Azure Cosmos com o Azure Key Vault

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.DocumentDB:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas do Azure Cosmos DB devem utilizar chaves geridas pelo cliente para encriptar dados inativos Utilize chaves geridas pelo cliente para gerir a encriptação no resto do Azure Cosmos DB. Por predefinição, os dados são encriptados inativos com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são normalmente necessárias para cumprir as normas de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave de Key Vault do Azure criada e propriedade sua. Tem total controlo e responsabilidade pelo ciclo de vida das chaves, incluindo a rotação e a gestão. Saiba mais em https://aka.ms/cosmosdb-cmk. auditoria, Auditoria, negação, Negar, desativado, Desativado 1.1.0

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Configurar chaves geridas pelo cliente para a sua conta do Azure Cosmos DB com o Azure Key Vault

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Azure Policy definições de política incorporadas – Cosmos DB

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender de Serviço/Oferta de Produtos

Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize Microsoft Defender para o Azure Cosmos DB para detetar automaticamente múltiplas ameaças de segurança.

Referência: Microsoft Defender para o Azure Cosmos DB

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o serviço. O Azure Cosmos DB permite-lhe monitorizar a sua atividade através do Azure Monitor ou de registos de diagnóstico personalizados que podem ser analisados com o Log Analytics do Azure.

Referência: Monitorizar o Azure Cosmos DB

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Cópia de segurança online e restauro de dados a pedido no Azure Cosmos DB

Passos seguintes