Azure Cosmos DB for Apache Gremlin 是一项完全托管的图形数据库服务,可用于使用 Gremlin 查询语言来存储、查询和遍历大规模图形数据。
本文提供了有关如何最好地保护用于 Apache Gremlin 部署的 Azure Cosmos DB 的指导。
网络安全
禁用公用网络访问,仅使用专用终结点:部署 Azure Cosmos DB for NoSQL,并配置为仅限制网络访问到 Azure 部署的虚拟网络。 该帐户通过配置的特定子网公开。 然后,为整个帐户禁用公用网络访问,并为连接到该帐户的服务专门使用专用终结点。 有关详细信息,请参阅 配置虚拟网络访问 并 配置来自专用终结点的访问。
为网络隔离启用网络安全外围:使用网络安全外围(NSP)通过定义网络边界并将其与公共 Internet 访问隔离来限制对 Azure Cosmos DB 帐户的访问。 有关详细信息,请参阅 配置网络安全外围。
标识管理
- 使用 Azure 控制平面基于角色的访问控制来管理帐户数据库和容器:应用 Azure 基于角色的访问控制来定义用于管理 Azure Cosmos DB 帐户、数据库和容器的精细权限。 此控件可确保只有经过授权的用户或服务才能执行管理作。 有关详细信息,请参阅授予控制平面访问权限。
运输安全
- 使用并强制实施 TLS 1.3 实现传输安全性:强制传输层安全性 (TLS) 1.3 以使用最新的加密协议保护传输中的数据,确保更强加密并提高性能。 有关详细信息,请参阅 最低 TLS 强制要求。
数据加密
使用服务管理的密钥或客户管理的密钥(CMKs)加密静态数据或动态数据:通过在静态和传输中加密敏感数据来保护敏感数据。 为简单起见,使用服务管理的密钥或客户管理的密钥可以更好地控制加密。 有关详细信息,请参阅配置客户管理的密钥。
使用 Always Encrypted 保护客户端加密数据:Always Encrypted 可确保在发送到 Azure Cosmos DB 之前在客户端加密敏感数据,从而提供额外的安全层。 有关详细信息,请参阅 Always Encrypted。