Use Entra ID Client Authentication and Azure RBAC where possible
Защо това е важно
Удостоверяването с токени за Azure Cosmos DB изисква постоянни тайни, съхранявани от клиентската страна, което увеличава риска от изтичане на идентификационни данни и усложнява управлението на сигурността. Като преминете към удостоверяване с Entra ID чрез Azure RBAC, премахвате необходимостта от съхраняване на идентификационни данни, активирате многофакторно удостоверяване и централизирате контрола на достъпа за всички Azure ресурси. Това значително намалява повърхността за атаки и е в съответствие с най-добрите практики за управление на самоличността.
Какво проверява Aether365
Aether365 проверява дали вашите акаунти в Azure Cosmos DB са конфигурирани да използват клиентско удостоверяване с Entra ID и Azure RBAC вместо удостоверяване с токени. Тази проверка се появява в таблото за управление на Aether365 под проверките azure-cosmosdb като "Използвайте клиентско удостоверяване с Entra ID и Azure RBAC, където е възможно" (AZURE.118).
Как да коригирате
- Отворете Azure Portal и навигирайте до вашия акаунт в Azure Cosmos DB.
- В лявото меню изберете "Settings" след това "Keys".
- Под "Authentication" изберете "Microsoft Entra ID" като метод за удостоверяване.
- В раздела "Access control (IAM)" задайте управление на достъпа на база роли, като използвате роли на Azure RBAC като "Cosmos DB Built-in Data Reader" или "Cosmos DB Built-in Data Contributor".
- Актуализирайте кода на вашето приложение, за да използва библиотеката Azure Identity за .NET, Java, Python или Node.js за удостоверяване с Entra ID.
- Премахнете всички съществуващи ключове за удостоверяване с токени от клиентските приложения, за да осигурите пълна миграция.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Ниво 1)
- EIDSCA 2.0