Ensure That Private Endpoints Are Used Where Possible

Защо това е важно

Без частни крайни точки акаунтите на Azure Cosmos DB са достъпни чрез публични крайни точки, което увеличава повърхността за атака и излага чувствителни данни на потенциален неоторизиран достъп. Частните крайни точки гарантират, че трафикът към вашия Cosmos DB остава в рамките на основната мрежа на Azure, като осигуряват прецизен контрол върху това кои услуги и мрежи могат да комуникират с базата данни. Това е от решаващо значение за изпълнение на изискванията за съответствие като CIS и за защита на данните по време на пренос.

Какво проверява Aether365

Aether365 проверява дали всеки акаунт на Azure Cosmos DB има конфигурирана поне една частна крайна точка и дали публичният мрежов достъп е забранен. Тази проверка се появява в таблото за управление на Aether365 под категорията azure-cosmosdb и маркира всеки акаунт, който разчита единствено на публична свързаност.

Как да коригирате

1. Влезте в Azure Portal и отворете услугата Azure Cosmos DB.
2. Изберете акаунта на Azure Cosmos DB, който искате да защитите.
3. В лявото меню изберете Networking.
4. В раздела Public access изберете опцията Disable или Selected networks, за да ограничите публичната свързаност.
5. Превключете към раздела Private endpoint connections и щракнете върху + Private Endpoint.
6. Въведете име на частната крайна точка и изберете абонамента и ресурсната група.
7. В раздела Resource задайте Resource type като Microsoft.AzureCosmosDB/databaseAccounts и изберете акаунта на Cosmos DB.
8. В раздела Virtual Network изберете виртуалната мрежа и подмрежата, в която ще бъде разположена частната крайна точка.
9. В раздела DNS конфигурирайте интегриране на частен DNS (препоръчва се) или използвайте персонализирана DNS зона.
10. Прегледайте настройките си и щракнете върху Create.

След създаването проверете дали връзката на частната крайна точка има статус Approved.

Съответствие

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Свързани ресурси

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security