Ensure That 'Firewalls & Networks' Is Limited to Use Selected Networks Instead of All Networks

Γιατί Είναι Σημαντικό

Η έκθεση του Azure Cosmos DB σε όλα τα δίκτυα, συμπεριλαμβανομένου του δημόσιου διαδικτύου, αυξάνει σημαντικά τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης και παραβιάσεων δεδομένων. Περιορίζοντας την πρόσβαση δικτύου μόνο σε επιλεγμένα, λευκά δίκτυα, μειώνετε την επιφάνεια επίθεσης και διατηρείτε αυστηρότερο έλεγχο στα συστήματα που μπορούν να επικοινωνούν με τη βάση δεδομένων σας. Πρόκειται για ένα κρίσιμο μέτρο ασφαλείας για κάθε οργανισμό που διαχειρίζεται ευαίσθητα ή ρυθμιζόμενα δεδομένα.

Τι Ελέγχει το Aether365

Το Aether365 επαληθεύει ότι η διαμόρφωση δικτύου κάθε λογαριασμού Azure Cosmos DB έχει οριστεί σε "Selected Networks" αντί για "All Networks". Μπορείτε να δείτε αυτόν τον έλεγχο στον πίνακα ελέγχου του Aether365 στην κατηγορία ελέγχων υπηρεσίας azure-cosmosdb.

Πώς να το Διορθώσετε

Για να περιορίσετε την πρόσβαση δικτύου του Cosmos DB χρησιμοποιώντας την Azure Portal:

1. Ανοίξτε το μενού της Azure Portal και επιλέξτε Azure Cosmos DB.
2. Επιλέξτε τον συγκεκριμένο λογαριασμό Cosmos DB που θέλετε να ασφαλίσετε.
3. Στην αριστερή πλοήγηση, κάντε κλικ στο Networking.
4. Στην επιλογή Public network access, επιλέξτε Selected networks.
5. Στην επιλογή Virtual networks, κάντε κλικ είτε στο + Add existing virtual network είτε στο + Add a new virtual network.
6. Για υπάρχον δίκτυο: επιλέξτε τη συνδρομή, το εικονικό δίκτυο και το subnet και, στη συνέχεια, κάντε κλικ στο Add. Για νέο δίκτυο: δώστε ένα όνομα, προσαρμόστε τις προεπιλεγμένες τιμές όπως απαιτείται και κάντε κλικ στο Create.
7. Κάντε κλικ στο Save στο επάνω μέρος της σελίδας Networking.

Σημείωση: Οι αλλαγές στο τείχος προστασίας ενδέχεται να χρειαστούν έως και 15 λεπτά για να τεθούν σε ισχύ. Προγραμματίστε ανάλογα το χρονικό περιθώριο διόρθωσης για να αποφύγετε διακοπή σύνδεσης. Επίσης, λανθασμένη λίστα λευκής πρόσβασης θα οδηγήσει σε απώλεια σύνδεσης.

Συμμόρφωση

• CIS Microsoft Azure Foundations 3.0.0, Ενότητα 5.4.1 (Επίπεδο 2)
• CIS Microsoft Azure Foundations 2.0.0 (εάν ισχύει)
• EIDSCA (Enterprise ID Security Compliance Assessment)
• Κατευθυντήριες γραμμές CISA (Cybersecurity and Infrastructure Security Agency)

Σχετικοί Πόροι

• Configure Azure Cosmos DB with private endpoints
• Configure virtual network service endpoint for Azure Cosmos DB
• Azure CLI reference for Cosmos DB
• Azure PowerShell for Cosmos DB
• Microsoft cloud security benchmark: Network security (NS-2)

Microsoft references

• How to configure private endpoints
• How to configure vnet service endpoint
• Cosmosdb
• Database
• Az
• Mcsb network security