Use Entra ID Client Authentication and Azure RBAC where possible
Γιατί έχει σημασία
Ο έλεγχος ταυτότητας βάσει διακριτικών για το Azure Cosmos DB απαιτεί μόνιμα μυστικά που αποθηκεύονται στην πλευρά του πελάτη, γεγονός που αυξάνει τον κίνδυνο έκθεσης διαπιστευτηρίων και περιπλέκει τη διαχείριση ασφαλείας. Μεταβαίνοντας στον έλεγχο ταυτότητας Entra ID με Azure RBAC, εξαλείφετε τα αποθηκευμένα διαπιστευτήρια, ενεργοποιείτε τον έλεγχο ταυτότητας πολλαπλών παραγόντων και συγκεντροποιείτε τον έλεγχο πρόσβασης σε όλους τους πόρους Azure. Αυτό μειώνει σημαντικά την επιφάνεια επίθεσης και ευθυγραμμίζεται με τις βέλτιστες πρακτικές ασφαλείας για τη διαχείριση ταυτοτήτων.
Τι ελέγχει το Aether365
Το Aether365 επαληθεύει ότι οι λογαριασμοί σας στο Azure Cosmos DB είναι ρυθμισμένοι να χρησιμοποιούν έλεγχο ταυτότητας πελάτη Entra ID και Azure RBAC αντί για έλεγχο ταυτότητας βάσει διακριτικών. Αυτός ο έλεγχος εμφανίζεται στον πίνακα εργαλείων του Aether365 κάτω από τους ελέγχους azure-cosmosdb ως "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Πώς να το διορθώσετε
- Ανοίξτε την Azure portal και μεταβείτε στον λογαριασμό σας Azure Cosmos DB.
- Στο αριστερό μενού, επιλέξτε "Settings" και στη συνέχεια "Keys".
- Στην ενότητα "Authentication", επιλέξτε "Microsoft Entra ID" ως μέθοδο ελέγχου ταυτότητας.
- Στον τομέα "Access control (IAM)", εκχωρήστε πρόσβαση βάσει ρόλου χρησιμοποιώντας ρόλους Azure RBAC, όπως "Cosmos DB Built-in Data Reader" ή "Cosmos DB Built-in Data Contributor".
- Ενημερώστε τον κώδικα της εφαρμογής σας ώστε να χρησιμοποιεί τη βιβλιοθήκη Azure Identity για .NET, Java, Python ή Node.js για έλεγχο ταυτότητας με Entra ID.
- Αφαιρέστε τυχόν υπάρχοντα κλειδιά ελέγχου ταυτότητας βάσει διακριτικών από τις εφαρμογές πελατών για να διασφαλίσετε πλήρη μετεγκατάσταση.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0