Ensure That Private Endpoints Are Used Where Possible

Γιατί Είναι Σημαντικό

Χωρίς ιδιωτικά τελικά σημεία (private endpoints), οι λογαριασμοί του Azure Cosmos DB είναι προσβάσιμοι μέσω δημόσιων τελικών σημείων, γεγονός που αυξάνει την επιφάνεια επίθεσης και εκθέτει ευαίσθητα δεδομένα σε πιθανή μη εξουσιοδοτημένη πρόσβαση. Τα ιδιωτικά τελικά σημεία διασφαλίζουν ότι η κίνηση προς το Cosmos DB παραμένει εντός του βασικού δικτύου του Azure, παρέχοντας λεπτομερή έλεγχο σχετικά με το ποιες υπηρεσίες και ποια δίκτυα μπορούν να επικοινωνήσουν με τη βάση δεδομένων. Αυτό είναι κρίσιμο για την τήρηση απαιτήσεων συμμόρφωσης όπως το CIS και για την προστασία δεδομένων κατά τη μεταφορά.

Τι Ελέγχει το Aether365

Το Aether365 επαληθεύει ότι κάθε λογαριασμός Azure Cosmos DB διαθέτει τουλάχιστον ένα ιδιωτικό τελικό σημείο (private endpoint) διαμορφωμένο και ότι η δημόσια πρόσβαση δικτύου είναι απενεργοποιημένη. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 στην κατηγορία azure-cosmosdb και επισημαίνει οποιονδήποτε λογαριασμό βασίζεται αποκλειστικά σε δημόσια συνδεσιμότητα.

Πώς να το Διορθώσετε

1. Συνδεθείτε στο Azure Portal και ανοίξτε την υπηρεσία Azure Cosmos DB.
2. Επιλέξτε τον λογαριασμό Azure Cosmos DB που θέλετε να ασφαλίσετε.
3. Στο αριστερό μενού, επιλέξτε Networking.
4. Στην καρτέλα Public access, επιλέξτε την επιλογή Disable ή Selected networks για να περιορίσετε τη δημόσια συνδεσιμότητα.
5. Μεταβείτε στην καρτέλα Private endpoint connections και κάντε κλικ στο + Private Endpoint.
6. Εισαγάγετε ένα όνομα για το ιδιωτικό τελικό σημείο και επιλέξτε τη συνδρομή και την ομάδα πόρων.
7. Στην καρτέλα Resource, ορίστε το Resource type σε Microsoft.AzureCosmosDB/databaseAccounts και επιλέξτε τον λογαριασμό Cosmos DB.
8. Στην καρτέλα Virtual Network, επιλέξτε το εικονικό δίκτυο και το υποδίκτυο όπου θα βρίσκεται το ιδιωτικό τελικό σημείο.
9. Στην καρτέλα DNS, διαμορφώστε την ενσωμάτωση ιδιωτικού DNS (συνιστάται) ή χρησιμοποιήστε μια προσαρμοσμένη ζώνη DNS.
10. Ελέγξτε τις ρυθμίσεις σας και κάντε κλικ στο Create.

Μετά τη δημιουργία, επαληθεύστε ότι η σύνδεση του ιδιωτικού τελικού σημείου εμφανίζει κατάσταση Approved.

Συμμόρφωση

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Σχετικοί Πόροι

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security