Ensure That 'Firewalls & Networks' Is Limited to Use Selected Networks Instead of All Networks

Por que esto es importante

Exponer Azure Cosmos DB a todas las redes, incluida la internet publica, aumenta significativamente el riesgo de accesos no autorizados y filtraciones de datos. Al restringir el acceso a la red solo a aquellas redes seleccionadas y autorizadas, se reduce la superficie de ataque y se mantiene un control mas estricto sobre que sistemas pueden comunicarse con su base de datos. Esta es una medida de seguridad critica para cualquier organizacion que maneje datos sensibles o regulados.

Que verifica Aether365

Aether365 verifica que la configuracion de red de cada cuenta de Azure Cosmos DB este establecida en "Selected Networks" en lugar de "All Networks". Puede ver esta comprobacion en su panel de Aether365 bajo la categoria de comprobaciones de servicio azure-cosmosdb.

Como solucionarlo

Para restringir el acceso a la red de Cosmos DB mediante Azure Portal:

1. Abra el menu de Azure Portal y seleccione Azure Cosmos DB.
2. Elija la cuenta de Cosmos DB especifica que desea proteger.
3. En la navegacion izquierda, haga clic en Networking.
4. En Public network access, seleccione Selected networks.
5. En Virtual networks, haga clic en + Add existing virtual network o + Add a new virtual network.
6. Para una red existente: seleccione la suscripcion, la red virtual y la subred, luego haga clic en Add. Para una red nueva: proporcione un nombre, ajuste los valores predeterminados segun sea necesario y haga clic en Create.
7. Haga clic en Save en la parte superior de la pagina Networking.

Nota: Los cambios en el firewall pueden tardar hasta 15 minutos en hacerse efectivos. Planifique su ventana de correccion en consecuencia para evitar la interrupcion de la conexion. Ademas, una lista de permitidos incorrecta resultara en la perdida de conexion.

Cumplimiento

• CIS Microsoft Azure Foundations 3.0.0 Seccion 5.4.1 (Nivel 2)
• CIS Microsoft Azure Foundations 2.0.0 (si corresponde)
• EIDSCA (Enterprise ID Security Compliance Assessment)
• Directrices de CISA (Cybersecurity and Infrastructure Security Agency)

Recursos relacionados

• Configure Azure Cosmos DB with private endpoints
• Configure virtual network service endpoint for Azure Cosmos DB
• Azure CLI reference for Cosmos DB
• Azure PowerShell for Cosmos DB
• Microsoft cloud security benchmark: Network security (NS-2)

Microsoft references

• How to configure private endpoints
• How to configure vnet service endpoint
• Cosmosdb
• Database
• Az
• Mcsb network security