Use Entra ID Client Authentication and Azure RBAC where possible
Por Que Es Importante
La autenticacion basada en tokens para Azure Cosmos DB requiere secretos persistentes almacenados en el lado del cliente, lo que aumenta el riesgo de exposicion de credenciales y complica la gestion de seguridad. Al migrar a la autenticacion de Entra ID con Azure RBAC, elimina las credenciales almacenadas, habilita la autenticacion multifactor y centraliza el control de acceso en todos los recursos de Azure. Esto reduce significativamente la superficie de ataque y se alinea con las mejores practicas de seguridad para la gestion de identidades.
Que Verifica Aether365
Aether365 verifica que sus cuentas de Azure Cosmos DB esten configuradas para usar autenticacion de cliente de Entra ID y Azure RBAC en lugar de autenticacion basada en tokens. Esta verificacion aparece en el panel de control de Aether365 bajo las comprobaciones de azure-cosmosdb como "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Como Solucionarlo
- Abra Azure Portal y navegue hasta su cuenta de Azure Cosmos DB.
- En el menu de la izquierda, seleccione "Settings" y luego "Keys".
- En "Authentication", seleccione "Microsoft Entra ID" como metodo de autenticacion.
- En la hoja "Access control (IAM)", asigne acceso basado en roles usando roles de Azure RBAC como "Cosmos DB Built-in Data Reader" o "Cosmos DB Built-in Data Contributor".
- Actualice el codigo de su aplicacion para usar la biblioteca Azure Identity para .NET, Java, Python o Node.js y autenticarse con Entra ID.
- Elimine las claves de autenticacion basadas en tokens existentes de las aplicaciones cliente para asegurar una migracion completa.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Nivel 1)
- EIDSCA 2.0