Ensure That Private Endpoints Are Used Where Possible

Por que es importante

Sin puntos de conexion privados, las cuentas de Azure Cosmos DB son accesibles a traves de puntos de conexion publicos, lo que amplia la superficie de ataque y expone datos confidenciales a posibles accesos no autorizados. Los puntos de conexion privados garantizan que el trafico hacia Cosmos DB permanezca dentro de la red troncal de Azure, brindando un control granular sobre que servicios y redes pueden comunicarse con la base de datos. Esto es fundamental para cumplir con requisitos de conformidad como CIS y proteger los datos en transito.

Que verifica Aether365

Aether365 verifica que cada cuenta de Azure Cosmos DB tenga al menos un punto de conexion privado configurado y que el acceso a la red publica este deshabilitado. Esta verificacion aparece en el panel de Aether365 bajo la categoria azure-cosmosdb y marca cualquier cuenta que dependa unicamente de la conectividad publica.

Como solucionarlo

1. Inicie sesion en Azure Portal y abra el servicio Azure Cosmos DB.
2. Seleccione la cuenta de Azure Cosmos DB que desea proteger.
3. En el menu izquierdo, elija Networking.
4. En la pestana Public access, seleccione la opcion Disable o Selected networks para restringir la conectividad publica.
5. Cambie a la pestana Private endpoint connections y haga clic en + Private Endpoint.
6. Ingrese un nombre para el punto de conexion privado y seleccione la suscripcion y el grupo de recursos.
7. En la pestana Resource, establezca Resource type en Microsoft.AzureCosmosDB/databaseAccounts y seleccione la cuenta de Cosmos DB.
8. En la pestana Virtual Network, elija la red virtual y la subred donde residira el punto de conexion privado.
9. En la pestana DNS, configure la integracion de DNS privado (recomendado) o use una zona de DNS personalizada.
10. Revise su configuracion y haga clic en Create.

Despues de la creacion, verifique que la conexion del punto de conexion privado muestre un estado de Approved.

Conformidad

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Nivel 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Nivel 2)
• EIDSCA (Evaluacion de conformidad de identidad europea y seguridad de datos)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Recursos relacionados

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security