Ensure That Private Endpoints Are Used Where Possible

Miks see on oluline

Ilma privaatsete lõpp-punktideta on Azure Cosmos DB kontod ligipääsetavad avalike lõpp-punktide kaudu, mis suurendab ründepinda ja seab tundlikud andmed potentsiaalsele volitamata juurdepääsule. Privaatsed lõpp-punktid tagavad, et liiklus teie Cosmos DB-sse jääb Azure'i selgroogvõrku, pakkudes täpset kontrolli selle üle, millised teenused ja võrgud saavad andmebaasiga suhelda. See on kriitiline nõuete (nt CIS) täitmiseks ja andmete kaitsmiseks edastamise ajal.

Mida Aether365 kontrollib

Aether365 kontrollib, et igal Azure Cosmos DB kontal oleks konfigureeritud vähemalt üks privaatne lõpp-punkt ja et avalik võrgujuurdepääs oleks keelatud. See kontroll kuvatakse Aether365 armatuurlaual kategooria azure-cosmosdb all ja märgistab iga konto, mis toetub ainult avalikule ühenduvusele.

Kuidas parandada

1. Logige sisse Azure Portal ja avage Azure Cosmos DB teenus.
2. Valige Azure Cosmos DB konto, mida soovite kaitsta.
3. Vasakpoolses menüüs valige Networking.
4. Vahekaardi Public access all valige suvand Disable või Selected networks, et piirata avalikku ühenduvust.
5. Lülituge vahekaardile Private endpoint connections ja klõpsake + Private Endpoint.
6. Sisestage privaatse lõpp-punkti nimi ning valige tellimus ja ressursirühm.
7. Vahekaardil Resource määrake Resource type väärtuseks Microsoft.AzureCosmosDB/databaseAccounts ja valige Cosmos DB konto.
8. Vahekaardil Virtual Network valige virtuaalvõrk ja alamvõrk, kus privaatne lõpp-punkt asub.
9. Vahekaardil DNS konfigureerige privaatne DNS-i integreerimine (soovitatav) või kasutage kohandatud DNS-i tsooni.
10. Kontrollige oma sätteid ja klõpsake Create.

Pärast loomist veenduge, et privaatse lõpp-punkti ühenduse olek oleks Approved.

Vastavus

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Seotud ressursid

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security