Use Entra ID Client Authentication and Azure RBAC where possible

Miksi Tällä on Merkitystä

Token-pohjainen todentaminen Azure Cosmos DB:ssä edellyttää pysyvien salaisuuksien tallentamista asiakaspuolelle, mikä lisää tunnistetietojen paljastumisen riskiä ja monimutkaistaa suojaustenhallintaa. Vaihtamalla Entra ID -todentamiseen Azure RBAC:n avulla poistat tallennetut tunnistetiedot, otat käyttöön monivaiheisen todentamisen ja keskität käyttöoikeuksien hallinnan kaikille Azure-resursseille. Tämä vähentää merkittävästi hyökkäyspinta-alaa ja noudattaa identiteetinhallinnan parhaita suojaustapoja.

Mitä Aether365 Tarkistaa

Aether365 varmistaa, että Azure Cosmos DB -tilisi on määritetty käyttämään Entra ID -asiakastodentamista ja Azure RBAC:tä token-pohjaisen todentamisen sijaan. Tämä tarkistus näkyy Aether365:n kojelaudassa azure-cosmosdb-tarkistusten alla nimellä "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).

Korjaaminen

1. Avaa Azure Portal ja siirry Azure Cosmos DB -tiliisi.
2. Valitse vasemmasta valikosta "Settings" ja sitten "Keys".
3. Valitse "Authentication"-kohdasta "Microsoft Entra ID" todentamismenetelmäksi.
4. Määritä "Access control (IAM)" -sivulla roolipohjainen käyttö käyttämällä Azure RBAC -rooleja, kuten "Cosmos DB Built-in Data Reader" tai "Cosmos DB Built-in Data Contributor".
5. Päivitä sovelluskoodisi käyttämään Azure Identity -kirjastoa .NET-, Java-, Python- tai Node.js-ympäristössä todentaaksesi Entra ID:llä.
6. Poista kaikki olemassa olevat token-pohjaiset todentamisavaimet asiakassovelluksista varmistaaksesi täydellisen siirtymän.

Vaatimustenmukaisuus

• CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
• EIDSCA 2.0

Liittyvät Resurssit

• How to grant control plane role-based access in Azure Cosmos DB

Microsoft references

• How to grant control plane role based access