Ensure That Private Endpoints Are Used Where Possible

Miksi tämä on tärkeää

Ilman yksityisiä päätepisteitä Azure Cosmos DB -tilit ovat käytettävissä julkisten päätepisteiden kautta, mikä kasvattaa hyökkäyspinta-alaa ja altistaa arkaluonteiset tiedot mahdolliselle luvattomalle käytölle. Yksityiset päätepisteet varmistavat, että Cosmos DB -tietokannan liikenne pysyy Azure-ydinverkossa, mikä tarjoaa tarkan hallinnan siitä, mitkä palvelut ja verkot voivat olla yhteydessä tietokantaan. Tämä on kriittistä vaatimusten, kuten CIS-vaatimusten, noudattamiseksi ja tietojen suojaamiseksi siirron aikana.

Mitä Aether365 tarkistaa

Aether365 varmistaa, että jokaisella Azure Cosmos DB -tilillä on vähintään yksi yksityinen päätepiste määritettynä ja että julkinen verkkoyhteys on poistettu käytöstä. Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-cosmosdb-luokassa ja merkitsee kaikki tilit, jotka luottavat yksinomaan julkiseen yhteyteen.

Korjaustoimenpiteet

1. Kirjaudu sisään Azure Portaliin ja avaa Azure Cosmos DB -palvelu.
2. Valitse Azure Cosmos DB -tili, jonka haluat suojata.
3. Valitse vasemmasta valikosta Networking.
4. Valitse Public access -välilehdellä Disable tai Selected networks -vaihtoehto julkisen yhteyden rajoittamiseksi.
5. Siirry Private endpoint connections -välilehteen ja napsauta + Private Endpoint.
6. Anna yksityiselle päätepisteelle nimi ja valitse tilaus sekä resurssiryhmä.
7. Valitse Resource-välilehdessä Resource type -kentässä Microsoft.AzureCosmosDB/databaseAccounts ja valitse Cosmos DB -tili.
8. Valitse Virtual Network -välilehdessä virtuaaliverkko ja aliverkko, johon yksityinen päätepiste sijoitetaan.
9. Määritä DNS-välilehdessä yksityinen DNS-integraatio (suositeltu) tai käytä mukautettua DNS-vyöhykettä.
10. Tarkista asetukset ja napsauta Create.

Luoamisen jälkeen varmista, että yksityisen päätepisteen yhteyden tila on Approved.

Vaatimustenmukaisuus

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Aiheeseen liittyvät resurssit

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security