Use Entra ID Client Authentication and Azure RBAC where possible
Pourquoi c'est important
L'authentification basée sur les jetons pour Azure Cosmos DB nécessite des secrets persistants stockés côté client, ce qui augmente le risque d'exposition des identifiants et complique la gestion de la sécurité. En passant à l'authentification Entra ID avec Azure RBAC, vous éliminez les identifiants stockés, activez l'authentification multifacteur et centralisez le contrôle d'accès sur toutes les ressources Azure. Cela réduit considérablement la surface d'attaque et s'aligne sur les bonnes pratiques de sécurité en matière de gestion des identités.
Ce que vérifie Aether365
Aether365 vérifie que vos comptes Azure Cosmos DB sont configurés pour utiliser l'authentification client Entra ID et Azure RBAC plutôt que l'authentification par jeton. Cette vérification apparaît dans le tableau de bord Aether365 sous les contrôles azure-cosmosdb sous l'intitulé "Utiliser l'authentification client Entra ID et Azure RBAC lorsque c'est possible" (AZURE.118).
Comment corriger
- Ouvrez le Azure portal et accédez à votre compte Azure Cosmos DB.
- Dans le menu de gauche, sélectionnez "Settings" puis "Keys".
- Sous "Authentication", sélectionnez "Microsoft Entra ID" comme méthode d'authentification.
- Dans le panneau "Access control (IAM)", attribuez un accès basé sur les rôles en utilisant des rôles Azure RBAC tels que "Cosmos DB Built-in Data Reader" ou "Cosmos DB Built-in Data Contributor".
- Mettez à jour le code de votre application pour utiliser la bibliothèque Azure Identity pour .NET, Java, Python ou Node.js afin de vous authentifier avec Entra ID.
- Supprimez toutes les clés d'authentification basée sur les jetons existantes dans les applications clientes pour garantir une migration complète.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Niveau 1)
- EIDSCA 2.0