Ensure That Private Endpoints Are Used Where Possible

Pourquoi c'est important

Sans points de terminaison privés, les comptes Azure Cosmos DB sont accessibles via des points de terminaison publics, ce qui augmente la surface d'attaque et expose les données sensibles à des accès non autorisés potentiels. Les points de terminaison privés garantissent que le trafic vers votre Cosmos DB reste sur le réseau principal d'Azure, offrant un contrôle granulaire sur les services et réseaux pouvant communiquer avec la base de données. C'est essentiel pour répondre aux exigences de conformité comme CIS et protéger les données en transit.

Ce que vérifie Aether365

Aether365 vérifie que chaque compte Azure Cosmos DB dispose d'au moins un point de terminaison privé configuré et que l'accès réseau public est désactivé. Cette vérification apparaît dans le tableau de bord Aether365 sous la catégorie azure-cosmosdb et signale tout compte qui repose uniquement sur la connectivité publique.

Comment corriger

1. Connectez-vous au Azure Portal et ouvrez le service Azure Cosmos DB.
2. Sélectionnez le compte Azure Cosmos DB à sécuriser.
3. Dans le menu de gauche, choisissez Networking.
4. Sous l'onglet Public access, sélectionnez l'option Disable ou Selected networks pour restreindre la connectivité publique.
5. Passez à l'onglet Private endpoint connections et cliquez sur + Private Endpoint.
6. Saisissez un nom pour le point de terminaison privé et sélectionnez l'abonnement et le groupe de ressources.
7. Sous l'onglet Resource, définissez Resource type sur Microsoft.AzureCosmosDB/databaseAccounts et sélectionnez le compte Cosmos DB.
8. Sous l'onglet Virtual Network, choisissez le réseau virtuel et le sous-réseau où résidera le point de terminaison privé.
9. Sous l'onglet DNS, configurez l'intégration DNS privée (recommandée) ou utilisez une zone DNS personnalisée.
10. Vérifiez vos paramètres et cliquez sur Create.

Après création, vérifiez que la connexion au point de terminaison privé affiche un état Approved.

Conformité

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Ressources associées

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security