Ensure That 'Firewalls & Networks' Is Limited to Use Selected Networks Instead of All Networks

Miért fontos ez

Az Azure Cosmos DB minden hálózat számára történő elérhetővé tétele, beleértve a nyilvános internetet is, jelentősen megnöveli az illetéktelen hozzáférés és az adatszivárgás kockázatát. A hálózati hozzáférésnek csak a kiválasztott, engedélyezési listán szereplő hálózatokra történő korlátozásával csökkenti a támadási felületet, és szigorúbb ellenőrzést biztosít azon rendszerek felett, amelyek kommunikálhatnak az adatbázissal. Ez kritikus biztonsági intézkedés minden olyan szervezet számára, amely érzékeny vagy szabályozott adatokat kezel.

Mit ellenőriz az Aether365

Az Aether365 ellenőrzi, hogy minden Azure Cosmos DB-fiók hálózati beállítása "Kiválasztott hálózatok" (Selected Networks) értékre van-e állítva, nem pedig "Minden hálózat" (All Networks) értékre. Ezt az ellenőrzést az Aether365 irányítópultján, az azure-cosmosdb szolgáltatásellenőrzések kategóriájában tekintheti meg.

Hogyan javítható

A Cosmos DB hálózati hozzáférésének korlátozása az Azure Portal segítségével:

1. Nyissa meg az Azure Portal menüt, és válassza az Azure Cosmos DB lehetőséget.
2. Válassza ki a védeni kívánt Cosmos DB-fiókot.
3. A bal oldali navigációban kattintson a Networking elemre.
4. A Public network access (Nyilvános hálózati hozzáférés) alatt válassza a Selected networks (Kiválasztott hálózatok) lehetőséget.
5. A Virtual networks (Virtuális hálózatok) alatt kattintson a + Add existing virtual network (Meglévő virtuális hálózat hozzáadása) vagy a + Add a new virtual network (Új virtuális hálózat hozzáadása) gombra.
6. Meglévő hálózat esetén: válassza ki az előfizetést (subscription), a virtuális hálózatot (virtual network) és az alhálózatot (subnet), majd kattintson az Add (Hozzáadás) gombra. Új hálózat esetén: adjon meg egy nevet, szükség szerint módosítsa az alapértelmezett értékeket, majd kattintson a Create (Létrehozás) gombra.
7. Kattintson a Save (Mentés) gombra a Networking (Hálózatkezelés) oldal tetején.

Megjegyzés: A tűzfalváltozások érvénybe lépése akár 15 percet is igénybe vehet. Ennek megfelelően tervezze meg a javítási időablakot, hogy elkerülje a kapcsolat megszakadását. Továbbá a helytelen engedélyezési lista (whitelisting) kapcsolatvesztést eredményez.

Megfelelés

• CIS Microsoft Azure Foundations 3.0.0 5.4.1 szakasz (2. szint)
• CIS Microsoft Azure Foundations 2.0.0 (ha alkalmazható)
• EIDSCA (Enterprise ID Security Compliance Assessment)
• CISA (Cybersecurity and Infrastructure Security Agency) iránymutatás

Kapcsolódó források

• Azure Cosmos DB konfigurálása privát végpontokkal
• Virtuális hálózati szolgáltatásvégpont konfigurálása az Azure Cosmos DB-hez
• Azure CLI referenciakönyv a Cosmos DB-hez
• Azure PowerShell a Cosmos DB-hez
• Microsoft cloud security benchmark: Network security (NS-2)

Microsoft references

• How to configure private endpoints
• How to configure vnet service endpoint
• Cosmosdb
• Database
• Az
• Mcsb network security