Use Entra ID Client Authentication and Azure RBAC where possible

Miért fontos ez

Az Azure Cosmos DB tokenalapú hitelesítése állandó titkos kódok tárolását igényli az ügyféloldalon, ami növeli a hitelesítő adatok kiszivárgásának kockázatát és bonyolítja a biztonságkezelést. Ha áttér az Entra ID hitelesítésre az Azure RBAC segítségével, megszünteti a tárolt hitelesítő adatokat, lehetővé teszi a többtényezős hitelesítést, és központosítja a hozzáférés-vezérlést az összes Azure-erőforráson. Ez jelentősen csökkenti a támadási felületet, és összhangban van a személyazonosság-kezelés biztonsági bevált gyakorlataival.

Mit ellenőriz az Aether365

Az Aether365 ellenőrzi, hogy az Azure Cosmos DB-fiókok Entra ID ügyfél-hitelesítést és Azure RBAC-t használnak-e a tokenalapú hitelesítés helyett. Ez az ellenőrzés az Aether365 irányítópultján az azure-cosmosdb ellenőrzések között jelenik meg "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118) néven.

Javítás lépései

1. Nyissa meg az Azure Portalt, és navigáljon az Azure Cosmos DB-fiókjához.
2. A bal oldali menüben válassza a "Settings", majd a "Keys" lehetőséget.
3. A "Authentication" alatt válassza a "Microsoft Entra ID" hitelesítési módot.
4. Az "Access control (IAM)" panelen rendeljen szerepkör-alapú hozzáférést Azure RBAC-szerepkörök, például "Cosmos DB Built-in Data Reader" vagy "Cosmos DB Built-in Data Contributor" segítségével.
5. Frissítse az alkalmazáskódot, hogy az Azure Identity Library-t használja .NET, Java, Python vagy Node.js környezetben az Entra ID-val történő hitelesítéshez.
6. Távolítson el minden meglévő tokenalapú hitelesítési kulcsot az ügyfélalkalmazásokból a teljes átállás biztosítása érdekében.

Megfelelőség

• CIS Microsoft Azure Foundations 3.0.0 5.4.3 (1. szint)
• EIDSCA 2.0

Kapcsolódó források

• How to grant control plane role-based access in Azure Cosmos DB

Microsoft references

• How to grant control plane role based access