Ensure That Private Endpoints Are Used Where Possible

Miért fontos ez

Privát végpontok nélkül az Azure Cosmos DB-fiókok nyilvános végpontokon keresztül érhetők el, ami növeli a támadási felületet és kitettséget okoz az érzékeny adatok számára a jogosulatlan hozzáférésnek. A privát végpontok biztosítják, hogy a Cosmos DB felé irányuló forgalom az Azure gerinchálózatán belül maradjon, ami részletes szabályozást tesz lehetővé arról, hogy mely szolgáltatások és hálózatok kommunikálhatnak az adatbázissal. Ez kritikus fontosságú a megfelelőségi követelmények (például CIS) teljesítéséhez és az adatok továbbítás közbeni védelméhez.

Mit ellenőriz az Aether365

Az Aether365 ellenőrzi, hogy minden Azure Cosmos DB-fiókhoz konfigurálva van-e legalább egy privát végpont, és hogy a nyilvános hálózati hozzáférés le van-e tiltva. Ez az ellenőrzés az Aether365 irányítópultján az azure-cosmosdb kategória alatt jelenik meg, és minden olyan fiókot megjelöl, amely kizárólag nyilvános kapcsolatra támaszkodik.

Hogyan javítsuk ki

1. Jelentkezzen be az Azure Portalra, és nyissa meg az Azure Cosmos DB szolgáltatást.
2. Válassza ki a biztonságossá tenni kívánt Azure Cosmos DB-fiókot.
3. A bal oldali menüben válassza a Networking lehetőséget.
4. A Public access lapon válassza a Disable vagy a Selected networks lehetőséget a nyilvános kapcsolat korlátozásához.
5. Váltson a Private endpoint connections lapra, és kattintson a + Private Endpoint gombra.
6. Adja meg a privát végpont nevét, és válassza ki az előfizetést és az erőforráscsoportot.
7. A Resource lapon állítsa a Resource type mezőt Microsoft.AzureCosmosDB/databaseAccounts értékre, és válassza ki a Cosmos DB-fiókot.
8. A Virtual Network lapon válassza ki a virtuális hálózatot és alhálózatot, ahol a privát végpont elhelyezkedik.
9. A DNS lapon konfigurálja a privát DNS-integrációt (ajánlott), vagy használjon egyéni DNS-zónát.
10. Tekintse át a beállításokat, és kattintson a Create gombra.

A létrehozás után ellenőrizze, hogy a privát végpont kapcsolatának állapota Approved (Jóváhagyva) értéket mutat.

Megfelelőség

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Kapcsolódó erőforrások

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security