Ensure That Private Endpoints Are Used Where Possible

Kāpēc tas ir svarīgi

Bez privātajiem galapunktiem Azure Cosmos DB konti ir pieejami, izmantojot publiskos galapunktus, kas palielina uzbrukuma virsmu un pakļauj sensitīvus datus iespējamai neatļautai piekļuvei. Privātie galapunkti nodrošina, ka datplūsma uz jūsu Cosmos DB paliek Azure mugurkaula tīklā, sniedzot detalizētu kontroli pār to, kuri pakalpojumi un tīkli var sazināties ar datubāzi. Tas ir būtiski, lai izpildītu atbilstības prasības, piemēram, CIS, un aizsargātu datus pārsūtīšanas laikā.

Ko pārbauda Aether365

Aether365 pārbauda, vai katram Azure Cosmos DB kontam ir konfigurēts vismaz viens privātais galapunkts un vai publiskā tīkla piekļuve ir atspējota. Šī pārbaude parādās Aether365 informācijas panelī sadaļā azure-cosmosdb un atzīmē visus kontus, kuri paļaujas tikai uz publisku savienojamību.

Kā labot

1. Piesakieties Azure Portal un atveriet Azure Cosmos DB pakalpojumu.
2. Atlasiet Azure Cosmos DB kontu, kuru vēlaties aizsargāt.
3. Kreisajā izvēlnē izvēlieties Networking.
4. Cilnē Public access atlasiet opciju Disable vai Selected networks, lai ierobežotu publisko savienojamību.
5. Pārslēdzieties uz cilni Private endpoint connections un noklikšķiniet uz + Private Endpoint.
6. Ievadiet privātā galapunkta nosaukumu un atlasiet abonementu un resursu grupu.
7. Cilnē Resource iestatiet Resource type uz Microsoft.AzureCosmosDB/databaseAccounts un atlasiet Cosmos DB kontu.
8. Cilnē Virtual Network izvēlieties virtuālo tīklu un apakštīklu, kurā atradīsies privātais galapunkts.
9. Cilnē DNS konfigurējiet privāto DNS integrāciju (ieteicams) vai izmantojiet pielāgotu DNS zonu.
10. Pārskatiet iestatījumus un noklikšķiniet uz Create.

Pēc izveides pārbaudiet, vai privātā galapunkta savienojuma statuss ir Approved (Apstiprināts).

Atbilstība

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Saistītie resursi

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security