Use Entra ID Client Authentication and Azure RBAC where possible
Hvorfor Dette Er Viktig
Tokenbasert autentisering for Azure Cosmos DB krever vedvarende hemmeligheter som lagres på klientsiden, noe som øker risikoen for eksponering av legitimasjon og kompliserer sikkerhetshåndteringen. Ved å bytte til Entra ID-autentisering med Azure RBAC eliminerer du lagrede legitimasjonsopplysninger, muliggjør flerfaktorautentisering og sentraliserer tilgangskontroll på tvers av alle Azure-ressurser. Dette reduserer angrepsflaten betraktelig og samsvarer med sikkerhetsbeste praksis for identitetshåndtering.
Hva Aether365 Sjekker
Aether365 verifiserer at Azure Cosmos DB-kontoene dine er konfigurert til å bruke Entra ID-klientautentisering og Azure RBAC i stedet for tokenbasert autentisering. Denne kontrollen vises i Aether365-dashbordet under azure-cosmosdb-sjekker som "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Slik Fikser Du Det
- Åpne Azure Portal og naviger til Azure Cosmos DB-kontoen din.
- I menyen til venstre velger du "Settings" og deretter "Keys".
- Under "Authentication" velger du "Microsoft Entra ID" som autentiseringsmetode.
- I bladet "Access control (IAM)" tildeler du rollegrensesnittbasert tilgang ved hjelp av Azure RBAC-roller som "Cosmos DB Built-in Data Reader" eller "Cosmos DB Built-in Data Contributor".
- Oppdater applikasjonskoden din til å bruke Azure Identity-biblioteket for .NET, Java, Python eller Node.js for å autentisere med Entra ID.
- Fjern alle eksisterende tokenbaserte autentiseringsnøkler fra klientapplikasjoner for å sikre full migrering.
Samsvar
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Nivå 1)
- EIDSCA 2.0