Use Entra ID Client Authentication and Azure RBAC where possible
Waarom dit belangrijk is
Token-gebaseerde authenticatie voor Azure Cosmos DB vereist permanente geheimen die aan de clientzijde worden opgeslagen, wat het risico op blootstelling van inloggegevens vergroot en het beveiligingsbeheer compliceert. Door over te stappen op Entra ID-authenticatie met Azure RBAC, elimineert u opgeslagen inloggegevens, schakelt u multi-factor authenticatie in en centraliseert u toegangsbeheer voor alle Azure-resources. Dit verkleint het aanvalsoppervlak aanzienlijk en sluit aan bij de best practices voor identiteitsbeheer.
Wat Aether365 controleert
Aether365 controleert of uw Azure Cosmos DB-accounts zijn geconfigureerd voor Entra ID-clientauthenticatie en Azure RBAC in plaats van token-gebaseerde authenticatie. Deze controle verschijnt in het Aether365-dashboard onder de azure-cosmosdb controles als "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Hoe u het oplost
- Open de Azure Portal en navigeer naar uw Azure Cosmos DB-account.
- Selecteer in het linkermenu "Settings" en vervolgens "Keys".
- Selecteer onder "Authentication" de optie "Microsoft Entra ID" als authenticatiemethode.
- Wijs in de blade "Access control (IAM)" op rollen gebaseerd toegang toe met behulp van Azure RBAC-rollen zoals "Cosmos DB Built-in Data Reader" of "Cosmos DB Built-in Data Contributor".
- Werk uw applicatiecode bij om gebruik te maken van de Azure Identity-bibliotheek voor .NET, Java, Python of Node.js om te authenticeren met Entra ID.
- Verwijder eventuele bestaande token-gebaseerde authenticatiesleutels uit clientapplicaties om een volledige migratie te garanderen.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0