Ensure That Private Endpoints Are Used Where Possible

Waarom dit belangrijk is

Zonder private endpoints zijn Azure Cosmos DB-accounts bereikbaar via openbare endpoints, waardoor het aanvalsoppervlak groter wordt en gevoelige gegevens worden blootgesteld aan mogelijke ongeautoriseerde toegang. Private endpoints zorgen ervoor dat verkeer naar uw Cosmos DB binnen het Azure-backbonenetwerk blijft, waardoor u granular kunt bepalen welke services en netwerken met de database kunnen communiceren. Dit is essentieel om te voldoen aan compliance-vereisten zoals CIS en om gegevens tijdens verzending te beschermen.

Wat Aether365 controleert

Aether365 controleert of elk Azure Cosmos DB-account ten minste één private endpoint heeft geconfigureerd en dat openbare netwerktoegang is uitgeschakeld. Deze controle verschijnt in het Aether365-dashboard onder de categorie azure-cosmosdb en markeert elk account dat uitsluitend afhankelijk is van openbare connectiviteit.

Hoe u dit oplost

1. Meld u aan bij de Azure Portal en open de Azure Cosmos DB-service.
2. Selecteer het Azure Cosmos DB-account dat u wilt beveiligen.
3. Kies in het linkermenu de optie Networking.
4. Selecteer op het tabblad Public access de optie Disable of Selected networks om openbare connectiviteit te beperken.
5. Schakel over naar het tabblad Private endpoint connections en klik op + Private Endpoint.
6. Voer een naam in voor het private endpoint en selecteer het abonnement en de resourcegroep.
7. Stel op het tabblad Resource het Resource type in op Microsoft.AzureCosmosDB/databaseAccounts en selecteer het Cosmos DB-account.
8. Kies op het tabblad Virtual Network het virtuele netwerk en subnet waar het private endpoint zal worden geplaatst.
9. Configureer op het tabblad DNS de integratie van private DNS (aanbevolen) of gebruik een aangepaste DNS-zone.
10. Controleer uw instellingen en klik op Create.

Na het aanmaken controleert u of de private endpoint-verbinding de status Approved weergeeft.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Gerelateerde bronnen

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security