Use Entra ID Client Authentication and Azure RBAC where possible
Por Que Isso É Importante
A autenticação baseada em token para o Azure Cosmos DB exige segredos persistentes armazenados no lado do cliente, o que aumenta o risco de exposição de credenciais e complica o gerenciamento de segurança. Ao migrar para a autenticação do Entra ID com Azure RBAC, você elimina credenciais armazenadas, permite a autenticação multifator e centraliza o controle de acesso em todos os recursos do Azure. Isso reduz significativamente a superfície de ataque e está alinhado com as melhores práticas de segurança para gerenciamento de identidade.
O Que o Aether365 Verifica
O Aether365 verifica se suas contas do Azure Cosmos DB estão configuradas para usar autenticação de cliente do Entra ID e Azure RBAC em vez de autenticação baseada em token. Essa verificação aparece no painel do Aether365 sob as verificações azure-cosmosdb como "Use Autenticação de Cliente do Entra ID e Azure RBAC sempre que possível" (AZURE.118).
Como Corrigir
- Abra o portal do Azure e navegue até sua conta do Azure Cosmos DB.
- No menu à esquerda, selecione "Settings" e depois "Keys".
- Em "Authentication", selecione "Microsoft Entra ID" como método de autenticação.
- Na lâmina "Access control (IAM)", atribua acesso baseado em função usando funções do Azure RBAC como "Cosmos DB Built-in Data Reader" ou "Cosmos DB Built-in Data Contributor".
- Atualize o código do seu aplicativo para usar a biblioteca Azure Identity para .NET, Java, Python ou Node.js para autenticar com o Entra ID.
- Remova quaisquer chaves de autenticação baseadas em token existentes dos aplicativos cliente para garantir a migração completa.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Nível 1)
- EIDSCA 2.0