Ensure That Private Endpoints Are Used Where Possible

Por Que Isso Importa

Sem pontos de extremidade privados, as contas do Azure Cosmos DB ficam acessíveis por meio de pontos de extremidade públicos, o que aumenta a superfície de ataque e expõe dados confidenciais a possíveis acessos não autorizados. Os pontos de extremidade privados garantem que o tráfego para seu Cosmos DB permaneça dentro da rede principal do Azure, proporcionando controle granular sobre quais serviços e redes podem se comunicar com o banco de dados. Isso é essencial para atender a requisitos de conformidade como CIS e proteger dados em trânsito.

O Que o Aether365 Verifica

O Aether365 verifica se cada conta do Azure Cosmos DB possui pelo menos um ponto de extremidade privado configurado e se o acesso à rede pública está desabilitado. Essa verificação aparece no painel do Aether365 na categoria azure-cosmosdb e sinaliza qualquer conta que dependa exclusivamente de conectividade pública.

Como Corrigir

1. Faça login no Azure Portal e abra o serviço Azure Cosmos DB.
2. Selecione a conta do Azure Cosmos DB que deseja proteger.
3. No menu à esquerda, escolha Networking.
4. Na guia Public access, selecione a opção Disable ou Selected networks para restringir a conectividade pública.
5. Mude para a guia Private endpoint connections e clique em + Private Endpoint.
6. Insira um nome para o ponto de extremidade privado e selecione a assinatura e o grupo de recursos.
7. Na guia Resource, defina Resource type como Microsoft.AzureCosmosDB/databaseAccounts e selecione a conta do Cosmos DB.
8. Na guia Virtual Network, escolha a rede virtual e a sub-rede onde o ponto de extremidade privado será hospedado.
9. Na guia DNS, configure a integração privada de DNS (recomendado) ou use uma zona DNS personalizada.
10. Revise suas configurações e clique em Create.

Após a criação, verifique se a conexão do ponto de extremidade privado apresenta o status Approved.

Conformidade

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Nível 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Nível 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Recursos Relacionados

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security