Ensure That 'Firewalls & Networks' Is Limited to Use Selected Networks Instead of All Networks

De Ce Este Important

Expunerea Azure Cosmos DB către toate rețelele, inclusiv internetul public, crește semnificativ riscul de acces neautorizat și breșe de date. Prin restricționarea accesului la rețea doar la rețelele selectate și permise (whitelisted), reduceți suprafața de atac și mențineți un control mai strict asupra sistemelor care pot comunica cu baza dumneavoastră de date. Aceasta este o măsură de securitate critică pentru orice organizație care gestionează date sensibile sau reglementate.

Ce Verifică Aether365

Aether365 verifică dacă configurarea rețelei (Networking) pentru fiecare cont Azure Cosmos DB este setată la "Selected Networks" în loc de "All Networks". Puteți vizualiza această verificare în tabloul de bord Aether365, în categoria verificărilor de servicii azure-cosmosdb.

Cum se Remediază

Pentru a restricționa accesul la rețea al Cosmos DB utilizând portalul Azure:

1. Deschideți meniul portalului Azure și selectați Azure Cosmos DB.
2. Alegeți contul Cosmos DB specific pe care doriți să îl securizați.
3. În navigarea din stânga, dați clic pe Networking.
4. Sub Public network access, selectați Selected networks.
5. Sub Virtual networks, dați clic pe + Add existing virtual network sau + Add a new virtual network.
6. Pentru o rețea existentă: selectați subscription-ul, virtual network-ul și subnet-ul, apoi dați clic pe Add. Pentru o rețea nouă: introduceți un nume, ajustați valorile implicite după necesități și dați clic pe Create.
7. Dați clic pe Save în partea de sus a paginii Networking.

Notă: Modificările firewall-ului pot dura până la 15 minute pentru a intra în vigoare. Planificați fereastra de remediere în consecință pentru a evita întreruperea conexiunii. De asemenea, o listă de permisiuni (whitelisting) incorectă va duce la pierderea conexiunii.

Conformitate

• CIS Microsoft Azure Foundations 3.0.0 Secțiunea 5.4.1 (Nivel 2)
• CIS Microsoft Azure Foundations 2.0.0 (dacă este aplicabil)
• EIDSCA (Enterprise ID Security Compliance Assessment)
• Orientări CISA (Cybersecurity and Infrastructure Security Agency)

Resurse Conexe

• Configure Azure Cosmos DB with private endpoints
• Configure virtual network service endpoint for Azure Cosmos DB
• Azure CLI reference for Cosmos DB
• Azure PowerShell for Cosmos DB
• Microsoft cloud security benchmark: Network security (NS-2)

Microsoft references

• How to configure private endpoints
• How to configure vnet service endpoint
• Cosmosdb
• Database
• Az
• Mcsb network security