Use Entra ID Client Authentication and Azure RBAC where possible
De ce contează
Autentificarea bazată pe token pentru Azure Cosmos DB necesită secrete persistente stocate pe partea clientului, ceea ce crește riscul de expunere a acreditărilor și complică gestionarea securității. Prin trecerea la autentificarea Entra ID cu Azure RBAC, eliminați acreditările stocate, activați autentificarea multi-factor și centralizați controlul accesului pentru toate resursele Azure. Acest lucru reduce semnificativ suprafața de atac și se aliniază celor mai bune practici de securitate pentru gestionarea identității.
Ce verifică Aether365
Aether365 verifică dacă conturile dvs. Azure Cosmos DB sunt configurate să utilizeze autentificarea client Entra ID și Azure RBAC în locul autentificării bazate pe token. Această verificare apare în tabloul de bord Aether365 sub verificările azure-cosmosdb ca „Use Entra ID Client Authentication and Azure RBAC where possible” (AZURE.118).
Cum se remediază
- Deschideți Azure portal și navigați la contul dvs. Azure Cosmos DB.
- În meniul din stânga, selectați „Settings”, apoi „Keys”.
- Sub „Authentication”, selectați „Microsoft Entra ID” ca metodă de autentificare.
- În fereastra „Access control (IAM)”, atribuiți acces bazat pe roluri utilizând roluri Azure RBAC, cum ar fi „Cosmos DB Built-in Data Reader” sau „Cosmos DB Built-in Data Contributor”.
- Actualizați codul aplicației dvs. pentru a utiliza biblioteca Azure Identity pentru .NET, Java, Python sau Node.js pentru a vă autentifica cu Entra ID.
- Eliminați orice chei de autentificare bazate pe token existente din aplicațiile client pentru a asigura migrarea completă.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0