Use Entra ID Client Authentication and Azure RBAC where possible
Prečo je to dôležité
Tokenová autentifikácia pre Azure Cosmos DB vyžaduje trvalé tajomstvá uložené na strane klienta, čo zvyšuje riziko odhalenia poverení a komplikuje správu bezpečnosti. Prechodom na autentifikáciu pomocou Entra ID s Azure RBAC eliminujete uložené poverenia, umožníte viacfaktorové overovanie a centralizujete riadenie prístupu ku všetkým prostriedkom Azure. To výrazne znižuje útočnú plochu a je v súlade s osvedčenými bezpečnostnými postupmi pre správu identít.
Čo kontroluje Aether365
Aether365 overuje, či sú vaše účty Azure Cosmos DB nakonfigurované na používanie klientskej autentifikácie Entra ID a Azure RBAC namiesto tokenovej autentifikácie. Táto kontrola sa v dashboarde Aether365 zobrazuje v rámci kontrol azure-cosmosdb ako "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Ako to opraviť
- Otvorte Azure Portal a prejdite na svoj účet Azure Cosmos DB.
- V ľavom menu vyberte "Settings" a potom "Keys".
- V časti "Authentication" vyberte "Microsoft Entra ID" ako metódu autentifikácie.
- V časti "Access control (IAM)" priraďte prístup na základe rolí pomocou rolí Azure RBAC, ako napríklad "Cosmos DB Built-in Data Reader" alebo "Cosmos DB Built-in Data Contributor".
- Aktualizujte kód svojej aplikácie tak, aby na autentifikáciu s Entra ID používala knižnicu Azure Identity pre .NET, Java, Python alebo Node.js.
- Odstráňte všetky existujúce tokenové autentifikačné kľúče z klientskych aplikácií, aby ste zabezpečili úplnú migráciu.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0