Ensure That Private Endpoints Are Used Where Possible

Prečo je to dôležité

Bez privátnych koncových bodov sú účty Azure Cosmos DB prístupné cez verejné koncové body, čím sa zvyšuje plocha útoku a vystavujú sa citlivé údaje potenciálnemu neoprávnenému prístupu. Privátne koncové body zabezpečujú, že prevádzka do vášho Cosmos DB zostáva v rámci chrbtovej siete Azure a poskytujú granulárnu kontrolu nad tým, ktoré služby a siete môžu komunikovať s databázou. Je to kľúčové pre splnenie požiadaviek na súlad ako CIS a ochranu údajov počas prenosu.

Čo kontroluje Aether365

Aether365 overuje, či má každý účet Azure Cosmos DB nakonfigurovaný aspoň jeden privátny koncový bod a či je verejný sieťový prístup zakázaný. Táto kontrola sa zobrazuje na paneli Aether365 v kategórii azure-cosmosdb a označuje akýkoľvek účet, ktorý sa spolieha výlučne na verejné pripojenie.

Ako to opraviť

1. Prihláste sa do Azure Portal a otvorte službu Azure Cosmos DB.
2. Vyberte účet Azure Cosmos DB, ktorý chcete zabezpečiť.
3. V ľavom menu vyberte Networking.
4. Na karte Public access vyberte možnosť Disable alebo Selected networks na obmedzenie verejného pripojenia.
5. Prepnite sa na kartu Private endpoint connections a kliknite na + Private Endpoint.
6. Zadajte názov privátneho koncového bodu a vyberte predplatné a skupinu prostriedkov.
7. Na karte Resource nastavte Resource type na Microsoft.AzureCosmosDB/databaseAccounts a vyberte účet Cosmos DB.
8. Na karte Virtual Network vyberte virtuálnu sieť a podsieť, v ktorej bude privátny koncový bod umiestnený.
9. Na karte DNS nakonfigurujte integráciu privátneho DNS (odporúča sa) alebo použite vlastnú DNS zónu.
10. Skontrolujte nastavenia a kliknite na Create.

Po vytvorení overte, či pripojenie privátneho koncového bodu zobrazuje stav Approved.

Súlad s normami

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Súvisiace zdroje

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security