Use Entra ID Client Authentication and Azure RBAC where possible
Zakaj je to pomembno
Avtentikacija na podlagi žetonov za Azure Cosmos DB zahteva trajne skrivnosti, shranjene na odjemalski strani, kar povečuje tveganje izpostavitve poverilnic in otežuje upravljanje varnosti. S prehodom na avtentikacijo Entra ID z Azure RBAC odpravite shranjene poverilnice, omogočite večfaktorsko avtentikacijo in centralizirate nadzor dostopa nad vsemi viri Azure. To bistveno zmanjša napadalno površino in je usklajeno z najboljšimi varnostnimi praksami za upravljanje identitet.
Kaj preverja Aether365
Aether365 preverja, ali so vaši računi Azure Cosmos DB konfigurirani za uporabo odjemalske avtentikacije Entra ID in Azure RBAC namesto avtentikacije na podlagi žetonov. To preverjanje se v nadzorni plošči Aether365 pojavi pod preverjanji azure-cosmosdb kot "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Kako odpraviti težavo
- Odprite Azure Portal in poiščite svoj račun Azure Cosmos DB.
- V levem meniju izberite "Settings", nato "Keys".
- Pod "Authentication" izberite "Microsoft Entra ID" kot način avtentikacije.
- V podoknu "Access control (IAM)" dodelite dostop na podlagi vlog z uporabo vlog Azure RBAC, kot so "Cosmos DB Built-in Data Reader" ali "Cosmos DB Built-in Data Contributor".
- Posodobite kodo svoje aplikacije, da za avtentikacijo z Entra ID uporablja knjižnico Azure Identity za .NET, Java, Python ali Node.js.
- Odstranite morebitne obstoječe ključe za avtentikacijo na podlagi žetonov iz odjemalskih aplikacij, da zagotovite popolno selitev.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0