Ensure That Private Endpoints Are Used Where Possible

Zakaj je to pomembno

Brez zasebnih končnih točk so računi Azure Cosmos DB dostopni prek javnih končnih točk, kar poveča napadalno površino in izpostavi občutljive podatke morebitnemu nepooblaščenemu dostopu. Zasebne končne točke zagotavljajo, da promet do vašega Cosmos DB ostane znotraj hrbtnega omrežja Azure, kar omogoča natančen nadzor nad tem, kateri storitvi in omrežji lahko komunicirata s podatkovno bazo. To je ključnega pomena za izpolnjevanje skladnosti s predpisi, kot je CIS, in za zaščito podatkov med prenosom.

Kaj preverja Aether365

Aether365 preveri, ali ima vsak račun Azure Cosmos DB konfigurirano vsaj eno zasebno končno točko in ali je javni omrežni dostop onemogočen. To preverjanje se pojavi na nadzorni plošči Aether365 pod kategorijo azure-cosmosdb in označi vsak račun, ki se zanaša izključno na javno povezljivost.

Kako popraviti

1. Prijavite se v Azure Portal in odprite storitev Azure Cosmos DB.
2. Izberite račun Azure Cosmos DB, ki ga želite zavarovati.
3. V levem meniju izberite Networking.
4. Pod zavihkom Public access izberite možnost Disable ali Selected networks, da omejite javno povezljivost.
5. Preklopite na zavihek Private endpoint connections in kliknite + Private Endpoint.
6. Vnesite ime za zasebno končno točko ter izberite naročnino in skupino virov.
7. Na zavihku Resource nastavite Resource type na Microsoft.AzureCosmosDB/databaseAccounts in izberite račun Cosmos DB.
8. Na zavihku Virtual Network izberite virtualno omrežje in podomrežje, kjer bo nameščena zasebna končna točka.
9. Na zavihku DNS konfigurirajte integracijo zasebnega DNS (priporočeno) ali uporabite območje po meri.
10. Preglejte nastavitve in kliknite Create.

Po ustvarjanju preverite, ali povezava zasebne končne točke prikazuje status Approved.

Skladnost

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Povezani viri

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security