Use Entra ID Client Authentication and Azure RBAC where possible
Varför detta är viktigt
Tokenbaserad autentisering för Azure Cosmos DB kräver beständiga hemligheter som lagras på klientsidan, vilket ökar risken för exponering av autentiseringsuppgifter och komplicerar säkerhetshanteringen. Genom att byta till Entra ID-autentisering med Azure RBAC eliminerar du lagrade autentiseringsuppgifter, möjliggör multifaktorautentisering och centraliserar åtkomstkontrollen över alla Azure-resurser. Detta minskar attackytan avsevärt och följer säkerhetsrekommendationer för identitetshantering.
Vad Aether365 kontrollerar
Aether365 verifierar att dina Azure Cosmos DB-konton är konfigurerade för att använda Entra ID-klientautentisering och Azure RBAC istället för tokenbaserad autentisering. Denna kontroll visas i Aether365-instrumentpanelen under azure-cosmosdb-kontroller som "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Så här åtgärdar du
- Öppna Azure Portal och navigera till ditt Azure Cosmos DB-konto.
- I menyn till vänster väljer du "Settings" och därefter "Keys".
- Under "Authentication" väljer du "Microsoft Entra ID" som autentiseringsmetod.
- I bladet "Access control (IAM)" tilldelar du rollbaserad åtkomst med Azure RBAC-roller som "Cosmos DB Built-in Data Reader" eller "Cosmos DB Built-in Data Contributor".
- Uppdatera din applikationskod för att använda Azure Identity-biblioteket för .NET, Java, Python eller Node.js för att autentisera med Entra ID.
- Ta bort eventuella befintliga tokenbaserade autentiseringsnycklar från klientapplikationer för att säkerställa fullständig migrering.
Efterlevnad
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Nivå 1)
- EIDSCA 2.0