Ensure That Private Endpoints Are Used Where Possible

Varför detta är viktigt

Utan privata slutpunkter är Azure Cosmos DB-konton tillgängliga via offentliga slutpunkter, vilket ökar attackytan och exponerar känsliga data för potentiell obehörig åtkomst. Privata slutpunkter säkerställer att trafik till din Cosmos DB förblir inom Azures ryggradsnätverk, vilket ger detaljerad kontroll över vilka tjänster och nätverk som kan kommunicera med databasen. Detta är avgörande för att uppfylla efterlevnadskrav som CIS och skydda data under överföring.

Vad Aether365 kontrollerar

Aether365 verifierar att varje Azure Cosmos DB-konto har minst en privat slutpunkt konfigurerad och att offentlig nätverksåtkomst är inaktiverad. Denna kontroll visas i Aether365-instrumentpanelen under kategorin azure-cosmosdb och flaggar alla konton som endast förlitar sig på offentlig anslutning.

Så här åtgärdar du

1. Logga in på Azure Portal och öppna tjänsten Azure Cosmos DB.
2. Välj det Azure Cosmos DB-konto du vill säkra.
3. I vänstermenyn väljer du Networking.
4. Under fliken Public access väljer du alternativet Disable eller Selected networks för att begränsa offentlig anslutning.
5. Växla till fliken Private endpoint connections och klicka på + Private Endpoint.
6. Ange ett namn för den privata slutpunkten och välj prenumeration och resursgrupp.
7. På fliken Resource anger du Resource type till Microsoft.AzureCosmosDB/databaseAccounts och väljer Cosmos DB-kontot.
8. På fliken Virtual Network väljer du det virtuella nätverk och undernät där den privata slutpunkten ska finnas.
9. På fliken DNS konfigurerar du privat DNS-integrering (rekommenderas) eller använder en anpassad DNS-zon.
10. Granska dina inställningar och klicka på Create.

Efter skapandet verifierar du att anslutningen för den privata slutpunkten visar statusen Approved.

Efterlevnad

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Nivå 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Nivå 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Relaterade resurser

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security