Use Entra ID Client Authentication and Azure RBAC where possible

Neden Önemlidir

Azure Cosmos DB için token tabanlı kimlik doğrulama, istemci tarafında kalıcı gizli anahtarların saklanmasını gerektirir; bu da kimlik bilgilerinin sızdırılma riskini artırır ve güvenlik yönetimini karmaşıklaştırır. Azure RBAC ile Entra ID kimlik doğrulamasına geçerek, saklanan kimlik bilgilerini ortadan kaldırır, çok faktörlü kimlik doğrulamayı etkinleştirir ve tüm Azure kaynaklarında erişim denetimini merkezileştirirsiniz. Bu, saldırı yüzeyini önemli ölçüde azaltır ve kimlik yönetimi için en iyi güvenlik uygulamalarıyla uyumludur.

Aether365 Ne Kontrol Eder

Aether365, Azure Cosmos DB hesaplarınızın token tabanlı kimlik doğrulama yerine Entra ID istemci kimlik doğrulaması ve Azure RBAC kullanacak şekilde yapılandırılıp yapılandırılmadığını doğrular. Bu kontrol, Aether365 panosunda azure-cosmosdb kontrolleri altında "Mümkün olduğunda Entra ID İstemci Kimlik Doğrulaması ve Azure RBAC kullanın" (AZURE.118) olarak görünür.

Nasıl Düzeltilir

1. Azure portal'ı açın ve Azure Cosmos DB hesabınıza gidin.
2. Sol menüde "Settings" ardından "Keys" seçeneğini seçin.
3. "Authentication" altında, kimlik doğrulama yöntemi olarak "Microsoft Entra ID" seçeneğini belirleyin.
4. "Access control (IAM)" bölmesinde, "Cosmos DB Built-in Data Reader" veya "Cosmos DB Built-in Data Contributor" gibi Azure RBAC rollerini kullanarak rol tabanlı erişim atayın.
5. Uygulama kodunuzu, .NET, Java, Python veya Node.js için Azure Identity kütüphanesini kullanarak Entra ID ile kimlik doğrulaması yapacak şekilde güncelleyin.
6. Tam geçişi sağlamak için istemci uygulamalarındaki mevcut token tabanlı kimlik doğrulama anahtarlarını kaldırın.

Uyumluluk

• CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Seviye 1)
• EIDSCA 2.0

İlgili Kaynaklar

• Azure Cosmos DB'de kontrol düzlemi rol tabanlı erişim nasıl verilir

Microsoft references

• How to grant control plane role based access