Ensure That 'Firewalls & Networks' Is Limited to Use Selected Networks Instead of All Networks

Чому це важливо

Надання Azure Cosmos DB доступу з усіх мереж, включно з публічним інтернетом, значно підвищує ризик несанкціонованого доступу та витоків даних. Обмежуючи мережевий доступ лише вибраними, внесеними до білого списку мережами, ви зменшуєте поверхню атаки та отримуєте жорсткіший контроль над тим, які системи можуть взаємодіяти з вашою базою даних. Це критичний захід безпеки для будь-якої організації, що працює з конфіденційними або регульованими даними.

Що перевіряє Aether365

Aether365 перевіряє, чи конфігурація Networking для кожного облікового запису Azure Cosmos DB встановлена як "Selected Networks", а не "All Networks". Ви можете переглянути цю перевірку на панелі керування Aether365 у категорії перевірок служб azure-cosmosdb.

Як виправити

Щоб обмежити мережевий доступ Cosmos DB за допомогою Azure Portal:

1. Відкрийте меню Azure Portal та виберіть Azure Cosmos DB.
2. Виберіть конкретний обліковий запис Cosmos DB, який потрібно захистити.
3. У лівій навігації натисніть Networking.
4. У розділі Public network access виберіть Selected networks.
5. У розділі Virtual networks натисніть або + Add existing virtual network, або + Add a new virtual network.
6. Для існуючої мережі: виберіть підписку, віртуальну мережу та підмережу, потім натисніть Add. Для нової мережі: вкажіть назву, за потреби змініть значення за замовчуванням та натисніть Create.
7. Натисніть Save у верхній частині сторінки Networking.

Примітка: зміни в брандмауері можуть набирати чинності до 15 хвилин. Плануйте вікно виправлення відповідно, щоб уникнути збоїв у підключенні. Крім того, неправильне внесення до білого списку призведе до втрати з'єднання.

Відповідність стандартам

• CIS Microsoft Azure Foundations 3.0.0, розділ 5.4.1 (рівень 2)
• CIS Microsoft Azure Foundations 2.0.0 (якщо застосовно)
• EIDSCA (Enterprise ID Security Compliance Assessment)
• Керівництво CISA (Cybersecurity and Infrastructure Security Agency)

Пов'язані ресурси

• Налаштування Azure Cosmos DB з приватними кінцевими точками
• Налаштування кінцевої точки служби віртуальної мережі для Azure Cosmos DB
• Довідник Azure CLI для Cosmos DB
• Azure PowerShell для Cosmos DB
• Еталон безпеки Microsoft для хмарних служб: мережева безпека (NS-2)

Microsoft references

• How to configure private endpoints
• How to configure vnet service endpoint
• Cosmosdb
• Database
• Az
• Mcsb network security