Ensure That Private Endpoints Are Used Where Possible

Чому це важливо

Без приватних кінцевих точок облікові записи Azure Cosmos DB доступні через загальнодоступні кінцеві точки, що збільшує поверхню атаки та наражає конфіденційні дані на ризик несанкціонованого доступу. Приватні кінцеві точки гарантують, що трафік до вашої Cosmos DB залишається в межах магістральної мережі Azure, забезпечуючи детальний контроль над тим, які служби та мережі можуть взаємодіяти з базою даних. Це критично важливо для виконання вимог відповідності, як-от CIS, та захисту даних під час передачі.

Що перевіряє Aether365

Aether365 перевіряє, чи для кожного облікового запису Azure Cosmos DB налаштовано принаймні одну приватну кінцеву точку та чи вимкнено загальнодоступний мережевий доступ. Ця перевірка відображається в інформаційній панелі Aether365 у категорії azure-cosmosdb і позначає будь-який обліковий запис, який покладається виключно на загальнодоступне з'єднання.

Як виправити

1. Увійдіть до Azure Portal і відкрийте службу Azure Cosmos DB.
2. Виберіть обліковий запис Azure Cosmos DB, який потрібно захистити.
3. У лівому меню виберіть Networking.
4. На вкладці Public access виберіть параметр Disable або Selected networks, щоб обмежити загальнодоступне з'єднання.
5. Перейдіть на вкладку Private endpoint connections і натисніть + Private Endpoint.
6. Введіть назву приватної кінцевої точки та виберіть підписку й групу ресурсів.
7. На вкладці Resource встановіть Resource type на Microsoft.AzureCosmosDB/databaseAccounts і виберіть обліковий запис Cosmos DB.
8. На вкладці Virtual Network виберіть віртуальну мережу та підмережу, де розташовуватиметься приватна кінцева точка.
9. На вкладці DNS налаштуйте інтеграцію приватного DNS (рекомендовано) або використовуйте спеціальну зону DNS.
10. Перевірте налаштування та натисніть Create.

Після створення переконайтеся, що стан з'єднання приватної кінцевої точки має статус Approved.

Відповідність

• CIS Microsoft Azure Foundations 3.0.0 5.4.2 (Level 2)
• CIS Microsoft Azure Foundations 2.0.0 5.4.2 (Level 2)
• EIDSCA (European Identity and Data Security Compliance Assessment)
• CISA Azure Secure Configuration Baseline
• Microsoft Cloud Security Benchmark (MCSB) NS-2

Пов'язані ресурси

• How to configure Azure Cosmos DB with private endpoints
• Tutorial: Connect to an Azure Cosmos DB account using an Azure Private Endpoint
• Azure CLI: az cosmosdb private-endpoint-connection
• Azure CLI: az network private-endpoint create
• Microsoft Cloud Security Benchmark: NS-2 Secure cloud native services with network controls

Microsoft references

• How to configure private endpoints
• Tutorial private endpoint cosmosdb portal
• Private endpoint connection
• Private endpoint
• Mcsb network security