Prisma Cloud: Warnungen für Richtlinien Azure Cosmos DB (PaaS)-Instanz, die über eine nicht vertrauenswürdige Internetquelle erreichbar ist
Symptom
Wir haben X Warnungen für Verstöße gegen die Richtlinie "Azure Cosmos DB (PaaS)-Instanz, die von einer nicht vertrauenswürdigen Internetquelle erreichbar ist". Und wir brauchen Hilfe, um zu verstehen, wie diese Richtlinie die nicht vertrauenswürdige Internetquelle identifiziert und woher sie die IP-Adressen bezieht.
Environment
- Prisma Cloud
- Azure Cloud
Cause
Wenn man eine Warnung für eine PaaS-Instanz (Azure Cosmos DB) erhält, die von einer nicht vertrauenswürdigen Internetquelle erreichbar ist, und versucht, weitere Untersuchungen durchzuführen, indem man die RQL der Richtlinie in die Untersuchung eingibt, erhält man nur wenige Informationen darüber, welche IP-Adressen nicht vertrauenswürdig sind und eine Verbindung herstellen:
config aus dem Netzwerk, wobei source.network = UNTRUST_INTERNET und dest.resource.type = 'PaaS' und dest.cloud.type = 'AZURE' und dest.paas.service.type in ('MicrosoftDocumentDBDatabaseAccount')
Wie Sie sehen können, haben wir nur zwei Ressourcen in der Netzwerkpfadanalyse, die nicht sehr hilfreich ist, um zu untersuchen, welche IPs tatsächlich die Verbindung herstellen. Daher wird es schwierig sein, zu bestimmen, welche IPs wir zu den vertrauenswürdigen Warnungs-IP-Adressen unter Prisma Cloud ->Einstellungen -> vertrauenswürdigen IP-Adressen
hinzufügen müssen.
Resolution
Es gibt zwei mögliche Lösungen, um die IPs dazu zu bringen, die Verbindung herzustellen.
1) Sie können sich auf dieses Dokument beziehen, das Sie in der Azure-Konsole anleitet, um die betreffenden IP-Adressen abzurufen.
2) Sie können auch mit Prisma Cloud RQL untersuchen. Bitte navigieren Sie zu Prisma Cloud -> Untersuchen und geben Sie die folgende RQL ein:
config from cloud.resource where cloud.type = 'azure' AND api.name = 'azure-cosmos-db' AND json.rule = properties.ipRangeFilter ist nicht leer addcolumn properties.ipRangeFilter
Und finden Sie die passende Ressource aus der RQL, die in der obigen Ursache verwendet wird. In diesem Fall verwenden wir az-static-cosmos-db.
Im obigen Screenshot sind zwei Dinge zu beachten.
1) Wenn Sie sich das Dokument in Schritt 1 der Auflösung angesehen haben, werden Sie feststellen, dass viele der IPs gleich sind:
104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26
Das liegt daran, dass man Anforderungen aus dem Azure-Portal zulässt und dies die IP-Adressen sind, die Azure für den Zugriff auf die PaaS-Ressource verwendet.
Sobald wir die Liste der IPs erhalten und die Liste der IPs zu den vertrauenswürdigen Warnungs-IP-Adressen hinzugefügt haben, sollten alle offenen Warnungen aufgelöst werden, und diese Richtlinie sollte keine weiteren Warnungen auslösen, wenn die Quell-IP mit einer der gesammelten übereinstimmt.
Additional Information
Alle IP-Adressen oder CIDRs, die Sie nicht als vertrauenswürdige IP-Adressen in Prisma Cloud definiert haben und die nicht Teil Ihrer Cloud-Umgebung sind, werden als UNTRUST_INTERNET betrachtet.
Weitere Informationen finden Sie in diesem Dokument .