Ensure that 'Disk Network Access' is NOT set to 'Enable public access from all networks'

Защо това е важно

Излагането на дискове и моментни снимки на виртуални машини към всички мрежи създава ненужни повърхности за атака за инфилтрация и ексфилтрация на данни. Тази прекалено разрешителна настройка заобикаля контролите за сегментиране на мрежата и може да доведе до неоторизиран достъп или трансфер на данни. Администраторите трябва да ограничат мрежовия достъп до дисковете само до необходимите частни връзки, за да поддържат сигурностна позиция с минимални привилегии.

Какво проверява Aether365

Aether365 проверява дали мрежовият достъп до дискове не е конфигуриран на "Enable public access from all networks". Тази проверка се появява в таблото за управление на Aether365 под секцията azure-azure-disks.

Как да коригирате

1. Влезте в Azure portal и отидете на "Virtual machines" или "Disks".
2. Изберете диска или моментната снимка, които искате да промените.
3. Под "Settings" изберете "Networking".
4. Изберете или "Disable public access and enable private access" (изисква частна връзка), или "Disable public and private access" (най-сигурната опция).
5. Запазете промените си, за да приложите новата конфигурация на мрежовия достъп.

Съответствие

• CIS Microsoft Azure Foundations Benchmark 3.0.0, Раздел 8.5 (Ниво 2)
• Microsoft Azure Foundations Security Baseline
• Промишлени стандартни практики за сигурност за защита на данни

Свързани ресурси

• Enable private links for importing or exporting disks in Azure portal
• Export or import disk data using private links with CLI
• Restrict disk import and export access overview

Microsoft references

• Disks enable private links for import export portal
• Disks export import private links cli
• Disks restrict import export overview