Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Защо това е важно
Складова акаунти, които приемат връзки от всяка мрежа, излагат вашите данни на неоторизиран достъп от интернет. Чрез отказване на достъп по подразбиране и изрично разрешаване само на доверени мрежи, намалявате атакуемата повърхност и осигурявате сигурна мрежова граница за вашите складови ресурси. Без този контрол всеки клиент с валиден ключ за достъп може да достигне до вашия складов акаунт от всяко място.
Какво проверява Aether365
Aether365 проверява дали всеки складов акаунт има настройка за публичен мрежов достъп, зададена на "Enabled from selected virtual networks and IP addresses", вместо да разрешава всички мрежи. Тази проверка се появява в таблото на Aether365 под категорията за сигурност на Azure Storage Accounts.
Как да поправите
- Отворете Azure Portal и отидете на Storage Accounts.
- Изберете складовия акаунт, който искате да защитите.
- В лявото меню, под Security + networking, изберете Networking.
- На раздела Firewalls and virtual networks задайте Public network access на Enabled from selected virtual networks and IP addresses.
- Под Virtual networks или Firewall добавете специфичните виртуални мрежи или IP адресни диапазони, които имат разрешение да достъпват този складов акаунт.
- Щракнете върху Save, за да приложите новите мрежови правила.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – приложими контроли
- CISA (Cybersecurity and Infrastructure Security Agency) – указания за укрепване на складови ресурси
Свързани ресурси
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2