Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Защо това е важно
Оставянето на публичен мрежов достъп до профил за съхранение (Storage Account) увеличава риска от неоторизирано излагане на данни. Въпреки че публичният достъп до контейнерите е деактивиран по подразбиране, неправилно конфигуриран профил за съхранение може да позволи анонимни заявки към чувствителни данни, без да се изисква автентикация. Пълното деактивиране на публичния мрежов достъп налага контролиран достъп чрез Shared Access Signatures или Azure AD RBAC, като по този начин се намалява повърхността за атаки.
Какво проверява Aether365
Тази проверка потвърждава, че настройката "Public network access" е деактивирана за всеки Azure Storage Account в абонамента ви. Резултатът се показва в таблото на Aether365 под категорията за проверки на azure-storage-accounts.
Как да коригирате
Използвайте Azure Portal, за да деактивирате публичния мрежов достъп за всеки Storage Account:
- Отидете на Storage Accounts в Azure Portal.
- Изберете профила за съхранение, който искате да коригирате.
- В лявото меню, под Security + networking, щракнете върху Networking.
- Под Public network access изберете Disabled.
- Щракнете върху Save в горната част на страницата.
За контролирана алтернатива, първо създайте Shared Access Signature токени или конфигурирайте Azure AD RBAC за blob контейнерите си, преди да деактивирате публичния достъп, за да предотвратите прекъсване на услугата.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Ниво 1)
- CIS Benchmark 4.6: Осигурете, че "Public Network Access" е "Disabled" за Storage Accounts
- Aether365 референтен идентификатор: AZURE.195
Свързани ресурси
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks