Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Proč na tom záleží
Účty úložiště, které přijímají připojení z libovolné sítě, vystavují vaše data riziku neoprávněného přístupu z internetu. Tím, že zakážete výchozí síťový přístup a explicitně povolíte pouze důvěryhodné sítě, snížíte útoknou plochu a vynutíte bezpečnostní síťové hranice pro své prostředky úložiště. Bez této kontroly se k vašemu účtu úložiště může z libovolného místa připojit jakýkoli klient s platným přístupovým klíčem.
Co kontroluje Aether365
Aether365 ověřuje, zda má každý účet úložiště svůj veřejný síťový přístup nastaven na "Enabled from selected virtual networks and IP addresses" (Povoleno z vybraných virtuálních sítí a IP adres) namísto povolení všech sítí. Tato kontrola se zobrazí na řídicím panelu Aether365 v kategorii zabezpečení účtů úložišť Azure.
Jak to opravit
- Otevřete Azure Portal a přejděte na Storage Accounts (Účty úložiště).
- Vyberte účet úložiště, který chcete zabezpečit.
- V levé nabídce v části Security + networking (Zabezpečení + sítě) vyberte Networking (Sítě).
- Na kartě Firewalls and virtual networks (Brány firewall a virtuální sítě) nastavte Public network access (Veřejný síťový přístup) na Enabled from selected virtual networks and IP addresses (Povoleno z vybraných virtuálních sítí a IP adres).
- V části Virtual networks (Virtuální sítě) nebo Firewall (Brána firewall) přidejte konkrétní virtuální sítě nebo rozsahy IP adres, které mají povolen přístup k tomuto účtu úložiště.
- Klikněte na Save (Uložit) pro použití nových pravidel sítě.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – relevantní kontroly
- CISA (Cybersecurity and Infrastructure Security Agency) – pokyny pro posílení zabezpečení úložišť
Související zdroje
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2