Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Proč na tom záleží
Ponechání veřejného síťového přístupu povoleného u účtu úložiště zvyšuje riziko neoprávněného vystavení dat. I když je veřejný přístup ke kontejnerům ve výchozím nastavení zakázán, nesprávně nakonfigurovaný účet úložiště by mohl umožnit anonymní požadavky na citlivá data bez nutnosti ověřování. Úplné zakázání veřejného síťového přístupu vynucuje řízený přístup prostřednictvím sdílených přístupových podpisů nebo Azure AD RBAC, čímž se snižuje plocha útoku.
Co Aether365 kontroluje
Tato kontrola ověřuje, zda je nastavení "Public network access" zakázáno pro každý účet úložiště Azure ve vašem předplatném. Výsledek se zobrazí na řídicím panelu Aether365 v kategorii kontrol azure-storage-accounts.
Jak to opravit
Pomocí portálu Azure Portal zakažte veřejný síťový přístup pro každý účet úložiště:
- Přejděte na Storage Accounts v portálu Azure Portal.
- Vyberte účet úložiště, který chcete napravit.
- V levém menu v části Security + networking klikněte na Networking.
- V části Public network access vyberte Disabled.
- Klikněte na Save v horní části stránky.
Pro řízenou alternativu nejprve vytvořte tokeny sdíleného přístupového podpisu nebo nakonfigurujte Azure AD RBAC pro vaše kontejnery blobů před zakázáním veřejného přístupu, abyste předešli přerušení služby.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6: Ensure that "Public Network Access" is "Disabled" for storage accounts
- Referenční ID Aether365: AZURE.195
Související zdroje
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks