Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Hvorfor dette er vigtigt

Lagringskonti, der accepterer forbindelser fra ethvert netværk, udsætter dine data for uautoriseret adgang fra internettet. Ved at nægte standard netværksadgang og udtrykkeligt kun tillade betroede netværk reducerer du angrebsfladen og håndhæver en sikker netværksgrænse for dine lagerressourcer. Uden denne kontrol kan enhver klient med en gyldig adgangsnøgle nå din lagringskonto fra hvor som helst.

Hvad Aether365 kontrollerer

Aether365 verificerer, at hver lagringskonto har sin offentlige netværksadgang indstillet til "Enabled from selected virtual networks and IP addresses" i stedet for at tillade alle netværk. Denne kontrol vises i Aether365-dashboardet under sikkerhedskategorien Azure Storage Accounts.

Sådan rettes

1. Åbn Azure Portal og naviger til Storage Accounts.
2. Vælg den lagringskonto, du vil sikre.
3. I venstremenuen under Security + networking skal du vælge Networking.
4. På fanen Firewalls and virtual networks skal du indstille Public network access til Enabled from selected virtual networks and IP addresses.
5. Under Virtual networks eller Firewall skal du tilføje de specifikke virtuelle netværk eller IP-adresseområder, der har tilladelse til at få adgang til denne lagringskonto.
6. Klik på Save for at anvende de nye netværksregler.

Overholdelse

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Niveau 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – relevante kontroller
• CISA (Cybersecurity and Infrastructure Security Agency) – retningslinjer for sikring af lager

Relaterede ressourcer

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security