Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Warum dies wichtig ist

Speicherkonten, die Verbindungen aus beliebigen Netzwerken akzeptieren, setzen Ihre Daten einem unbefugten Zugriff aus dem Internet aus. Indem Sie den standardmäßigen Netzwerkzugriff verweigern und explizit nur vertrauenswürdige Netzwerke zulassen, verringern Sie die Angriffsfläche und schaffen eine sichere Netzwerkgrenze für Ihre Speicherressourcen. Ohne diese Kontrolle kann jeder Client mit einem gültigen Zugriffsschlüssel von überall auf Ihr Speicherkonto zugreifen.

Was Aether365 prüft

Aether365 überprüft, ob der öffentliche Netzwerkzugriff jedes Speicherkontos auf "Aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen" gesetzt ist und nicht alle Netzwerke zulässt. Diese Prüfung erscheint im Aether365-Dashboard unter der Sicherheitskategorie "Azure Storage Accounts".

So beheben Sie das Problem

1. Öffnen Sie das Azure Portal und navigieren Sie zu Storage Accounts.
2. Wählen Sie das Speicherkonto aus, das Sie sichern möchten.
3. Wählen Sie im linken Menü unter Security + networking die Option Networking aus.
4. Setzen Sie auf der Registerkarte Firewalls and virtual networks den Public network access auf Enabled from selected virtual networks and IP addresses.
5. Fügen Sie unter Virtual networks oder Firewall die spezifischen virtuellen Netzwerke oder IP-Adressbereiche hinzu, die auf dieses Speicherkonto zugreifen dürfen.
6. Klicken Sie auf Save, um die neuen Netzwerkregeln anzuwenden.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – anwendbare Kontrollen
• CISA (Cybersecurity and Infrastructure Security Agency) – Richtlinien zur Speicherhärtung

Verwandte Ressourcen

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security