Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Warum dies wichtig ist
Ein aktivierter öffentlicher Netzwerkzugriff auf ein Speicherkonto erhöht das Risiko einer unbefugten Datenoffenlegung. Obwohl der öffentliche Zugriff auf Container standardmäßig deaktiviert ist, könnte ein falsch konfiguriertes Speicherkonto anonyme Anfragen an vertrauliche Daten ermöglichen, ohne dass eine Authentifizierung erforderlich ist. Die vollständige Deaktivierung des öffentlichen Netzwerkzugriffs erzwingt einen kontrollierten Zugriff über Shared Access Signatures oder Azure AD RBAC und reduziert so die Angriffsfläche.
Was Aether365 prüft
Diese Prüfung stellt fest, ob die Einstellung "Public network access" für jedes Azure Storage-Konto in Ihrem Abonnement deaktiviert ist. Das Ergebnis erscheint im Aether365-Dashboard unter der Kategorie azure-storage-accounts.
So beheben Sie das Problem
Verwenden Sie das Azure-Portal, um den öffentlichen Netzwerkzugriff für jedes Speicherkonto zu deaktivieren:
- Navigieren Sie zu Storage Accounts im Azure-Portal.
- Wählen Sie das Speicherkonto aus, das Sie korrigieren möchten.
- Klicken Sie im linken Menü unter Security + networking auf Networking.
- Wählen Sie unter Public network access die Option Disabled.
- Klicken Sie oben auf der Seite auf Save.
Erstellen Sie als kontrollierte Alternative zunächst Shared Access Signature-Token oder konfigurieren Sie Azure AD RBAC für Ihre Blob-Container, bevor Sie den öffentlichen Zugriff deaktivieren, um Serviceunterbrechungen zu vermeiden.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6: Ensure that "Public Network Access" is "Disabled" for storage accounts
- Aether365-Referenz-ID: AZURE.195
Verwandte Ressourcen
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks