Ensure Private Endpoints are used to access Storage Accounts

Γιατί Είναι Σημαντικό

Χωρίς ιδιωτικά τελικά σημεία, οι λογαριασμοί σας στο Azure Storage είναι προσβάσιμοι μέσω του δημόσιου διαδικτύου, αυξάνοντας τον κίνδυνο υποκλοπής δεδομένων και μη εξουσιοδοτημένης πρόσβασης. Η χρήση ιδιωτικών τελικών σημείων διασφαλίζει ότι όλη η κυκλοφορία μεταξύ των υπηρεσιών σας και των λογαριασμών αποθήκευσης παραμένει εντός του δικτύου κορμού του Microsoft Azure, κρυπτογραφημένη και απομονωμένη από εξωτερικά δίκτυα. Αυτό είναι κρίσιμο για την προστασία ευαίσθητων δεδομένων και τη διατήρηση μιας ισχυρής στάσης ασφαλείας.

Τι Ελέγχει το Aether365

Αυτός ο έλεγχος επαληθεύει ότι κάθε λογαριασμός Azure Storage είναι ρυθμισμένος με ένα ιδιωτικό τελικό σημείο για τον περιορισμό της πρόσβασης στο δίκτυο. Εάν χρησιμοποιείτε το Aether365, αυτό εμφανίζεται στον πίνακα εργαλείων σας στην κατηγορία azure-storage-accounts.

Πώς να Το Διορθώσετε

Για να ενεργοποιήσετε την πρόσβαση μέσω ιδιωτικού τελικού σημείου σε έναν λογαριασμό αποθήκευσης, πρέπει να δημιουργήσετε μια σύνδεση ιδιωτικού τελικού σημείου και να απενεργοποιήσετε την πρόσβαση στο δημόσιο δίκτυο.

1. Στην Azure portal, μεταβείτε στον λογαριασμό αποθήκευσης και επιλέξτε Networking από το αριστερό μενού.
2. Μεταβείτε στην καρτέλα Private endpoint connections και κάντε κλικ στο + Private endpoint.
3. Δώστε ένα όνομα, επιλέξτε την περιοχή που ταιριάζει με το εικονικό σας δίκτυο και επιλέξτε τον τύπο πόρου Microsoft.Storage/storageAccounts.
4. Για τον υπο-πόρο στόχο, επιλέξτε blob, file, queue ή table ανάλογα με τις ανάγκες σας.
5. Επιλέξτε ένα υπάρχον εικονικό δίκτυο και υποδίκτυο, και στη συνέχεια επιλέξτε Integrate with private DNS zone για να δημιουργηθεί αυτόματα μια εγγραφή DNS (συνιστάται).
6. Μετά τη δημιουργία, μεταβείτε στην καρτέλα Firewalls and virtual networks και ορίστε το Public network access σε Disabled για να αποτρέψετε οποιαδήποτε κυκλοφορία από το δημόσιο διαδίκτυο.

Συμμόρφωση

• CIS Microsoft Azure Foundations 3.0.0 4.9 (Επίπεδο 2)
• Πρότυπα EIDSCA (Enterprise Identity and Security Controls Assessment)
• Κατευθυντήριες γραμμές CISA (Cybersecurity and Infrastructure Security Agency)

Σχετικοί Πόροι

• Use private endpoints for Azure Storage
• Azure Virtual Network overview
• Create a private endpoint using the Azure portal
• Create a private endpoint using Azure CLI
• Create a private endpoint using PowerShell
• Tutorial: Connect to a storage account using an Azure Private Endpoint
• Azure Security Benchmark NS-2: Secure cloud native services with network controls

Microsoft references

• Storage private endpoints
• Virtual networks overview
• Create private endpoint portal
• Create private endpoint cli
• Create private endpoint powershell
• Tutorial private endpoint storage portal
• Mcsb network security