Ensure that 'Disk Network Access' is NOT set to 'Enable public access from all networks'

Por que es importante

Exponer discos de maquinas virtuales y sus instantaneas a todas las redes genera superficies de ataque innecesarias para la infiltracion y exfiltracion de datos. Esta configuracion excesivamente permisiva evita los controles de segmentacion de red y puede provocar acceso o transferencia no autorizada de datos. Los administradores deben restringir el acceso de red a los discos solo a las conexiones privadas necesarias para mantener una postura de seguridad de minimos privilegios.

Que verifica Aether365

Aether365 verifica que el acceso de red a los discos no este configurado como "Habilitar acceso publico desde todas las redes". Esta verificacion aparece en el panel de Aether365 bajo la seccion azure-azure-disks.

Como solucionarlo

1. Inicie sesion en Azure portal y navegue a "Virtual machines" o "Disks".
2. Seleccione el disco o la instantanea que desea modificar.
3. En "Settings", seleccione "Networking".
4. Elija "Deshabilitar acceso publico y habilitar acceso privado" (requiere un enlace privado) o "Deshabilitar acceso publico y privado" (opcion mas segura).
5. Guarde los cambios para aplicar la nueva configuracion de acceso de red.

Cumplimiento normativo

• CIS Microsoft Azure Foundations Benchmark 3.0.0, Seccion 8.5 (Nivel 2)
• Microsoft Azure Foundations Security Baseline
• Practicas de seguridad estandar del sector para la proteccion de datos

Recursos relacionados

• Habilitar enlaces privados para importar o exportar discos en Azure portal
• Exportar o importar datos de discos mediante enlaces privados con CLI
• Restringir el acceso de importacion y exportacion de discos: informacion general

Microsoft references

• Disks enable private links for import export portal
• Disks export import private links cli
• Disks restrict import export overview