Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Por Que Es Importante

Las cuentas de almacenamiento que aceptan conexiones desde cualquier red exponen sus datos a accesos no autorizados desde Internet. Al denegar el acceso de red predeterminado y permitir explícitamente solo redes de confianza, se reduce la superficie de ataque y se establece un límite de red seguro para sus recursos de almacenamiento. Sin este control, cualquier cliente con una clave de acceso válida puede llegar a su cuenta de almacenamiento desde cualquier lugar.

Que Comprueba Aether365

Aether365 verifica que cada cuenta de almacenamiento tenga configurado el acceso a la red pública como "Habilitado desde redes virtuales y direcciones IP seleccionadas" en lugar de permitir todas las redes. Esta comprobacion aparece en el panel de Aether365 bajo la categoria de seguridad de Azure Storage Accounts.

Como Solucionarlo

1. Abra el Azure Portal y navegue hasta Storage Accounts.
2. Seleccione la cuenta de almacenamiento que desea proteger.
3. En el menu izquierdo, bajo Security + networking, elija Networking.
4. En la pestana Firewalls and virtual networks, configure Public network access en Enabled from selected virtual networks and IP addresses.
5. Bajo Virtual networks o Firewall, agregue las redes virtuales o los rangos de direcciones IP especificos que estan autorizados para acceder a esta cuenta de almacenamiento.
6. Haga clic en Save para aplicar las nuevas reglas de red.

Cumplimiento Normativo

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Nivel 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – controles aplicables
• CISA (Cybersecurity and Infrastructure Security Agency) – directrices de proteccion de almacenamiento

Recursos Relacionados

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security