Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Por Qué Es Importante
Dejar habilitado el acceso a la red pública en una cuenta de almacenamiento aumenta el riesgo de exposición no autorizada de datos. Aunque el acceso público a los contenedores está deshabilitado de forma predeterminada, una cuenta de almacenamiento mal configurada podría permitir solicitudes anónimas a datos confidenciales sin necesidad de autenticación. Deshabilitar por completo el acceso a la red pública impone un acceso controlado mediante firmas de acceso compartido o RBAC de Azure AD, lo que reduce la superficie de ataque.
Qué Comprueba Aether365
Esta comprobación verifica que la opción "Public network access" esté deshabilitada para cada cuenta de Azure Storage en su suscripción. El resultado aparece en el panel de Aether365 bajo la categoría de comprobaciones de azure-storage-accounts.
Cómo Solucionarlo
Use Azure Portal para deshabilitar el acceso a la red pública en cada cuenta de almacenamiento:
- Vaya a Storage Accounts en Azure Portal.
- Seleccione la cuenta de almacenamiento que desea corregir.
- En el menú izquierdo, en Security + networking, haga clic en Networking.
- En Public network access, seleccione Disabled.
- Haga clic en Save en la parte superior de la página.
Como alternativa controlada, primero cree tokens de firma de acceso compartido o configure RBAC de Azure AD para sus contenedores de blobs antes de deshabilitar el acceso público, con el fin de evitar cualquier interrupción del servicio.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Nivel 1)
- CIS Benchmark 4.6: Asegurarse de que "Public Network Access" esté configurado como "Disabled" para las cuentas de almacenamiento
- ID de referencia de Aether365: AZURE.195
Recursos Relacionados
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks