Ensure that 'Public Network Access' is 'Disabled' for storage accounts

Miks see on oluline

Kui salvestuskonto avalik võrguühendus on lubatud, suureneb volitamata andmete avalikustamise oht. Kuigi konteinerite avalik juurdepääs on vaikimisi keelatud, võib valesti konfigureeritud salvestuskonto võimaldada anonüümseid päringuid tundlikele andmetele ilma autentimiseta. Avaliku võrguühenduse täielik keelamine tagab kontrollitud juurdepääsu jagatud juurdepääsuallkirjade või Azure AD RBAC kaudu, vähendades rünnakupinda.

Mida Aether365 kontrollib

See kontroll veendub, et teie tellimuses oleva iga Azure Storage'i konto puhul on seade "Public network access" keelatud. Tulemus kuvatakse Aether365 armatuurlaual kategoorias "azure-storage-accounts".

Kuidas parandada

Kasutage Azure Portal'i, et keelata iga salvestuskonto puhul avalik võrguühendus:

1. Avage Azure Portal'is Storage Accounts.
2. Valige salvestuskonto, mida soovite parandada.
3. Vasakpoolses menüüs jaotises Security + networking klõpsake Networking.
4. Jaotises Public network access valige Disabled.
5. Klõpsake lehe ülaosas Save.

Kontrollitud alternatiivina looge enne avaliku juurdepääsu keelamist oma bloobikonteineritele jagatud juurdepääsuallkirja tokenid või konfigureerige Azure AD RBAC, et vältida teenuse katkestusi.

Vastavus

• CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
• CIS Benchmark 4.6: Veenduge, et salvestuskontode puhul on "Public Network Access" keelatud
• Aether365 viite ID: AZURE.195

Seotud ressursid

• Azure Storage'i ressurssidele juurdepääsu haldamine
• Azure'i turvapõhistandard NS-2: Pilvpõhiste teenuste turvamine võrgukontrollidega
• Azure'i rollide määramine andmetele juurdepääsuks
• Azure Storage'i tulemüüride ja virtuaalvõrkude konfigureerimine

Microsoft references

• Storage manage access to resources
• Mcsb governance strategy
• Mcsb network security
• Assign azure role data access
• Storage network security