Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Pourquoi cela est important
Les comptes de stockage qui acceptent les connexions depuis n'importe quel réseau exposent vos données à des accès non autorisés depuis Internet. En refusant l'accès réseau par défaut et en autorisant explicitement uniquement les réseaux de confiance, vous réduisez la surface d'attaque et imposez une limite réseau sécurisée pour vos ressources de stockage. Sans ce contrôle, tout client disposant d'une clé d'accès valide peut atteindre votre compte de stockage depuis n'importe où.
Ce que Aether365 vérifie
Aether365 vérifie que chaque compte de stockage a son accès réseau public défini sur "Enabled from selected virtual networks and IP addresses" plutôt que d'autoriser tous les réseaux. Cette vérification apparaît dans le tableau de bord Aether365 sous la catégorie de sécurité Azure Storage Accounts.
Comment corriger
- Ouvrez le Azure Portal et accédez à Storage Accounts.
- Sélectionnez le compte de stockage que vous souhaitez sécuriser.
- Dans le menu de gauche, sous Security + networking, choisissez Networking.
- Sous l'onglet Firewalls and virtual networks, définissez Public network access sur Enabled from selected virtual networks and IP addresses.
- Sous Virtual networks ou Firewall, ajoutez les réseaux virtuels ou les plages d'adresses IP spécifiques autorisées à accéder à ce compte de stockage.
- Cliquez sur Save pour appliquer les nouvelles règles réseau.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – contrôles applicables
- CISA (Cybersecurity and Infrastructure Security Agency) – directives de renforcement du stockage
Ressources associées
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2