Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Pourquoi c'est important
Laisser l'accès au réseau public activé sur un compte de stockage augmente le risque d'exposition non autorisée des données. Même si l'accès public aux conteneurs est désactivé par défaut, un compte de stockage mal configuré pourrait autoriser des requêtes anonymes à des données sensibles sans nécessiter d'authentification. Désactiver complètement l'accès au réseau public impose un accès contrôlé via des signatures d'accès partagé ou Azure AD RBAC, réduisant ainsi la surface d'attaque.
Ce que vérifie Aether365
Cette vérification s'assure que le paramètre "Public network access" est désactivé pour chaque compte de stockage Azure de votre abonnement. Le résultat apparaît dans le tableau de bord Aether365 sous la catégorie azure-storage-accounts checks.
Comment corriger
Utilisez le portail Azure pour désactiver l'accès au réseau public sur chaque compte de stockage :
- Accédez à Storage Accounts dans le portail Azure.
- Sélectionnez le compte de stockage à corriger.
- Dans le menu de gauche, sous Security + networking, cliquez sur Networking.
- Sous Public network access, sélectionnez Disabled.
- Cliquez sur Save en haut de la page.
Pour une alternative contrôlée, créez d'abord des jetons de signature d'accès partagé ou configurez Azure AD RBAC pour vos conteneurs d'objets blob avant de désactiver l'accès public, afin d'éviter toute interruption de service.
Conformité
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6 : Ensure that "Public Network Access" is "Disabled" for storage accounts
- Aether365 reference ID : AZURE.195
Ressources associées
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks