Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Perché è importante

Gli account di archiviazione che accettano connessioni da qualsiasi rete espongono i tuoi dati ad accessi non autorizzati da Internet. Negando l'accesso di rete predefinito e consentendo esplicitamente solo le reti fidate, riduci la superficie di attacco e imponi un confine di rete sicuro per le tue risorse di archiviazione. Senza questo controllo, qualsiasi client con una chiave di accesso valida può raggiungere il tuo account di archiviazione da qualsiasi luogo.

Cosa controlla Aether365

Aether365 verifica che ogni account di archiviazione abbia l'accesso di rete pubblico impostato su "Enabled from selected virtual networks and IP addresses" anziché consentire tutte le reti. Questo controllo appare nel dashboard di Aether365 nella categoria di sicurezza Azure Storage Accounts.

Come risolvere

1. Apri Azure Portal e vai a Storage Accounts.
2. Seleziona l'account di archiviazione che desideri proteggere.
3. Nel menu a sinistra, sotto Security + networking, scegli Networking.
4. Nella scheda Firewalls and virtual networks, imposta Public network access su Enabled from selected virtual networks and IP addresses.
5. Sotto Virtual networks o Firewall, aggiungi le reti virtuali specifiche o gli intervalli di indirizzi IP autorizzati ad accedere a questo account di archiviazione.
6. Fai clic su Save per applicare le nuove regole di rete.

Conformità

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Livello 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – controlli applicabili
• CISA (Cybersecurity and Infrastructure Security Agency) – linee guida per l'indurimento dell'archiviazione

Risorse correlate

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security