Ensure 'Allow Azure services on the trusted services list to access this storage account' is Enabled for Storage Account Access
Perché è Importante
Quando si abilitano le regole del firewall su un account di archiviazione, tutte le richieste di dati in entrata vengono bloccate per impostazione predefinita. Questo include il traffico proveniente da servizi Azure critici come Backup, Site Recovery, Event Grid e Monitor. Se non si abilita l'eccezione per i servizi attendibili, questi servizi perdono l'accesso all'account di archiviazione, potenzialmente interrompendo le operazioni di backup, la registrazione e i flussi di lavoro di ripristino di emergenza.
Cosa Verifica Aether365
Aether365 verifica che l'impostazione "Allow Azure services on the trusted services list to access this storage account" sia abilitata per ogni account di archiviazione che utilizza l'accesso di rete selezionato. Questo controllo appare nella dashboard di Aether365 nella sezione di conformità azure-storage-accounts.
Come Risolvere
- Aprire il Azure Portal e navigare a Storage Accounts.
- Selezionare l'account di archiviazione da configurare.
- Nel menu delle impostazioni, scegliere Firewalls and virtual networks.
- In "Public network access", selezionare Enabled from selected virtual networks and IP addresses (questo prerequisito deve essere soddisfatto).
- Spuntare la casella per Allow trusted Microsoft services to access this storage account.
- Fare clic su Save per applicare le modifiche.
Conformità
- CIS Microsoft Azure Foundations 3.0.0 4.8 (Livello 2)
- EIDSCA (Enterprise IDentity and Security Compliance Assessment)
- CISA (Cybersecurity and Infrastructure Security Agency) Azure Secure Baseline
Risorse Correlate
- Azure Storage Network Security Documentation
- Azure Security Benchmark NS-1: Implement Security for Internal Traffic
- Azure Security Benchmark GS-2: Define Enterprise Segmentation Strategy