Ensure that 'Disk Network Access' is NOT set to 'Enable public access from all networks'

Kodėl tai svarbu

Virtualiųjų mašinų diskų ir momentinių kopijų eksponavimas visiems tinklams sukuria nereikalingus atakos paviršius duomenų infiltracijai ir eksfiltracijai. Šis pernelyg leidus nustatymas apeina tinklo segmentavimo valdiklius ir gali lemti neteisėtą duomenų prieigą arba perdavimą. Administratoriai turėtų apriboti disko tinklo prieigą tik iki reikalingų privačių jungčių, kad išlaikytų mažiausiai privilegijų saugumo poziciją.

Ką tikrina Aether365

Aether365 patikrina, ar disko tinklo prieiga nesukonfigūruota kaip "Enable public access from all networks." Šis patikrinimas rodomas Aether365 valdymo skydelyje po skyriumi azure-azure-disks.

Kaip ištaisyti

1. Prisijunkite prie Azure Portal ir eikite į "Virtual machines" arba "Disks."
2. Pasirinkite diską arba momentinę kopiją, kurią norite modifikuoti.
3. Skiltyje "Settings" pasirinkite "Networking."
4. Pasirinkite "Disable public access and enable private access" (reikalauja privataus ryšio) arba "Disable public and private access" (saugiausias variantas).
5. Išsaugokite pakeitimus, kad pritaikytumėte naują tinklo prieigos konfigūraciją.

Atitiktis

• CIS Microsoft Azure Foundations Benchmark 3.0.0, 8.5 skyrius (2 lygis)
• Microsoft Azure Foundations Security Baseline
• Pramonės standartinės saugumo praktikos duomenų apsaugai

Susiję ištekliai

• Enable private links for importing or exporting disks in Azure portal
• Export or import disk data using private links with CLI
• Restrict disk import and export access overview

Microsoft references

• Disks enable private links for import export portal
• Disks export import private links cli
• Disks restrict import export overview