Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Kodėl tai svarbu
Jei saugyklos paskyros priima ryšius iš bet kurio tinklo, jūsų duomenys tampa pažeidžiami neteisėtai prieigai iš interneto. Uždraudus numatytąją tinklo prieigą ir aiškiai leidžiant tik patikimus tinklus, sumažinate atakos paviršių ir užtikrinate saugią tinklo ribą savo saugyklos ištekliams. Be šios kontrolės bet kuris klientas, turintis galiojantį prieigos raktą, gali pasiekti jūsų saugyklos paskyrą iš bet kurios vietos.
Ką tikrina Aether365
Aether365 patikrina, ar kiekvienos saugyklos paskyros viešoji tinklo prieiga nustatyta kaip "Įjungta iš pasirinktų virtualių tinklų ir IP adresų", o ne leidžiama visiems tinklams. Šis patikrinimas rodomas Aether365 prietaisų skydelyje po kategorijos "Azure Storage Accounts security" (Azure saugyklos paskyrų sauga).
Kaip ištaisyti
- Atidarykite "Azure Portal" ir eikite į Storage Accounts (Saugyklos paskyros).
- Pasirinkite saugyklos paskyrą, kurią norite apsaugoti.
- Kairiajame meniu, po Security + networking (Sauga ir tinklas), pasirinkite Networking (Tinklas).
- Skirtuke Firewalls and virtual networks (Užkardos ir virtualūs tinklai) nustatykite Public network access (Viešoji tinklo prieiga) į Enabled from selected virtual networks and IP addresses (Įjungta iš pasirinktų virtualių tinklų ir IP adresų).
- Po Virtual networks (Virtualūs tinklai) arba Firewall (Užkarda) pridėkite konkrečius virtualius tinklus arba IP adresų diapazonus, kuriems leidžiama pasiekti šią saugyklos paskyrą.
- Spustelėkite Save (Išsaugoti), kad pritaikytumėte naujas tinklo taisykles.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 4.7 (1 lygis)
- EIDSCA (Enterprise ID Security Compliance Assessment) – taikomi kontrolės mechanizmai
- CISA (Cybersecurity and Infrastructure Security Agency) – saugyklos stiprinimo gairės
Susiję ištekliai
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2