Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Kodėl tai svarbu
Palikus įjungtą viešojo tinklo prieigą prie saugyklos paskyros, didėja neleistino duomenų atskleidimo rizika. Nors viešoji prieiga prie konteinerių yra išjungta pagal numatytuosius nustatymus, netinkamai sukonfigūruota saugyklos paskyra gali leisti anoniminius užklausas prie jautrių duomenų be autentifikavimo. Visiškai išjungę viešojo tinklo prieigą, užtikrinate kontroliuojamą prieigą naudodami bendrinimo prieigos parašą arba "Azure AD RBAC", taip sumažindami atakos paviršių.
Ką tikrina "Aether365"
Šis patikrinimas patvirtina, kad parinktis "Public network access" yra išjungta kiekvienai "Azure Storage" paskyrai jūsų prenumeratoje. Rezultatas rodomas "Aether365" prietaisų skydelyje kategorijoje "azure-storage-accounts checks".
Kaip ištaisyti
Naudodami "Azure Portal" išjunkite viešojo tinklo prieigą kiekvienai saugyklos paskyrai:
- Eikite į Storage Accounts "Azure Portal".
- Pasirinkite saugyklos paskyrą, kurią norite sutvarkyti.
- Kairiajame meniu, po Security + networking, spustelėkite Networking.
- Po Public network access pasirinkite Disabled.
- Viršuje spustelėkite Save.
Kontroliuojamo alternatyvaus sprendimo atveju, prieš išjungdami viešąją prieigą, pirmiausia sukurkite bendrinimo prieigos parašo raktus arba sukonfigūruokite "Azure AD RBAC" savo "blob" konteineriams, kad išvengtumėte paslaugų trikdžių.
Atitiktis
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6: Užtikrinti, kad "Public Network Access" būtų "Disabled" saugyklos paskyroms
- "Aether365" nuorodos ID: AZURE.195
Susiję ištekliai
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks