Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Kāpēc tas ir svarīgi

Krātuves konti, kas pieņem savienojumus no jebkura tīkla, pakļauj jūsu datus nesankcionētai piekļuvei no interneta. Aizliedzot noklusējuma tīkla piekļuvi un skaidri atļaujot tikai uzticamus tīklus, jūs samazināt uzbrukuma virsmu un izveidojat drošu tīkla robežu saviem krātuves resursiem. Bez šīs kontroles jebkurš klients ar derīgu piekļuves atslēgu var sasniegt jūsu krātuves kontu no jebkuras vietas.

Ko pārbauda Aether365

Aether365 pārbauda, vai katram krātuves kontam tā publiskā tīkla piekļuve ir iestatīta uz "Enabled from selected virtual networks and IP addresses", nevis atļauj visus tīklus. Šī pārbaude ir redzama Aether365 paneļa sadaļā Azure Storage Accounts drošības kategorijā.

Kā labot

1. Atveriet Azure Portal un dodieties uz Storage Accounts.
2. Atlasiet krātuves kontu, kuru vēlaties aizsargāt.
3. Kreisajā izvēlnē sadaļā Security + networking izvēlieties Networking.
4. Cilnē Firewalls and virtual networks iestatiet Public network access uz Enabled from selected virtual networks and IP addresses.
5. Sadaļā Virtual networks vai Firewall pievienojiet konkrētos virtuālos tīklus vai IP adrešu diapazonus, kam ir atļauts piekļūt šim krātuves kontam.
6. Noklikšķiniet uz Save, lai piemērotu jaunos tīkla noteikumus.

Atbilstība

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – piemērojamās kontroles
• CISA (Cybersecurity and Infrastructure Security Agency) – krātuves stiprināšanas vadlīnijas

Saistītie resursi

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security