Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Waarom dit van belang is

Opslagaccounts die verbindingen van elk netwerk accepteren, stellen uw gegevens bloot aan ongeautoriseerde toegang via het internet. Door standaard netwerktoegang te weigeren en alleen vertrouwde netwerken expliciet toe te staan, verkleint u het aanvalsoppervlak en handhaaft u een veilige netwerkgrens voor uw opslagresources. Zonder deze controle kan elke client met een geldige toegangssleutel uw opslagaccount vanaf elke locatie bereiken.

Wat Aether365 controleert

Aether365 verifieert dat elk opslagaccount de openbare netwerktoegang heeft ingesteld op "Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen" in plaats van alle netwerken toe te staan. Deze controle wordt weergegeven in het Aether365-dashboard onder de beveiligingscategorie Azure Storage Accounts.

Hoe u dit oplost

1. Open de Azure Portal en navigeer naar Storage Accounts.
2. Selecteer het opslagaccount dat u wilt beveiligen.
3. Kies in het linkermenu onder Security + networking voor Networking.
4. Stel op het tabblad Firewalls and virtual networks de optie Public network access in op Enabled from selected virtual networks and IP addresses.
5. Voeg onder Virtual networks of Firewall de specifieke virtuele netwerken of IP-adresbereiken toe die toegang mogen hebben tot dit opslagaccount.
6. Klik op Save om de nieuwe netwerkregels toe te passen.

Naleving

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – toepasselijke controles
• CISA (Cybersecurity and Infrastructure Security Agency) – richtlijnen voor opslaghardening

Gerelateerde bronnen

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security