Ensure that 'Disk Network Access' is NOT set to 'Enable public access from all networks'

Dlaczego to jest istotne

Udostępnianie dysków maszyn wirtualnych i migawek wszystkim sieciom stwarza niepotrzebne powierzchnie ataku dla infiltracji i eksfiltracji danych. To zbyt liberalne ustawienie omija mechanizmy segmentacji sieci i może prowadzić do nieautoryzowanego dostępu do danych lub ich transferu. Administratorzy powinni ograniczyć dostęp sieciowy do dysków wyłącznie do wymaganych połączeń prywatnych, aby zachować zasadę najmniejszych uprawnień.

Co sprawdza Aether365

Aether365 weryfikuje, czy dostęp sieciowy do dysków nie jest skonfigurowany jako "Enable public access from all networks." To sprawdzenie pojawia się w panelu Aether365 w sekcji azure-azure-disks.

Jak naprawić

1. Zaloguj się do Azure Portal i przejdź do "Virtual machines" lub "Disks".
2. Wybierz dysk lub migawkę, którą chcesz zmodyfikować.
3. W obszarze "Settings" wybierz "Networking".
4. Wybierz opcję "Disable public access and enable private access" (wymaga łącza prywatnego) lub "Disable public and private access" (najbezpieczniejsza opcja).
5. Zapisz zmiany, aby zastosować nową konfigurację dostępu sieciowego.

Zgodność

• CIS Microsoft Azure Foundations Benchmark 3.0.0, Section 8.5 (Level 2)
• Microsoft Azure Foundations Security Baseline
• Standardowe praktyki bezpieczeństwa branżowe dotyczące ochrony danych

Powiązane zasoby

• Enable private links for importing or exporting disks in Azure portal
• Export or import disk data using private links with CLI
• Restrict disk import and export access overview

Microsoft references

• Disks enable private links for import export portal
• Disks export import private links cli
• Disks restrict import export overview