Ensure that 'Allow Blob Anonymous Access' is set to 'Disabled'
Dlaczego to ma znaczenie
Włączenie anonimowego dostępu do obiektów blob na kontach magazynu stwarza możliwość odczytu danych przez nieautoryzowanych użytkowników, którzy mogą jedynie odgadnąć lub wyliczyć adresy URL obiektów blob. Osoba atakująca może przeprowadzić ataki brute force w celu odnalezienia i wyeksfiltrowania poufnych plików, co prowadzi do naruszeń danych i niezgodności z przepisami. Ustawienie to powinno pozostać wyłączone, chyba że istnieje konkretny, dobrze udokumentowany wymóg biznesowy dotyczący publicznego dostępu.
Co sprawdza Aether365
Aether365 weryfikuje, czy ustawienie Allow Blob Anonymous Access jest skonfigurowane jako Disabled dla każdego konta usługi Azure Storage. Kontrola ta pojawia się na pulpicie nawigacyjnym Aether365 w kategorii zabezpieczeń azure-storage-accounts.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Storage Accounts.
- Wybierz konto magazynu, które chcesz zabezpieczyć.
- W sekcji Settings kliknij Configuration.
- Znajdź opcję Allow Blob Anonymous Access i ustaw ją na Disabled.
- Kliknij Save, aby zastosować zmianę.
- Powtórz te kroki dla wszystkich kont magazynu w swojej subskrypcji.
Zgodność z przepisami
- CIS Microsoft Azure Foundations 3.0.0, Sekcja 4.17 (Poziom 1)
- EIDSCA (Exchange Online Identity and Device Security Compliance Assessment)
- Wytyczne bazowe CISA (Cybersecurity and Infrastructure Security Agency)
Powiązane zasoby
- Zapobieganie anonimowemu publicznemu dostępowi do odczytu kontenerów i obiektów blob
- Konfigurowanie anonimowego publicznego dostępu do odczytu dla kontenerów i obiektów blob