Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Dlaczego to jest ważne

Konta magazynu akceptujące połączenia z dowolnej sieci narażają Twoje dane na nieautoryzowany dostęp z Internetu. Domyślnie odmawiając dostępu sieciowego i jawnie zezwalając tylko zaufanym sieciom, zmniejszasz powierzchnię ataku i egzekwujesz bezpieczne granice sieci dla swoich zasobów magazynu. Bez tego mechanizmu każdy klient z prawidłowym kluczem dostępu może uzyskać dostęp do Twojego konta magazynu z dowolnego miejsca.

Co sprawdza Aether365

Aether365 weryfikuje, czy każde konto magazynu ma ustawiony dostęp do sieci publicznej na "Włączone z wybranych sieci wirtualnych i adresów IP", zamiast zezwalać wszystkim sieciom. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w kategorii bezpieczeństwa kont magazynu platformy Azure.

Jak naprawić

1. Otwórz Azure Portal i przejdź do Storage Accounts.
2. Wybierz konto magazynu, które chcesz zabezpieczyć.
3. W lewym menu, w sekcji Security + networking, wybierz Networking.
4. Na karcie Firewalls and virtual networks, ustaw Public network access na Enabled from selected virtual networks and IP addresses.
5. W sekcji Virtual networks lub Firewall, dodaj konkretne sieci wirtualne lub zakresy adresów IP, które mają mieć dostęp do tego konta magazynu.
6. Kliknij Save, aby zastosować nowe reguły sieciowe.

Zgodność z przepisami

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – odpowiednie kontrole
• CISA (Cybersecurity and Infrastructure Security Agency) – wytyczne dotyczące wzmacniania zabezpieczeń magazynów

Powiązane zasoby

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security