Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Dlaczego to jest ważne
Pozostawienie włączonego publicznego dostępu sieciowego do konta magazynu zwiększa ryzyko nieautoryzowanego ujawnienia danych. Mimo że publiczny dostęp do kontenerów jest domyślnie wyłączony, nieprawidłowo skonfigurowane konto magazynu może umożliwić anonimowe żądania dostępu do wrażliwych danych bez wymagania uwierzytelniania. Całkowite wyłączenie publicznego dostępu sieciowego wymusza kontrolowany dostęp za pomocą sygnatur dostępu współdzielonego lub RBAC usługi Azure AD, zmniejszając powierzchnię ataku.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy ustawienie "Public network access" jest wyłączone dla każdego konta magazynu Azure w Twojej subskrypcji. Wynik jest wyświetlany na pulpicie nawigacyjnym Aether365 w kategorii kontroli azure-storage-accounts.
Jak naprawić
Użyj portalu Azure, aby wyłączyć publiczny dostęp sieciowy dla każdego konta magazynu:
- Przejdź do pozycji Storage Accounts w portalu Azure.
- Wybierz konto magazynu, które chcesz skorygować.
- W lewym menu, w sekcji Security + networking, kliknij Networking.
- W sekcji Public network access wybierz opcję Disabled.
- Kliknij Save u góry strony.
W przypadku kontrolowanej alternatywy, najpierw utwórz tokeny sygnatury dostępu współdzielonego lub skonfiguruj RBAC usługi Azure AD dla swoich kontenerów obiektów blob, a następnie wyłącz publiczny dostęp, aby zapobiec przerwom w działaniu usług.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Poziom 1)
- CIS Benchmark 4.6: Ensure that "Public Network Access" is "Disabled" for storage accounts
- Identyfikator referencyjny Aether365: AZURE.195
Powiązane zasoby
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks