Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Por Que Isso é Importante
Contas de armazenamento que aceitam conexões de qualquer rede expõem seus dados a acessos não autorizados pela internet. Ao negar o acesso de rede padrão e permitir explicitamente apenas redes confiáveis, você reduz a superfície de ataque e impõe um limite seguro de rede para seus recursos de armazenamento. Sem esse controle, qualquer cliente com uma chave de acesso válida pode alcançar sua conta de armazenamento de qualquer lugar.
O Que o Aether365 Verifica
O Aether365 verifica se cada conta de armazenamento tem seu acesso à rede pública configurado como "Enabled from selected virtual networks and IP addresses" em vez de permitir todas as redes. Essa verificação aparece no painel do Aether365 na categoria de segurança de Azure Storage Accounts.
Como Corrigir
- Abra o Azure Portal e navegue até Storage Accounts.
- Selecione a conta de armazenamento que você deseja proteger.
- No menu à esquerda, em Security + networking, escolha Networking.
- Na guia Firewalls and virtual networks, defina Public network access como Enabled from selected virtual networks and IP addresses.
- Em Virtual networks ou Firewall, adicione as redes virtuais ou faixas de endereços IP específicas que têm permissão para acessar esta conta de armazenamento.
- Clique em Save para aplicar as novas regras de rede.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Nível 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – controles aplicáveis
- CISA (Cybersecurity and Infrastructure Security Agency) – diretrizes de proteção de armazenamento
Recursos Relacionados
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2