Ensure Default Network Access Rule for Storage Accounts is Set to Deny

De ce este important

Conturile de stocare care acceptă conexiuni din orice rețea expun datele dumneavoastră la acces neautorizat de pe internet. Prin blocarea accesului implicit la rețea și prin permiterea explicită doar a rețelelor de încredere, reduceți suprafața de atac și impuneți o graniță de rețea securizată pentru resursele dumneavoastră de stocare. Fără acest control, orice client cu o cheie de acces validă poate ajunge la contul dumneavoastră de stocare de oriunde.

Ce verifică Aether365

Aether365 verifică dacă fiecare cont de stocare are accesul la rețeaua publică setat la "Enabled from selected virtual networks and IP addresses" (Activat din rețelele virtuale și adresele IP selectate), în loc să permită tuturor rețelelor. Această verificare apare în tabloul de bord Aether365, la categoria de securitate Azure Storage Accounts.

Cum se remediază

1. Deschideți Azure Portal și navigați la Storage Accounts.
2. Selectați contul de stocare pe care doriți să-l securizați.
3. În meniul din stânga, sub Security + networking, alegeți Networking.
4. Pe fila Firewalls and virtual networks, setați Public network access la Enabled from selected virtual networks and IP addresses.
5. Sub Virtual networks sau Firewall, adăugați rețelele virtuale specifice sau intervalele de adrese IP care au voie să acceseze acest cont de stocare.
6. Faceți clic pe Save pentru a aplica noile reguli de rețea.

Conformitate

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Nivelul 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – controale aplicabile
• CISA (Cybersecurity and Infrastructure Security Agency) – ghiduri de securizare a stocării

Resurse conexe

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security