Ensure that 'Public Network Access' is 'Disabled' for storage accounts
De ce este important
Lăsarea accesului la rețea publică activat pe un cont de stocare crește riscul de expunere neautorizată a datelor. Chiar dacă accesul public la containere este dezactivat implicit, un cont de stocare configurat greșit ar putea permite cereri anonime la date sensibile, fără a necesita autentificare. Dezactivarea completă a accesului la rețea publică impune un acces controlat prin shared access signatures sau Azure AD RBAC, reducând astfel suprafața de atac.
Ce verifică Aether365
Această verificare confirmă dacă setarea "Public network access" este dezactivată pentru fiecare cont de stocare Azure din abonamentul dumneavoastră. Rezultatul apare în tabloul de bord Aether365, în categoria verificărilor pentru azure-storage-accounts.
Cum se remediază
Utilizați portalul Azure pentru a dezactiva accesul la rețea publică pentru fiecare cont de stocare:
- Navigați la Storage Accounts în Azure Portal.
- Selectați contul de stocare pe care doriți să-l remediați.
- În meniul din stânga, sub Security + networking, faceți clic pe Networking.
- Sub Public network access, selectați Disabled.
- Faceți clic pe Save în partea de sus a paginii.
Pentru o alternativă controlată, creați mai întâi token-uri shared access signature sau configurați Azure AD RBAC pentru containerele blob înainte de a dezactiva accesul public, pentru a preveni întreruperea serviciilor.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Nivelul 1)
- CIS Benchmark 4.6: Asigurați-vă că "Public Network Access" este "Disabled" pentru conturile de stocare
- ID de referință Aether365: AZURE.195
Resurse conexe
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks