Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Prečo je to dôležité
Účty úložiska, ktoré prijímajú spojenia z akejkoľvek siete, vystavujú vaše dáta neoprávnenému prístupu z internetu. Zakázaním predvoleného sieťového prístupu a explicitným povolením iba dôveryhodných sietí znižujete útočnú plochu a presadzujete bezpečnostné sieťové hranice pre vaše úložné zdroje. Bez tohto opatrenia sa k vášmu účtu úložiska môže dostať akýkoľvek klient s platným prístupovým kľúčom, a to odkiaľkoľvek.
Čo kontroluje Aether365
Aether365 overuje, či má každý účet úložiska verejný sieťový prístup nastavený na možnosť "Enabled from selected virtual networks and IP addresses" namiesto povolenia všetkých sietí. Táto kontrola sa zobrazuje na paneli Aether365 v kategórii zabezpečenia Azure Storage Accounts.
Ako to opraviť
- Otvorte Azure Portal a prejdite na Storage Accounts.
- Vyberte účet úložiska, ktorý chcete zabezpečiť.
- V ľavom menu v časti Security + networking vyberte Networking.
- Na karte Firewalls and virtual networks nastavte Public network access na možnosť Enabled from selected virtual networks and IP addresses.
- V časti Virtual networks alebo Firewall pridajte konkrétne virtuálne siete alebo rozsahy IP adries, ktoré majú povolený prístup k tomuto účtu úložiska.
- Kliknutím na Save aplikujte nové sieťové pravidlá.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Level 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – relevantné kontroly
- CISA (Cybersecurity and Infrastructure Security Agency) – usmernenia na zabezpečenie úložiska
Súvisiace zdroje
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2