Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Prečo na tom záleží
Ak na účte úložiska ponecháte povolený verejný sieťový prístup, zvyšujete riziko neoprávneného vystavenia údajov. Hoci je verejný prístup ku kontajnerom štandardne zakázaný, nesprávne nakonfigurovaný účet úložiska by mohol umožniť anonymné požiadavky na citlivé údaje bez nutnosti overovania identity. Úplným zakázaním verejného sieťového prístupu vynútite riadený prístup prostredníctvom zdieľaných prístupových podpisov alebo služby Azure AD RBAC, čím zmenšíte útočnú plochu.
Čo kontroluje Aether365
Táto kontrola overuje, či je pre každý účet služby Azure Storage vo vašom predplatnom zakázané nastavenie "Public network access". Výsledok sa zobrazí v paneli Aether365 v kategórii kontrol azure-storage-accounts.
Ako to opraviť
Pomocou portálu Azure zakážte verejný sieťový prístup pre každý účet úložiska:
- Prejdite na Storage Accounts na portáli Azure Portal.
- Vyberte účet úložiska, ktorý chcete opraviť.
- V ľavom menu v časti Security + networking kliknite na Networking.
- V časti Public network access vyberte možnosť Disabled.
- V hornej časti stránky kliknite na Save.
Ako riadenú alternatívu najskôr vytvorte tokeny zdieľaného prístupového podpisu alebo nakonfigurujte službu Azure AD RBAC pre svoje kontajnery objektov blob až potom zakážte verejný prístup, aby ste predišli akémukoľvek výpadku služieb.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6: Ensure that "Public Network Access" je "Disabled" pre účty úložiska
- Referenčné ID Aether365: AZURE.195
Súvisiace zdroje
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks