Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Zakaj je to pomembno
Če je omogočen javni dostop do omrežja na računu za shranjevanje, se poveča tveganje za nepooblaščeno izpostavitev podatkov. Čeprav je javni dostop do vsebnikov privzeto onemogočen, lahko nepravilno konfiguriran račun za shranjevanje omogoči anonimne zahteve do občutljivih podatkov brez potrebe po preverjanju pristnosti. Popolna onemogočitev javnega dostopa do omrežja zagotovi nadzorovan dostop prek skupnih dostopnih podpisov (shared access signatures) ali Azure AD RBAC, s čimer zmanjšate napadalno površino.
Kaj preverja Aether365
To preverjanje ugotovi, ali je nastavitev "Public network access" onemogočena za vsak račun za shranjevanje Azure v vaši naročnini. Rezultat se prikaže na nadzorni plošči Aether365 pod kategorijo preverjanj azure-storage-accounts.
Kako popraviti
Uporabite portal Azure, da onemogočite javni dostop do omrežja za vsak račun za shranjevanje:
- Pomaknite se do Storage Accounts v portalu Azure.
- Izberite račun za shranjevanje, ki ga želite popraviti.
- V levem meniju pod Security + networking kliknite Networking.
- Pod Public network access izberite Disabled.
- Na vrhu strani kliknite Save.
Če želite nadzorovan nadomestni pristop, najprej ustvarite žetone skupnih dostopnih podpisov (shared access signature tokens) ali konfigurirajte Azure AD RBAC za svoje vsebnike Blob, preden onemogočite javni dostop, da preprečite morebitne motnje v storitvi.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 4.6 (1. raven)
- CIS Benchmark 4.6: Zagotovite, da je nastavitev "Public network access" nastavljena na "Disabled" za račune za shranjevanje
- Identifikacijska številka Aether365: AZURE.195
Povezani viri
- Upravljanje dostopa do virov shranjevanja Azure
- Azure security benchmark NS-2: Zavarovanje izvornih storitev v oblaku z omrežnimi kontrolami
- Dodeljevanje vlog Azure za dostop do podatkov
- Konfiguriranje požarnih zidov in virtualnih omrežij za shranjevanje Azure