Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Varför detta är viktigt

Lagringskonton som accepterar anslutningar från alla nätverk exponerar dina data för obehörig åtkomst via internet. Genom att neka standardnätverksåtkomst och explicit endast tillåta betrodda nätverk minskar du attackytan och skapar en säker nätverksgräns för dina lagringsresurser. Utan denna kontroll kan alla klienter med en giltig åtkomstnyckel nå ditt lagringskonto från var som helst.

Vad Aether365 kontrollerar

Aether365 verifierar att varje lagringskonto har sin offentliga nätverksåtkomst inställd på "Enabled from selected virtual networks and IP addresses" istället för att tillåta alla nätverk. Denna kontroll visas i Aether365-instrumentpanelen under säkerhetskategorin Azure Storage Accounts.

Hur du åtgärdar

1. Öppna Azure Portal och navigera till Storage Accounts.
2. Välj det lagringskonto du vill skydda.
3. I den vänstra menyn, under Security + networking, välj Networking.
4. På fliken Firewalls and virtual networks, ställ in Public network access på Enabled from selected virtual networks and IP addresses.
5. Under Virtual networks eller Firewall, lägg till de specifika virtuella nätverken eller IP-adressintervall som tillåts komma åt detta lagringskonto.
6. Klicka på Save för att tillämpa de nya nätverksreglerna.

Regelefterlevnad

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Nivå 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – tillämpliga kontroller
• CISA (Cybersecurity and Infrastructure Security Agency) – riktlinjer för skydd av lagring

Relaterade resurser

• Configure Azure Storage firewalls and virtual networks
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security