Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Varför detta är viktigt
Om du lämnar åtkomst till det offentliga nätverket aktiverat på ett lagringskonto ökar risken för obehörig exponering av data. Även om offentlig åtkomst till containrar är inaktiverad som standard kan ett felkonfigurerat lagringskonto tillåta anonyma förfrågningar till känslig data utan autentisering. Om du helt inaktiverar åtkomst till det offentliga nätverket genomdrivs kontrollerad åtkomst via signaturer för delad åtkomst eller Azure AD RBAC, vilket minskar attackytan.
Vad Aether365 kontrollerar
Denna kontroll verifierar att inställningen "Public network access" är inaktiverad för varje Azure Storage-konto i din prenumeration. Resultatet visas i Aether365-instrumentpanelen under kategorin azure-storage-accounts.
Hur du åtgärdar
Använd Azure Portal för att inaktivera åtkomst till det offentliga nätverket för varje lagringskonto:
- Navigera till Storage Accounts i Azure Portal.
- Välj det lagringskonto du vill åtgärda.
- I menyn till vänster, under Security + networking, klicka på Networking.
- Under Public network access, välj Disabled.
- Klicka på Save högst upp på sidan.
För ett kontrollerat alternativ, skapa först tokens för signaturer för delad åtkomst eller konfigurera Azure AD RBAC för dina blob-containrar innan du inaktiverar offentlig åtkomst för att förhindra eventuella tjänsteavbrott.
Regelefterlevnad
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Nivå 1)
- CIS Benchmark 4.6: Säkerställ att "Public Network Access" är "Disabled" för lagringskonton
- Aether365 referens-ID: AZURE.195
Relaterade resurser
- Hantera åtkomst till Azure Storage-resurser
- Azure-säkerhetsriktmärke NS-2: Säkerställ inbyggda molntjänster med nätverkskontroller
- Tilldela Azure-roller för dataåtkomst
- Konfigurera Azure Storage-brandväggar och virtuella nätverk