Ensure Default Network Access Rule for Storage Accounts is Set to Deny

Bunun Önemi

Herhangi bir ağdan gelen bağlantıları kabul eden depolama hesapları, verilerinizi internet üzerinden yetkisiz erişime açar. Varsayılan ağ erişimini reddederek ve yalnızca güvenilir ağlara açıkça izin vererek, saldırı yüzeyini küçültür ve depolama kaynaklarınız için güvenli bir ağ sınırı oluşturursunuz. Bu kontrol olmadan, geçerli bir erişim anahtarına sahip her istemci, depolama hesabınıza her yerden ulaşabilir.

Aether365'in Denetlediği

Aether365, her depolama hesabının genel ağ erişiminin tüm ağlara izin vermek yerine "Seçili sanal ağlar ve IP adreslerinden etkin" olarak ayarlandığını doğrular. Bu denetim, Aether365 panosunda Azure Storage Accounts güvenlik kategorisi altında görünür.

Nasıl Düzeltilir

1. Azure Portal'ı açın ve Storage Accounts bölümüne gidin.
2. Güvenceye almak istediğiniz depolama hesabını seçin.
3. Sol menüde, Security + networking altından Networking seçeneğini seçin.
4. Firewalls and virtual networks sekmesinde, Public network access değerini Enabled from selected virtual networks and IP addresses olarak ayarlayın.
5. Virtual networks veya Firewall altında, bu depolama hesabına erişmesine izin verilen belirli sanal ağları veya IP adresi aralıklarını ekleyin.
6. Yeni ağ kurallarını uygulamak için Save düğmesine tıklayın.

Uyumluluk

• CIS Microsoft Azure Foundations 3.0.0 4.7 (Seviye 1)
• EIDSCA (Enterprise ID Security Compliance Assessment) – geçerli kontroller
• CISA (Cybersecurity and Infrastructure Security Agency) – depolama katılaştırma yönergeleri

İlgili Kaynaklar

• Azure Storage güvenlik duvarlarını ve sanal ağlarını yapılandırma
• Microsoft Cloud Security Benchmark: NS-2
• Microsoft Cloud Security Benchmark: GS-2

Microsoft references

• Storage network security
• Mcsb governance strategy
• Mcsb network security