Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Bunun Önemi
Bir depolama hesabında genel ağ erişimini etkin bırakmak, yetkisiz veri maruziyeti riskini artırır. Kapsayıcılara genel erişim varsayılan olarak devre dışı olsa da, yanlış yapılandırılmış bir depolama hesabı, kimlik doğrulama gerektirmeden hassas verilere anonim isteklerin yapılmasına izin verebilir. Genel ağ erişimini tamamen devre dışı bırakmak, paylaşılan erişim imzaları veya Azure AD RBAC aracılığıyla kontrollü erişimi zorunlu kılarak saldırı yüzeyini azaltır.
Aether365'in Kontrol Ettiği
Bu kontrol, aboneliğinizdeki her Azure Depolama hesabı için "Genel ağ erişimi" ayarının devre dışı bırakıldığını doğrular. Sonuç, Aether365 panosunda azure-storage-accounts kontrolleri kategorisi altında görünür.
Nasıl Düzeltilir
Her depolama hesabı için genel ağ erişimini devre dışı bırakmak üzere Azure portalını kullanın:
- Azure portalında Depolama Hesapları'na gidin.
- Düzeltmek istediğiniz depolama hesabını seçin.
- Sol menüde Güvenlik + ağ altında Ağ'a tıklayın.
- Genel ağ erişimi altında Devre Dışı'nı seçin.
- Sayfanın üst kısmındaki Kaydet'e tıklayın.
Kontrollü bir alternatif için, herhangi bir hizmet kesintisini önlemek amacıyla genel erişimi devre dışı bırakmadan önce blob kapsayıcılarınız için paylaşılan erişim imzası belirteçleri oluşturun veya Azure AD RBAC yapılandırın.
Uyumluluk
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Seviye 1)
- CIS Benchmark 4.6: Depolama hesapları için "Genel Ağ Erişimi"nin "Devre Dışı" olduğundan emin olun
- Aether365 referans kimliği: AZURE.195
İlgili Kaynaklar
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks