Ensure Default Network Access Rule for Storage Accounts is Set to Deny
Чому це важливо
Облікові записи сховищ, які приймають з'єднання з будь-якої мережі, наражають ваші дані на несанкціонований доступ з Інтернету. Заборонивши доступ до мережі за замовчуванням і явно дозволивши лише довірені мережі, ви зменшуєте поверхню атак та забезпечуєте безпечний мережевий периметр для ваших ресурсів сховища. Без цього контролю будь-який клієнт із дійсним ключем доступу може отримати доступ до вашого облікового запису сховища з будь-якої точки світу.
Що перевіряє Aether365
Aether365 перевіряє, чи для кожного облікового запису сховища параметр "Загальнодоступний мережевий доступ" (Public network access) встановлено на "Увімкнено з вибраних віртуальних мереж та IP-адрес" (Enabled from selected virtual networks and IP addresses), а не на дозвіл для всіх мереж. Ця перевірка відображається в інформаційній панелі Aether365 у категорії безпеки "Облікові записи сховищ Azure" (Azure Storage Accounts).
Як виправити
- Відкрийте Azure Portal та перейдіть до Storage Accounts.
- Виберіть обліковий запис сховища, який потрібно захистити.
- У лівому меню в розділі Security + networking оберіть Networking.
- На вкладці Firewalls and virtual networks встановіть для Public network access значення Enabled from selected virtual networks and IP addresses.
- У розділі Virtual networks або Firewall додайте конкретні віртуальні мережі або діапазони IP-адрес, яким дозволено доступ до цього облікового запису сховища.
- Натисніть Save, щоб застосувати нові мережеві правила.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 4.7 (Рівень 1)
- EIDSCA (Enterprise ID Security Compliance Assessment) – застосовні засоби контролю
- CISA (Cybersecurity and Infrastructure Security Agency) – рекомендації з посилення захисту сховищ
Пов'язані ресурси
- Configure Azure Storage firewalls and virtual networks
- Microsoft Cloud Security Benchmark: NS-2
- Microsoft Cloud Security Benchmark: GS-2