Ensure that 'Public Network Access' is 'Disabled' for storage accounts
Чому це важливо
Залишення доступу до загальної мережі для облікового запису сховища збільшує ризик несанкціонованого розкриття даних. Навіть якщо загальний доступ до контейнерів вимкнено за замовчуванням, неправильно налаштований обліковий запис сховища може дозволити анонімні запити до конфіденційних даних без вимоги автентифікації. Повне вимкнення доступу до загальної мережі забезпечує контрольований доступ через підписи спільного доступу або Azure AD RBAC, зменшуючи поверхню атаки.
Що перевіряє Aether365
Ця перевірка підтверджує, що налаштування "Public network access" вимкнено для кожного облікового запису Azure Storage у вашій підписці. Результат відображається на інформаційній панелі Aether365 у категорії перевірок azure-storage-accounts.
Як виправити
Використовуйте портал Azure, щоб вимкнути доступ до загальної мережі для кожного облікового запису сховища:
- Перейдіть до Storage Accounts на порталі Azure.
- Виберіть обліковий запис сховища, який потрібно виправити.
- У лівому меню в розділі Security + networking натисніть Networking.
- У полі Public network access оберіть Disabled.
- Натисніть Save у верхній частині сторінки.
Для контрольованої альтернативи спочатку створіть маркери підписів спільного доступу або налаштуйте Azure AD RBAC для ваших контейнерів blob, перш ніж вимикати загальний доступ, щоб уникнути перерв у роботі сервісу.
Відповідність
- CIS Microsoft Azure Foundations 3.0.0 4.6 (Level 1)
- CIS Benchmark 4.6: Ensure that "Public Network Access" is "Disabled" for storage accounts
- Ідентифікатор посилання Aether365: AZURE.195
Пов'язані ресурси
- Manage access to Azure Storage resources
- Azure security benchmark NS-2: Secure cloud native services with network controls
- Assign Azure roles for data access
- Configure Azure Storage firewalls and virtual networks