Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Translate
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(57.599999999999994, 76%, 15%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EPG%3C/text%3E%3C/svg%3E)
Buenos Dias, estan realizando una auditoria con Prisma Cloud CSPM y nos reportan esta issue como debilidad a remediar:
"Azure Virtual Machine disks configured with public network access pose a significant security risk. Publicly accessible disks expose sensitive data to unauthorized access and potential breaches.
Azure Virtual Machine disks are storage resources attached to Virtual Machines. Enabling public network access allows any entity on the internet to access these disks, bypassing security controls. Attackers can exploit this misconfiguration to steal data, deploy malware, or gain unauthorized access to the Virtual Machine itself.
The impact of this misconfiguration includes data breaches, unauthorized data modification, and potential system compromise. Restricting access to trusted networks only significantly minimizes these risks. This best practice ensures that only authorized users and services can interact with the disks.
To mitigate this risk, disable public network access for all Azure Virtual Machine disks. Utilize Azure Private Link or other secure network configurations to provide controlled access to necessary resources. Regularly review and audit network configurations to identify and remediate any misconfigurations."
La realidad es que se esta refiriendo al disco duro que se genera cuando generas la maquina virtual y efectivamente en la opcion de redes se habilita por defecto la opcion de Todas las redes, pero para deshabilitarla, es necesario crear un private link al disco, no se si esta issue tiene sentido y es correcta toda vez que la documentacion que he encontrado marca que el acceso al disco es gestionado por la identidad de la VM y ya es seguro y tampoco me queda claro como generar un acceso por red al disco a traves de un private link, sin que la maquina pierda el suyo, habeis tenido alguna situacion parecida ?, que seria lo logico ?, tiene sentido aplicar ese issue a un disco de una VM ??
Gracias
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(86.4, 82%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EVV%3C/text%3E%3C/svg%3E)
En su caso, la alerta de Prisma Cloud sobre "acceso de red pública habilitado" para los discos de VM de Azure se refiere a la configuración networkAccessPolicy, que solo aplica a las operaciones de importación/exportación de discos. No expone el contenido del disco cuando está adjunto a una máquina virtual en ejecución en Azure.
Los discos administrados de Azure—ya sean del sistema operativo o de datos—no son accesibles a través de la red, incluso si la máquina virtual tiene una IP pública. El contenido del disco solo es accesible desde dentro de la máquina virtual cuando el disco está adjunto.
Esta configuración solo es relevante para exportar o cargar discos. En esos casos, se puede usar un Punto de conexión privado (Private Endpoint). Sin embargo, esto no afecta el uso normal del disco por parte de la máquina virtual.
Referencia: Restringir el acceso de importación/exportación para discos administrados mediante Azure Private Link
Espero que esto ayude a resolver su duda. No dude en preguntar si la solución proporcionada no le resulta útil.
Estoy traduciendo mi respuesta del inglés al español. Por favor, disculpe cualquier error gramatical.
En su caso, la alerta de Prisma Cloud sobre "acceso de red pública habilitado" para los discos de máquinas virtuales de Azure se refiere a la configuración networkAccessPolicy, que solo aplica a operaciones de importación/exportación de discos. No expone el contenido del disco cuando está adjunto a una máquina virtual en ejecución en Azure.
Los discos administrados de Azure—ya sean del sistema operativo o de datos—no son accesibles a través de la red, incluso si la máquina virtual tiene una dirección IP pública. El contenido del disco solo es accesible desde dentro de la máquina virtual cuando el disco está adjunto.
Esta configuración solo es relevante para exportar o cargar discos. En esos casos, se puede utilizar un punto de conexión privado (Private Endpoint). Sin embargo, esto no afecta el uso normal del disco por parte de la máquina virtual.
Para exportar el disco, puede ser necesario desasignar (deallocate) la máquina virtual antes de realizar la exportación.
Referencia: Restringir el acceso de importación/exportación para discos administrados mediante Azure Private Link
Espero que esto ayude a resolver su consulta. No dude en preguntar si la solución proporcionada no le resulta útil.
Realmente agradezco sus comentarios. Son muy valiosos para nosotros. Por favor, haga clic en "Aceptar respuesta" en esta publicación para ayudar a otros miembros de la comunidad que enfrentan problemas similares a encontrar la solución correcta.
Estoy traduciendo mi respuesta del inglés al español. Por favor, disculpe cualquier error gramatical.
Muchas gracias por su respuesta, mantengo el criterio de que es un falso positivo por una evaluación inadecuada del producto en el entorno que evalua.
Slds.