Binnen Giant ICT zien we dat steeds meer organisaties Azure Storage Accounts inzetten als flexibele en schaalbare opslaglocatie. Ideaal voor archieven, back‑ups of bestanden die niet dagelijks nodig zijn. Het voelt betrouwbaar en logisch om hiervoor Azure te gebruiken.
Toch komen we in de praktijk regelmatig hetzelfde tegen: wanneer een Storage Account via de Azure portal wordt aangemaakt, staan de standaardinstellingen vaak verrassend open. Niet omdat iemand een fout maakt, maar omdat Azure vooral gericht is op snel starten.
In deze blog legt onze Microsoft Cloud Consultant Jan Kenter uit waar de risico’s zitten en hoe je je Storage Accounts eenvoudig veiliger maakt.
Public Network Access staat standaard aan
Een belangrijk onderdeel van die open standaardconfiguratie is Public Network Access. Bij het aanmaken van een Storage Account staat deze instelling op Enabled from all networks.
Dat betekent dat je Storage Account in theorie vanaf internet te benaderen is als iemand beschikt over:
- de Share URL
- een Access Key
(Hoe Enabled from all networks werkt)
De Share URL is soms eenvoudiger te vinden dan je denkt, bijvoorbeeld via oude documentatie, automatisch geïndexeerde links of scanning tools.
De Access Key is lastiger te achterhalen, maar als die in verkeerde handen valt, heeft een aanvaller volledige toegang tot je data. Lezen, schrijven, verwijderen: alles is mogelijk.
Best practice: ga zorgvuldig om met Access Keys
Een Storage Account heeft twee Access Keys die volledige toegang geven. Giant ICT adviseert om ze alleen te gebruiken voor interne, volledig vertrouwde applicaties.
Regenereren (vernieuwen) doe je bijvoorbeeld:
- Bij periodieke security checks
- Na een (mogelijk) incident met een applicatie
- Wanneer iemand het team verlaat die toegang had via bijvoorbeeld Storage Explorer
Door sleutels regelmatig te vernieuwen, voorkom je langdurige ongewenste toegang.
Public Network Access uitschakelen: de veilige keuze
De veiligste instelling is het uitschakelen van Public Network Access. Daarmee sluit je de deur naar het internet.
Aandachtspunt: als die deur dichtgaat, kom jij er zelf ook niet zomaar bij. De oplossing is daarom het configureren van Private Endpoints. Daarmee wordt je Storage Account onderdeel van je eigen netwerk.
Het resultaat: grip, overzicht en een opslagomgeving die écht goed beveiligd is.
Wat is een Private Endpoint?
Een Private Endpoint is een (intern) IP‑adres binnen je eigen Azure Virtual Network (vNet). Via dat IP-adres kunnen Azure‑resources zoals virtuele machines, Key Vault of Azure SQL, veilig communiceren met een Storage Account, zonder dat er verkeer over het publieke internet loopt. Dit verkleint het aanvalsoppervlak en verhoogt de beveiliging aanzienlijk.
Hoe werkt dit voor medewerkers op kantoor?
Wanneer medewerkers bestanden in het Storage Account moeten benaderen, is een VPN-verbinding nodig tussen je kantoorlocaties en Azure. Zodra die verbinding actief is, loopt het verkeer automatisch via het beveiligde pad binnen het vNet. Dit is op dit moment de meest veilige manier om Storage Accounts bereikbaar te maken voor gebruikers binnen je organisatie.
Extra beveiliging: Defender for Storage
Naast netwerkbeveiliging adviseert Giant ICT om Defender for Storage te activeren. Deze dienst:
- detecteert verdachte activiteiten
- beschermt tegen malware en virussen
- waarschuwt voor misconfiguraties die Storage Accounts kwetsbaar maken
- biedt inzicht in risicovolle toegangspatronen
Het is een belangrijke extra beveiligingslaag bovenop de netwerkconfiguratie.
Meer weten? Giant ICT helpt je graag verder
De beveiliging van Azure Storage Accounts kent veel opties en nuances. Wil je weten welke configuratie het beste past bij jouw organisatie, of wil je je huidige omgeving laten controleren?
Neem gerust contact op met Giant ICT. Onze cloud specialisten helpen je graag met praktische en direct toepasbare adviezen.
