Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Защо това е важно

Настройката "Allow public access from any Azure service within Azure to this server" за гъвкави сървъри на PostgreSQL създава широка защитна стена, която приема връзки от всички Azure ресурси, включително и тези извън вашия абонамент. Това заобикаля мрежовото сегментиране и значително увеличава повърхността за атаки. Администраторите трябва да деактивират тази настройка и вместо това да използват специфични мрежови правила или VNET правила за контрол на достъпа.

Какво проверява Aether365

Aether365 проверява дали опцията "Allow public access from any Azure service within Azure to this server" за гъвкави сървъри на PostgreSQL е деактивирана. Тази проверка се появява в таблото за управление на Aether365 под секцията azure-postgresql-server checks.

Как да коригирате

1. Влезте в Azure portal.
2. Навигирайте до гъвкавия сървър на Azure Database for PostgreSQL.
3. В лентата на сървъра, под секцията "Security", изберете "Networking".
4. В раздела "Firewall rules", намерете превключвателя за "Allow public access from any Azure service within Azure to this server" и го задайте на "No".
5. Уверете се, че нито едно съществуващо правило на защитната стена няма начален и краен IP адрес, зададени на 0.0.0.0.

Съответствие

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Свързани ресурси

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security