ARG_0 port open to all

Proč na tom záleží

Pokud je port ponechán otevřený pro veškerý internetový provoz, vytváří to neomezený vstupní bod, který mohou útočníci snadno objevit a zneužít. Pro IT administrátory se jedná o jednu z nejčastějších chyb v konfiguraci, která vede k únikům dat, ransomware útokům nebo neoprávněnému přístupu k interním prostředkům Azure. Omezením síťového přístupu snižujete útočnou plochu a prosazujete princip nejnižších oprávnění.

Co Aether365 kontroluje

Aether365 ověřuje, že žádné pravidlo skupiny zabezpečení sítě (NSG) nepovoluje příchozí provoz z libovolného zdroje (0.0.0.0/0 nebo *) na určených portech. Tato kontrola se zobrazuje v dashboardu Aether365 v kategorii azure-network-security-groups.

Jak to opravit

1. Otevřete Azure Portal a přejděte na Virtual Networks, poté vyberte konkrétní virtuální síť.
2. Přejděte do Network Security Groups a vyberte NSG přiřazený k dotčenému subnetu nebo NIC.
3. V části Settings vyberte Inbound Security Rules.
4. Identifikujte pravidlo, které povoluje provoz z Any nebo Internet na exponovaném portu.
5. Změňte Source na konkrétní IP adresu nebo CIDR rozsah, nebo nastavte pro toto pravidlo protokol na Deny.
6. Alternativně pravidlo odstraňte a přidejte restriktivnější pravidlo, které povoluje provoz pouze z autorizovaných IP rozsahů.
7. Klikněte na Save pro uložení změn.

Compliance

• CIS Microsoft Azure Foundations (platná verze: dle definice ve vaší organizační politice)
• Odkazujte se na relevantní kontroly CIS benchmark pro zabezpečení virtuálních sítí.

Související zdroje

• Přehled skupin zabezpečení sítě Azure

Microsoft references

• Security overview