Ensure that ARG_0 access from the Internet is evaluated and restricted
Proč na tom záleží
Povolení neomezeného přístupu k prostředkům Azure z internetu vytváří významnou útočnou plochu. Útočníci mohou skenovat otevřené porty a služby, což vede k neoprávněnému přístupu, únikům dat nebo kompromitaci prostředků. Správci musí omezit příchozí internetový provoz pouze na to, co je výslovně vyžadováno pro obchodní operace.
Co kontroluje Aether365
Aether365 ověřuje, zda jsou skupiny zabezpečení sítě nebo pravidla Azure Firewall nakonfigurována pro vyhodnocení a omezení přístupu z internetu. Tato kontrola se zobrazuje na řídicím panelu Aether365 v sekci azure-network-security-groups a označuje všechna příliš benevolentní pravidla.
Jak to opravit
- Přihlaste se do Azure Portal a přejděte na Virtual Networks.
- Vyberte virtuální síť přidruženou k vašim prostředkům.
- V části Settings klikněte na Network security groups a projděte každou skupinu NSG.
- U každé skupiny NSG přejděte na Inbound security rules a identifikujte pravidla, kde je
Sourcenastaveno naAnyneboInternetaActionnaAllow. - Tato pravidla upravte nebo odstraňte, abyste omezili přístup pouze na důvěryhodné rozsahy IP adres, nebo použijte Azure Firewall pro podrobnou kontrolu.
- Alternativně použijte Azure Policy k vynucení zákazu příliš benevolentních pravidel NSG.
Compliance
- CIS Microsoft Azure Foundations (Level 1) – Sekce 6.x (Zabezpečení sítě)
- EIDSCA (Enterprise ID Security Compliance Assessment)
- Pokyny CISA (Cybersecurity and Infrastructure Security Agency)
Související zdroje
- Microsoft Learn: Přehled zabezpečení virtuální sítě