Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Proč na tom záleží
Nastavení "Allow public access from any Azure service within Azure to this server" na PostgreSQL flexibilních serverech vytváří široké pravidlo brány firewall, které přijímá připojení ze všech prostředků Azure, včetně těch mimo vaše předplatné. Tím se obchází segmentace sítě a výrazně se zvyšuje útočná plocha. Správci by měli toto nastavení zakázat a místo toho použít konkrétní síťová pravidla nebo pravidla VNET pro řízení přístupu.
Co Aether365 kontroluje
Aether365 ověřuje, že je možnost "Allow public access from any Azure service within Azure to this server" pro PostgreSQL flexibilní servery vypnutá. Tato kontrola se zobrazuje v řídicím panelu Aether365 v sekci azure-postgresql-server checks.
Jak to opravit
- Přihlaste se na Azure Portal.
- Přejděte na flexibilní server Azure Database for PostgreSQL.
- V okně serveru v části "Security" vyberte "Networking".
- Na kartě "Firewall rules" vyhledejte přepínač "Allow public access from any Azure service within Azure to this server" a nastavte jej na "No".
- Ujistěte se, že žádné stávající pravidlo brány firewall nemá počáteční a koncovou IP adresu nastavenou na
0.0.0.0.
Soulad s předpisy
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Související zdroje
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks