Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Hvorfor dette er vigtigt
Indstillingen "Allow public access from any Azure service within Azure to this server" på PostgreSQL fleksible servere opretter en bred firewallregel, der accepterer forbindelser fra alle Azure-ressourcer, herunder dem uden for dit abonnement. Dette omgår netværkssegmentering og øger angrebsfladen betydeligt. Administratorer bør deaktivere denne indstilling og i stedet bruge specifikke netværks- eller VNET-regler til at styre adgang.
Hvad Aether365 kontrollerer
Aether365 verificerer, at indstillingen "Allow public access from any Azure service within Azure to this server" for PostgreSQL fleksible servere er deaktiveret. Denne kontrol vises på Aether365-dashboardet under azure-postgresql-server checks.
Sådan rettes det
- Log ind på Azure-portalen.
- Naviger til Azure Database for PostgreSQL fleksibel server.
- I serverbladet skal du under afsnittet "Security" vælge "Networking".
- Under fanen "Firewall rules" skal du finde knappen til "Allow public access from any Azure service within Azure to this server" og indstille den til "No".
- Sørg for, at ingen eksisterende firewallregel har start- og slut-IP-adresser indstillet til
0.0.0.0.
Overholdelse
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Relaterede ressourcer
- Azure Database for PostgreSQL firewallregler
- Administrer firewallregler for PostgreSQL ved hjælp af CLI
- Azure Security Benchmark: NS-1 Implementer sikkerhed til intern trafik
- Azure Security Benchmark: NS-4 Beskyt applikationer og tjenester mod eksterne netværksangreb