ARG_0 port open to all
Warum dies wichtig ist
Wenn ein Port für den gesamten Internetverkehr offen bleibt, entsteht ein uneingeschränkter Einstiegspunkt, den Angreifer leicht entdecken und ausnutzen können. Für IT-Administratoren ist dies eine der häufigsten Fehlkonfigurationen, die zu Datenverletzungen, Ransomware-Angriffen oder unbefugtem Zugriff auf interne Azure-Ressourcen führt. Durch die Einschränkung des Netzwerkzugriffs verringern Sie die Angriffsfläche und setzen das Prinzip der geringsten Privilegien durch.
Was Aether365 prüft
Aether365 überprüft, ob keine Netzwerksicherheitsgruppenregel (NSG-Regel) eingehenden Datenverkehr von einer beliebigen Quelle (0.0.0.0/0 oder *) an bestimmten Ports zulässt. Diese Prüfung wird im Aether365-Dashboard unter der Kategorie "azure-network-security-groups" angezeigt.
So beheben Sie das Problem
- Öffnen Sie das Azure Portal und navigieren Sie zu "Virtual Networks" (Virtuelle Netzwerke). Wählen Sie dann das entsprechende virtuelle Netzwerk aus.
- Gehen Sie zu "Network Security Groups" (Netzwerksicherheitsgruppen) und wählen Sie die NSG aus, die mit dem betroffenen Subnetz oder der Netzwerkschnittstelle verknüpft ist.
- Wählen Sie unter "Einstellungen" die Option "Eingehende Sicherheitsregeln".
- Identifizieren Sie die Regel, die Datenverkehr von "Beliebig" oder "Internet" über den offengelegten Port zulässt.
- Ändern Sie die Quelle in eine spezifische IP-Adresse oder einen CIDR-Bereich, oder setzen Sie das Protokoll für diese Regel auf "Ablehnen".
- Alternativ können Sie die Regel entfernen und eine restriktivere Regel hinzufügen, die nur Datenverkehr aus autorisierten IP-Bereichen zulässt.
- Klicken Sie auf "Speichern", um die Änderungen zu übernehmen.
Compliance
- CIS Microsoft Azure Foundations (geltende Version: gemäß der Richtlinie Ihrer Organisation)
- Beachten Sie die relevanten CIS-Benchmark-Kontrollen für die Netzwerksicherheit virtueller Netzwerke.