Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Warum dies wichtig ist

Die Einstellung "Allow public access from any Azure service within Azure to this server" auf PostgreSQL Flexible Servern erstellt eine breite Firewall-Regel, die Verbindungen von allen Azure-Ressourcen akzeptiert, auch solchen außerhalb Ihres Abonnements. Dies umgeht die Netzwerksegmentierung und vergrößert die Angriffsfläche erheblich. Administratoren sollten diese Einstellung deaktivieren und stattdessen spezifische Netzwerk- oder VNET-Regeln zur Zugriffskontrolle verwenden.

Was Aether365 prüft

Aether365 überprüft, ob die Option "Allow public access from any Azure service within Azure to this server" für PostgreSQL Flexible Server deaktiviert ist. Diese Prüfung erscheint im Aether365-Dashboard unter azure-postgresql-server-Prüfungen.

So beheben Sie das Problem

1. Melden Sie sich beim Azure Portal an.
2. Navigieren Sie zum Azure Database for PostgreSQL Flexible Server.
3. Wählen Sie im Server-Blade unter dem Abschnitt "Security" die Option "Networking" aus.
4. Lokalisieren Sie unter der Registerkarte "Firewall rules" den Schalter für "Allow public access from any Azure service within Azure to this server" und setzen Sie ihn auf "No".
5. Stellen Sie sicher, dass keine vorhandene Firewall-Regel Start- und End-IP-Adressen auf 0.0.0.0 gesetzt hat.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Verwandte Ressourcen

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security