Ensure that ARG_0 access from the Internet is evaluated and restricted
Γιατί Είναι Σημαντικό
Η παροχή απεριόριστης πρόσβασης στο διαδίκτυο σε πόρους του Azure εκθέτει το περιβάλλον σας σε μη εξουσιοδοτημένη σάρωση, εκμετάλλευση και απόπειρες εξαγωγής δεδομένων. Οι εισβολείς συστηματικά ελέγχουν για κακώς ρυθμισμένες ομάδες ασφαλείας δικτύου που επιτρέπουν εισερχόμενες συνδέσεις RDP, SSH ή άλλες επικίνδυνες θύρες από οποιαδήποτε πηγή. Χωρίς αξιολόγηση και περιορισμό των κανόνων που επιτρέπουν πρόσβαση από το διαδίκτυο, αυξάνετε σημαντικά την επιφάνεια επίθεσης και τον κίνδυνο παραβίασης.
Τι Ελέγχει το Aether365
Το Aether365 αξιολογεί κάθε ομάδα ασφαλείας δικτύου (NSG) για κανόνες που επιτρέπουν εισερχόμενη κίνηση από το διαδίκτυο (πηγή Any ή Internet) σε οποιαδήποτε θύρα ή σε συνήθως εκτεθειμένες θύρες. Αυτός ο έλεγχος εμφανίζεται στον πίνακα εργαλείων του Aether365 κάτω από το azure-network-security-groups και επισημαίνει μη συμμορφούμενες ρυθμίσεις για διορθωτικές ενέργειες.
Πώς να το Διορθώσετε
- Συνδεθείτε στην Azure Portal και μεταβείτε στις Network security groups.
- Επιλέξτε την NSG που σχετίζεται με τον επισημασμένο πόρο.
- Κάτω από το Settings, κάντε κλικ στο Inbound security rules.
- Εξετάστε κάθε κανόνα που έχει το
Sourceορισμένο σεAnyήInternetκαιActionσεAllow. - Προσδιορίστε ποιες θύρες και πρωτόκολλα είναι όντως απαραίτητα για τις επιχειρηματικές λειτουργίες (για παράδειγμα, HTTPS στη θύρα 443).
- Τροποποιήστε ή διαγράψτε υπερβολικά επιτρεπτικούς κανόνες ώστε να περιορίζονται οι διευθύνσεις προέλευσης σε συγκεκριμένες περιοχές IP ή χρησιμοποιήστε μια ετικέτα υπηρεσίας όπως
AzureLoadBalancerόπου κρίνεται κατάλληλο. - Εφαρμόστε κανόνες στο πιο περιοριστικό δυνατό εύρος (για παράδειγμα, αλλάξτε την προέλευση από
Anyσε μια καθορισμένη μπλοκ CIDR IP). - Επαναλάβετε για όλες τις NSG στη συνδρομή σας, ειδικά για εκείνες που είναι συνδεδεμένες σε υποδίκτυα ή εικονικές μηχανές με δημόσια πρόσβαση.
Συμμόρφωση
- CIS Microsoft Azure Foundations (Επίπεδο 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)