Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Γιατί Έχει Σημασία
Η ρύθμιση "Allow public access from any Azure service within Azure to this server" σε ευέλικτους διακομιστές PostgreSQL δημιουργεί έναν ευρύ κανόνα τείχους προστασίας που δέχεται συνδέσεις από όλους τους πόρους Azure, συμπεριλαμβανομένων αυτών εκτός της συνδρομής σας. Αυτό παρακάμπτει την τμηματοποίηση δικτύου και αυξάνει σημαντικά την επιφάνεια επίθεσης. Οι διαχειριστές θα πρέπει να απενεργοποιούν αυτή τη ρύθμιση και να χρησιμοποιούν αντί αυτής συγκεκριμένους κανόνες δικτύου ή VNET για τον έλεγχο της πρόσβασης.
Τι Ελέγχει το Aether365
Το Aether365 επιβεβαιώνει ότι η επιλογή "Allow public access from any Azure service within Azure to this server" για ευέλικτους διακομιστές PostgreSQL είναι απενεργοποιημένη. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 στην ενότητα ελέγχων azure-postgresql-server.
Πώς να το Διορθώσετε
- Συνδεθείτε στην Azure Portal.
- Μεταβείτε στην υπηρεσία Azure Database for PostgreSQL flexible server.
- Στο φύλλο του διακομιστή, στην ενότητα "Security", επιλέξτε "Networking".
- Στην καρτέλα "Firewall rules", εντοπίστε το διακόπτη "Allow public access from any Azure service within Azure to this server" και θέστε τον σε "No".
- Βεβαιωθείτε ότι κανένας υπάρχων κανόνας τείχους προστασίας δεν έχει IP έναρξης και λήξης ορισμένες σε
0.0.0.0.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Επίπεδο 1)
- EIDSCA
- CISA
Σχετικοί Πόροι
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks