Ensure no Azure SQL Databases allow ingress from ARG_0
Por qué es importante
La configuración predeterminada del firewall de Azure SQL Server permite que cualquier servicio de Azure se conecte, lo que en la práctica anula los controles de acceso a la red. Esto significa que un atacante malintencionado podría crear una máquina virtual en cualquier suscripción o región de Azure y lanzar ataques de fuerza bruta contra sus bases de datos SQL. Al restringir el tráfico entrante a rangos de IP específicos, reduce significativamente la superficie de ataque y protege sus datos contra accesos no autorizados.
Qué verifica Aether365
Aether365 verifica que las reglas del firewall de Azure SQL Server no permitan tráfico entrante desde ningún servicio de Azure (StartIp de 0.0.0.0 y EndIP de 0.0.0.0) ni desde todo internet (StartIp de 0.0.0.0 y EndIP de 255.255.255.255). Esta verificación aparece en el panel de Aether365 bajo la categoría azure-azure-sql-firewall.
Cómo solucionarlo
- Inicie sesión en Azure portal y navegue hasta el recurso de su servidor SQL.
- En la sección de seguridad, seleccione "Firewalls and virtual networks".
- Desactive la opción "Allow Azure services and resources to access this server" colocándola en "Off".
- Agregue reglas de firewall específicas con rangos de direcciones IP detallados solo para los servicios que requieran acceso.
- Si necesita restablecer la conectividad, cree reglas personalizadas con direcciones IP individuales o rangos definidos desde centros de datos de confianza.
Cumplimiento normativo
- CIS Microsoft Azure Foundations: Práctica recomendada para seguridad de redes
- Azure Security Benchmark: NS-2 Proteger servicios nativos en la nube con controles de red
Recursos relacionados
- Configure a Windows Firewall for Database Engine Access
- Azure SQL Database Firewall Configuration
- Azure SQL Network Access Controls Overview