ARG_0 port open to all
Por Que Es Importante
Cuando un puerto queda abierto a todo el trafico de internet, se crea un punto de entrada sin restricciones que los atacantes pueden descubrir y explotar facilmente. Para los administradores de TI, esta es una de las configuraciones incorrectas mas comunes que lleva a filtraciones de datos, ataques de ransomware o acceso no autorizado a recursos internos de Azure. Al restringir el acceso a la red, reduce la superficie de ataque y aplica el principio de minimo privilegio.
Que Verifica Aether365
Aether365 verifica que ninguna regla del grupo de seguridad de red (NSG) permita trafico entrante desde cualquier origen (0.0.0.0/0 o *) en puertos especificos. Esta verificacion aparece en el panel de Aether365 bajo la categoria azure-network-security-groups.
Como Solucionarlo
- Abra Azure Portal y navegue hasta Virtual Networks, luego seleccione la red virtual especifica.
- Vaya a Network Security Groups y elija el NSG asociado a la subred o NIC afectada.
- Seleccione Inbound Security Rules en Settings.
- Identifique la regla que permite trafico desde Any o Internet en el puerto expuesto.
- Cambie el Source a una direccion IP o rango CIDR especifico, o configure el protocolo en Deny para esa regla.
- Alternativamente, elimine la regla y agregue una mas restrictiva que solo permita trafico desde rangos IP autorizados.
- Haga clic en Save para aplicar los cambios.
Cumplimiento
- CIS Microsoft Azure Foundations (version aplicable: segun se define en la politica de su organizacion)
- Consulte los controles de referencia CIS correspondientes para la seguridad de redes virtuales.