Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Miks see oluline on

Säte "Allow public access from any Azure service within Azure to this server" PostgreSQL paindlikel serveritel loob laia tulemüürireegli, mis lubab ühendusi kõigilt Azure'i ressurssidelt, sealhulgas ka neilt, mis ei kuulu teie tellimusse. See möödub võrgu segmenteerimisest ja suurendab oluliselt rünnakupinda. Adminid peaksid selle sätte keelama ja kasutama selle asemel konkreetseid võrgu- või VNET-reegleid juurdepääsu kontrollimiseks.

Mida Aether365 kontrollib

Aether365 kontrollib, kas valik "Allow public access from any Azure service within Azure to this server" on PostgreSQL paindlikel serveritel keelatud. See kontroll kuvatakse Aether365 juhtpaneelil jaotises azure-postgresql-server checks.

Kuidas parandada

1. Loginige Azure'i portaali.
2. Navigeerige Azure Database for PostgreSQL paindliku serveri juurde.
3. Serveri labal jaotises "Security" valige "Networking".
4. Vahekaardil "Firewall rules" leidke lüliti "Allow public access from any Azure service within Azure to this server" ja seadke see olekusse "No".
5. Veenduge, et ühelgi olemasoleval tulemüürireeglil poleks algus- ja lõpu-IP-aadressid seatud väärtusele 0.0.0.0.

Vastavus

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Seotud ressursid

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security