Ensure no Azure SQL Databases allow ingress from ARG_0
Miksi tämä on tärkeää
Azure SQL Serverin oletuspalomuuriasetukset sallivat minkä tahansa Azure-palvelun yhteydenoton, mikä käytännössä ohittaa verkkopääsyn hallintatoimenpiteet. Tämä tarkoittaa, että hyökkääjä voi luoda virtuaalikoneen missä tahansa Azure-tilauksessa tai -alueella ja aloittaa raa'an voiman hyökkäykset SQL-tietokantoihin. Rajoittamalla pääsyn tietyille IP-osoitealueille vähennät merkittävästi hyökkäyspinta-alaa ja suojaat tietosi luvattomalta käytöltä.
Mitä Aether365 tarkistaa
Aether365 varmistaa, etteivät Azure SQL Serverin palomuurisäännöt salli saapuvaa liikennettä miltään Azure-palvelulta (StartIp 0.0.0.0 ja EndIP 0.0.0.0) eivätkä koko internetistä (StartIp 0.0.0.0 ja EndIP 255.255.255.255). Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-azure-sql-firewall-kategoriassa.
Korjaaminen
- Kirjaudu Azure-portaaliin ja siirry SQL-palvelimen resurssiin.
- Valitse tietoturvaosiosta "Firewalls and virtual networks" (Palomuurit ja virtuaaliverkot).
- Aseta "Allow Azure services and resources to access this server" (Salli Azure-palveluiden ja -resurssien pääsy tälle palvelimelle) -valitsin "Off" (Pois päältä) -tilaan.
- Lisää yksityiskohtaisia palomuurisääntöjä, joissa on tarkat IP-osoitealueet vain niille palveluille, jotka tarvitsevat pääsyn.
- Jos haluat palauttaa yhteyden, luo mukautettuja sääntöjä yksittäisillä IP-osoitteilla tai määritetyillä alueilla luotetuista palvelinkeskuksista.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations: Suositeltu käytäntö verkkoturvallisuudelle
- Azure Security Benchmark: NS-2 Suojaa pilvipohjaiset palvelut verkkohallinnalla
Aiheeseen liittyvät resurssit
- Windows-palomuurin määrittäminen tietokantamoottorin käyttöä varten
- Azure SQL -tietokannan palomuurin määritys
- Azure SQL -verkkopääsyn hallintatoimenpiteiden yleiskatsaus