ARG_0 port open to all
Miksi tämä on tärkeää
Kun portti on jätetty avoimeksi kaikelle internet-liikenteelle, se luo rajoittamattoman sisäänkäyntipisteen, jonka hyökkääjät voivat helposti löytää ja hyödyntää. IT-järjestelmänvalvojille tämä on yksi yleisimmistä virheellisistä kokoonpanoista, jotka johtavat tietomurtoihin, kiristysohjelmahyökkäyksiin tai luvattomaan pääsyyn sisäisiin Azure-resursseihin. Rajoittamalla verkkopääsyä pienennät hyökkäyspinta-alaa ja noudatat vähimmän käyttöoikeuden periaatetta.
Mitä Aether365 tarkistaa
Aether365 varmistaa, ettei mikään verkon suojausryhmän (NSG) sääntö salli saapuvaa liikennettä mistään lähteestä (0.0.0.0/0 tai *) määritetyillä porteilla. Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-network-security-groups-kategoriassa.
Korjausohjeet
- Avaa Azure Portal ja siirry Virtual Networks-kohtaan, valitse sitten tietty virtuaaliverkko.
- Siirry Network Security Groups-kohtaan ja valitse NSG, joka liittyy vahingoittuneeseen aliverkkoon tai verkkokorttiin.
- Valitse Inbound Security Rules kohdasta Settings.
- Tunnista sääntö, joka sallii liikenteen Any- tai Internet-lähteestä paljastetulla portilla.
- Vaihda Source-tiettyyn IP-osoitteeseen tai CIDR-osoitealueeseen tai aseta protokollaksi Deny kyseiselle säännölle.
- Vaihtoehtoisesti poista sääntö ja lisää rajoittavampi sääntö, joka sallii liikenteen vain valtuutetuilta IP-osoitealueilta.
- Paina Save tallentaaksesi muutokset.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations (sovellettava versio: organisaatiosi käytännön määrittämällä tavalla)
- Katso asiaankuuluvat CIS-vertailukohteiden hallintatoimet virtuaaliverkon turvallisuudesta.