Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Miksi tämä on tärkeää

"Allow public access from any Azure service within Azure to this server" -asetus PostgreSQL-flex-palvelimilla luo laajan palomuurisäännön, joka hyväksyy yhteyksiä kaikista Azure-resursseista, mukaan lukien tilauksesi ulkopuoliset resurssit. Tämä ohittaa verkon segmentoinnin ja kasvattaa merkittävästi hyökkäyspinta-alaa. Järjestelmänvalvojien tulisi poistaa tämä asetus käytöstä ja käyttää sen sijaan tarkkoja verkko- tai VNET-sääntöjä pääsyn hallintaan.

Mitä Aether365 tarkistaa

Aether365 varmistaa, että "Allow public access from any Azure service within Azure to this server" -vaihtoehto on poistettu käytöstä PostgreSQL-flex-palvelimilla. Tämä tarkistus näkyy Aether365-hallintapaneelissa kohdassa azure-postgresql-server: tarkistukset.

Korjaustoimenpiteet

1. Kirjaudu sisään Azure-portaaliin.
2. Siirry Azure Database for PostgreSQL -flex-palvelimeen.
3. Valitse palvelimen valikosta "Suojaus"-osion alta "Verkko".
4. Valitse "Palomuurisäännöt"-välilehdeltä "Allow public access from any Azure service within Azure to this server" -kytkin ja aseta se asentoon "Ei".
5. Varmista, ettei yhdelläkään olemassa olevalla palomuurisäännöllä ole alku- ja loppu-IP-osoitteita asetettuna arvoon 0.0.0.0.

Vaatimustenmukaisuus

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Aiheeseen liittyvät resurssit

• Azure Database for PostgreSQL -palomuurisäännöt
• PostgreSQL-palomuurisääntöjen hallinta CLI:n avulla
• Azure Security Benchmark: NS-1 Sisäisen liikenteen suojauksen toteuttaminen
• Azure Security Benchmark: NS-4 Sovellusten ja palveluiden suojaaminen ulkoisilta verkkohyökkäyksiltä

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security