Ensure that ARG_0 access from the Internet is evaluated and restricted
Pourquoi c'est important
Autoriser un accès Internet illimité à vos ressources Azure expose votre environnement à des tentatives de balayage, d’exploitation et d’exfiltration de données non autorisées. Les attaquants sondent régulièrement les groupes de sécurité réseau mal configurés qui permettent le RDP, le SSH ou d’autres ports à haut risque entrants depuis n’importe quelle source. Sans évaluer et restreindre les règles exposées à Internet, vous augmentez considérablement la surface d’attaque et le risque de compromission.
Ce que Aether365 vérifie
Aether365 évalue chaque groupe de sécurité réseau (NSG) pour détecter les règles qui autorisent le trafic entrant depuis Internet (source Any ou Internet) vers n’importe quel port ou des ports couramment exposés. Cette vérification apparaît dans votre tableau de bord Aether365 sous azure-network-security-groups et signale les configurations non conformes à corriger.
Comment corriger
- Connectez-vous au portail Azure et accédez à Network security groups.
- Sélectionnez le GNS associé à la ressource signalée.
- Sous Settings, cliquez sur Inbound security rules.
- Examinez chaque règle dont
Sourceest défini surAnyouInternetetActionsurAllow. - Identifiez les ports et protocoles réellement nécessaires aux opérations métier (par exemple, HTTPS sur le port 443).
- Modifiez ou supprimez les règles trop permissives pour restreindre les adresses sources à des plages IP spécifiques ou utilisez une étiquette de service comme
AzureLoadBalancerle cas échéant. - Appliquez les règles à la portée la plus restrictive possible (par exemple, modifiez la source de
Anyen un bloc CIDR IP défini). - Répétez l’opération pour tous les GNS de votre abonnement, en particulier ceux attachés à des sous-réseaux ou machines virtuelles exposés au public.
Conformité
- CIS Microsoft Azure Foundations (niveau 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)