Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Pourquoi c'est important

Le paramètre "Allow public access from any Azure service within Azure to this server" sur les serveurs flexibles PostgreSQL crée une règle de pare-feu large qui accepte les connexions de toutes les ressources Azure, y compris celles en dehors de votre abonnement. Cela contourne la segmentation du réseau et augmente considérablement la surface d'attaque. Les administrateurs doivent désactiver ce paramètre et utiliser plutôt des règles de réseau ou de VNET spécifiques pour contrôler l'accès.

Ce que vérifie Aether365

Aether365 vérifie que l'option "Allow public access from any Azure service within Azure to this server" pour les serveurs flexibles PostgreSQL est désactivée. Cette vérification apparaît dans le tableau de bord Aether365 sous les vérifications azure-postgresql-server.

Comment corriger

1. Connectez-vous au Azure Portal.
2. Accédez au serveur flexible Azure Database pour PostgreSQL.
3. Dans le panneau du serveur, sous la section "Security", sélectionnez "Networking".
4. Sous l'onglet "Firewall rules", localisez le bouton bascule pour "Allow public access from any Azure service within Azure to this server" et réglez-le sur "No".
5. Assurez-vous qu'aucune règle de pare-feu existante ne comporte d'adresses IP de début et de fin définies sur 0.0.0.0.

Conformité

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Ressources associées

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security