Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Miért fontos ez
A "Allow public access from any Azure service within Azure to this server" beállítás a PostgreSQL rugalmas kiszolgálókon olyan tűzfalszabályt hoz létre, amely az összes Azure-erőforrásból – beleértve az előfizetésén kívülieket is – engedélyezi a kapcsolódást. Ez megkerüli a hálózati szegmentálást és jelentősen növeli a támadási felületet. A rendszergazdáknak le kell tiltaniuk ezt a beállítást, és helyette specifikus hálózati vagy VNET-szabályokat kell használniuk a hozzáférés szabályozásához.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a "Allow public access from any Azure service within Azure to this server" opció le van-e tiltva a PostgreSQL rugalmas kiszolgálókon. Ez az ellenőrzés az Aether365 irányítópultján az azure-postgresql-server ellenőrzések között jelenik meg.
Javítás menete
- Jelentkezzen be az Azure Portalra.
- Navigáljon az Azure Database for PostgreSQL rugalmas kiszolgálóhoz.
- A kiszolgáló panelen, a "Security" szakaszban válassza a "Networking" lehetőséget.
- A "Firewall rules" lapon keresse meg a "Allow public access from any Azure service within Azure to this server" kapcsolót, és állítsa "No" értékre.
- Győződjön meg arról, hogy egyetlen meglévő tűzfalszabály sem tartalmaz kezdő és záró IP-címként
0.0.0.0értéket.
Megfelelőség
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Kapcsolódó erőforrások
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks