Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Perché è Importante

L'impostazione "Allow public access from any Azure service within Azure to this server" sui server flessibili PostgreSQL crea una regola firewall ampia che accetta connessioni da tutte le risorse Azure, incluse quelle esterne alla tua sottoscrizione. Questo bypassa la segmentazione di rete e aumenta significativamente la superficie di attacco. Gli amministratori dovrebbero disabilitare questa impostazione e utilizzare invece regole di rete specifiche o VNET per controllare l'accesso.

Cosa Controlla Aether365

Aether365 verifica che l'opzione "Allow public access from any Azure service within Azure to this server" per i server flessibili PostgreSQL sia disabilitata. Questo controllo appare nel dashboard di Aether365 sotto i controlli azure-postgresql-server.

Come Risolvere

1. Accedi al portale Azure.
2. Vai al server flessibile di Database di Azure per PostgreSQL.
3. Nel pannello del server, sotto la sezione "Security", seleziona "Networking".
4. Nella scheda "Firewall rules", individua l'interruttore per "Allow public access from any Azure service within Azure to this server" e impostalo su "No".
5. Verifica che nessuna regola firewall esistente abbia gli indirizzi IP di inizio e fine impostati su 0.0.0.0.

Conformità

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Livello 1)
• EIDSCA
• CISA

Risorse Correlate

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security