Ensure that ARG_0 access from the Internet is evaluated and restricted

Kodėl tai svarbu

Neapribota interneto prieiga prie "Azure" išteklių atveria jūsų aplinką neteisėtam skenavimui, išnaudojimui ir duomenų nutekėjimo bandymams. Užpuolėjai nuolat tikrina, ar nėra neteisingai sukonfigūruotų tinklo saugos grupių, kurios leidžia įeiti per RDP, SSH ar kitus didelės rizikos prievadus iš bet kurio šaltinio. Neįvertinus ir neapribojus taisyklių, nukreiptų į internetą, padidinate atakų paviršių ir kompromiso riziką.

Ką tikrina "Aether365"

"Aether365" įvertina kiekvieną tinklo saugos grupę (NSG), ar nėra taisyklių, leidžiančių įeinantį srautą iš interneto (šaltinis Any arba Internet) į bet kurį prievadą ar dažniausiai atvirus prievadus. Šis patikrinimas rodomas jūsų "Aether365" skydelyje po azure-network-security-groups ir pažymi neatitinkančias konfigūracijas, kurias reikia ištaisyti.

Kaip ištaisyti

1. Prisijunkite prie "Azure" portalo ir eikite į Network security groups.
2. Pasirinkite NSG, susietą su pažymėtu ištekliumi.
3. Po Settings spustelėkite Inbound security rules.
4. Peržiūrėkite kiekvieną taisyklę, kurios Source nustatytas kaip Any arba Internet ir Action kaip Allow.
5. Nustatykite, kokie prievadai ir protokolai yra būtini verslo operacijoms (pavyzdžiui, HTTPS per 443 prievadą).
6. Pakeiskite arba pašalinkite per daug leidžiančias taisykles, kad apribotumėte šaltinių adresus konkrečiomis IP diapazonais arba, jei tinka, naudokite paslaugos žymą, pvz., AzureLoadBalancer.
7. Taikykite taisykles kiek įmanoma labiau apribotoje apimtyje (pavyzdžiui, pakeiskite šaltinį iš Any į apibrėžtą IP CIDR bloką).
8. Pakartokite visoms NSG jūsų prenumeratoje, ypač toms, kurios pritvirtintos prie viešųjų potinklių ar virtualiųjų mašinų.

Atitiktis

• CIS Microsoft Azure Foundations (Level 1)
• EIDSCA (Enterprise ID Security Compliance Assessment)

Susiję ištekliai

• "Azure" tinklo saugos grupių apžvalga

Microsoft references

• Security overview