Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Kodėl tai svarbu

Nustatymas "Allow public access from any Azure service within Azure to this server" PostgreSQL lanksčiuose serveriuose sukuria plačią ugniasienės taisyklę, priimančią jungtis iš visų Azure išteklių, įskaitant tuos, kurie yra už jūsų prenumeratos ribų. Tai apeina tinklo segmentavimą ir žymiai padidina atakos paviršių. Administratoriai turėtų išjungti šį nustatymą ir vietoj to naudoti konkrečias tinklo arba VNET taisykles, kad kontroliuotų prieigą.

Ką tikrina Aether365

Aether365 patikrina, ar parinktis "Allow public access from any Azure service within Azure to this server" PostgreSQL lanksčiuose serveriuose yra išjungta. Šis patikrinimas rodomas Aether365 prietaisų skydelyje po azure-postgresql-server patikrinimais.

Kaip ištaisyti

1. Prisijunkite prie "Azure Portal".
2. Eikite į "Azure Database for PostgreSQL flexible server".
3. Serverio skydelyje, po "Security" skyriumi, pasirinkite "Networking".
4. Po "Firewall rules" skirtuku raskite perjungiklį "Allow public access from any Azure service within Azure to this server" ir nustatykite jį į "No".
5. Įsitikinkite, kad nė viena esama ugniasienės taisyklė neturi pradžios ir pabaigos IP adresų, nustatytų į 0.0.0.0.

Atitiktis

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Susiję ištekliai

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security