Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Kāpēc tas ir svarīgi
Iestatījums "Allow public access from any Azure service within Azure to this server" PostgreSQL elastīgajos serveros izveido plašu ugunsmūra noteikumu, kas pieņem savienojumus no visiem Azure resursiem, tostarp no tiem, kas atrodas ārpus jūsu abonementa. Tas apiet tīkla segmentēšanu un ievērojami palielina uzbrukumu virsmu. Administratoriem vajadzētu atspējot šo iestatījumu un tā vietā izmantot īpašus tīkla vai VNET noteikumus, lai kontrolētu piekļuvi.
Ko pārbauda Aether365
Aether365 pārbauda, vai PostgreSQL elastīgajiem serveriem ir atspējota opcija "Allow public access from any Azure service within Azure to this server". Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā azure-postgresql-server pārbaudes.
Kā to labot
- Pierakstieties Azure portal.
- Dodieties uz Azure Database for PostgreSQL elastīgo serveri.
- Servera lapā sadaļā "Security" atlasiet "Networking".
- Cilnē "Firewall rules" atrodiet slēdzi "Allow public access from any Azure service within Azure to this server" un iestatiet to uz "No".
- Pārliecinieties, ka nevienam esošajam ugunsmūra noteikumam sākuma un beigu IP adreses nav iestatītas uz
0.0.0.0.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (1. līmenis)
- EIDSCA
- CISA
Saistītie resursi
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks