ARG_0 port open to all
Hvorfor dette er viktig
Når en port er åpen for all internettrafikk, skapes det et uhindret inngangspunkt som angripere enkelt kan oppdage og utnytte. For IT-administratorer er dette en av de vanligste feilkonfigurasjonene som fører til datalekkasjer, løsepengeangrep eller uautorisert tilgang til interne Azure-ressurser. Ved å begrense nettilgang reduserer du angrepsoverflaten og håndhever prinsippet om minste privilegium.
Hva Aether365 sjekker
Aether365 verifiserer at ingen nettverkssikkerhetsgruppe (NSG) tillater innkommende trafikk fra en hvilken som helst kilde (0.0.0.0/0 eller *) på spesifiserte porter. Denne kontrollen vises i Aether365-dashbordet under kategorien "azure-network-security-groups".
Slik fikser du det
- Åpne Azure Portal og naviger til Virtual Networks, og velg deretter det aktuelle virtuelle nettverket.
- Gå til Network Security Groups og velg NSG som er knyttet til det berørte undernettet eller nettverkskortet (NIC).
- Velg Inbound Security Rules under Settings.
- Identifiser regelen som tillater trafikk fra Any eller Internet på den eksponerte porten.
- Endre Source til en spesifikk IP-adresse eller CIDR-område, eller sett protokollen til Deny for den regelen.
- Alternativt kan du fjerne regelen og legge til en mer restriktiv regel som kun tillater trafikk fra autoriserte IP-områder.
- Klikk Save for å bruke endringene.
Overholdelse
- CIS Microsoft Azure Foundations (gjeldende versjon: som definert i organisasjonens policy)
- Se relevante CIS benchmark-kontroller for virtuell nettverkssikkerhet.