Ensure that ARG_0 access from the Internet is evaluated and restricted
Dlaczego to ma znaczenie
Umożliwianie nieograniczonego dostępu do zasobów Azure z internetu naraża środowisko na nieautoryzowane skanowanie, eksploatację i próby kradzieży danych. Atakujący rutynowo skanują sieci w poszukiwaniu niepoprawnie skonfigurowanych sieciowych grup zabezpieczeń, które zezwalają na przychodzący ruch RDP, SSH lub inne porty wysokiego ryzyka z dowolnego źródła. Bez oceny i ograniczenia reguł dostępnych z internetu znacznie zwiększasz powierzchnię ataku i ryzyko naruszenia bezpieczeństwa.
Co sprawdza Aether365
Aether365 ocenia każdą sieciową grupę zabezpieczeń (NSG) pod kątem reguł zezwalających na ruch przychodzący z internetu (źródło Any lub Internet) na dowolny port lub powszechnie eksponowane porty. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 jako azure-network-security-groups i oznacza niezgodne konfiguracje do naprawy.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do sekcji Network security groups.
- Wybierz sieciową grupę zabezpieczeń powiązaną z oznaczonym zasobem.
- W sekcji Settings kliknij Inbound security rules.
- Przejrzyj każdą regułę, w której
Sourcejest ustawione naAnylubInternet, aActionnaAllow. - Zidentyfikuj, które porty i protokoły są faktycznie potrzebne do działania biznesowego (na przykład HTTPS na porcie 443).
- Zmodyfikuj lub usuń nadmiernie zezwalające reguły, aby ograniczyć adresy źródłowe do określonych zakresów IP lub użyj tagu usługi, takiego jak
AzureLoadBalancer, jeśli to właściwe. - Stosuj reguły w możliwie najbardziej restrykcyjnym zakresie (na przykład zmień źródło z
Anyna zdefiniowany blok CIDR IP). - Powtórz dla wszystkich sieciowych grup zabezpieczeń w subskrypcji, szczególnie tych przypisanych do podsieci lub maszyn wirtualnych dostępnych z internetu.
Zgodność
- CIS Microsoft Azure Foundations (Poziom 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)