Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Dlaczego to jest ważne
Ustawienie "Allow public access from any Azure service within Azure to this server" na serwerach elastycznych PostgreSQL tworzy szeroką regułę zapory, która akceptuje połączenia ze wszystkich zasobów platformy Azure, w tym spoza Twojej subskrypcji. Obejmuje to segmentację sieci i znacząco zwiększa powierzchnię ataku. Administratorzy powinni wyłączyć to ustawienie i zamiast tego używać konkretnych reguł sieciowych lub sieci VNET w celu kontrolowania dostępu.
Co sprawdza Aether365
Aether365 weryfikuje, czy opcja "Allow public access from any Azure service within Azure to this server" dla serwerów elastycznych PostgreSQL jest wyłączona. To sprawdzenie pojawia się w panelu Aether365 w sekcji azure-postgresql-server checks.
Jak naprawić
- Zaloguj się do portalu Azure Portal.
- Przejdź do elastycznego serwera Azure Database for PostgreSQL.
- W bloku serwera, w sekcji "Security", wybierz "Networking".
- W zakładce "Firewall rules" znajdź przełącznik "Allow public access from any Azure service within Azure to this server" i ustaw go na "No".
- Upewnij się, że żadna istniejąca reguła zapory nie ma początkowych i końcowych adresów IP ustawionych na
0.0.0.0.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Poziom 1)
- EIDSCA
- CISA
Powiązane zasoby
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks