Ensure no Azure SQL Databases allow ingress from ARG_0
Por que Isso é Importante
A configuração padrão de firewall do Azure SQL Server permite que qualquer serviço do Azure se conecte, o que efetivamente ignora os controles de acesso à rede. Isso significa que um invasor malicioso pode criar uma máquina virtual em qualquer assinatura ou região do Azure e lançar ataques de força bruta contra seus bancos de dados SQL. Ao restringir o tráfego de entrada a intervalos de IP específicos, você reduz significativamente a superfície de ataque e protege seus dados contra acesso não autorizado.
O que o Aether365 Verifica
O Aether365 verifica se as regras de firewall do seu Azure SQL Server não permitem tráfego de entrada de qualquer serviço do Azure (StartIp de 0.0.0.0 e EndIP de 0.0.0.0) ou de toda a internet (StartIp de 0.0.0.0 e EndIP de 255.255.255.255). Esta verificação aparece no painel do Aether365 na categoria azure-azure-sql-firewall.
Como Corrigir
- Faça login no Azure Portal e navegue até o recurso do seu servidor SQL.
- Na seção de segurança, selecione "Firewalls and virtual networks."
- Altere a opção "Allow Azure services and resources to access this server" para "Off."
- Adicione regras de firewall específicas com intervalos de endereços IP granulares para apenas os serviços que precisam de acesso.
- Se precisar restaurar a conectividade, crie regras personalizadas com endereços IP individuais ou intervalos definidos de datacenters confiáveis.
Conformidade
- CIS Microsoft Azure Foundations: Prática recomendada para segurança de rede
- Azure Security Benchmark: NS-2 Secure cloud native services with network controls
Recursos Relacionados
- Configure a Windows Firewall for Database Engine Access
- Azure SQL Database Firewall Configuration
- Azure SQL Network Access Controls Overview