Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Por Que Isso é Importante
A configuração "Allow public access from any Azure service within Azure to this server" em servidores flexíveis do PostgreSQL cria uma regra de firewall ampla que aceita conexões de todos os recursos do Azure, incluindo aqueles fora da sua assinatura. Isso ignora a segmentação de rede e aumenta significativamente a superfície de ataque. Os administradores devem desabilitar essa configuração e, em vez disso, usar regras específicas de rede ou VNET para controlar o acesso.
O Que o Aether365 Verifica
O Aether365 verifica se a opção "Allow public access from any Azure service within Azure to this server" para servidores flexíveis do PostgreSQL está desabilitada. Essa verificação aparece no painel do Aether365 sob as verificações azure-postgresql-server.
Como Corrigir
- Faça login no Azure Portal.
- Navegue até o servidor flexível do Banco de Dados do Azure para PostgreSQL.
- Na lâmina do servidor, na seção "Security", selecione "Networking".
- Na guia "Firewall rules", localize a alternância para "Allow public access from any Azure service within Azure to this server" e defina-a como "No".
- Certifique-se de que nenhuma regra de firewall existente tenha os endereços IP inicial e final definidos como
0.0.0.0.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Nível 1)
- EIDSCA
- CISA
Recursos Relacionados
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks