Ensure that ARG_0 access from the Internet is evaluated and restricted
De ce este important
Permiterea accesului nerestricționat la internet către resursele Azure expune mediul dumneavoastră la scanări neautorizate, exploatări și încercări de extragere a datelor. Atacatorii scanează în mod sistematic pentru grupuri de securitate a rețelei configurate greșit care permit RDP, SSH sau alte porturi cu risc ridicat din orice sursă. Fără a evalua și restricționa regulile care permit accesul din internet, creșteți semnificativ suprafața de atac și riscul de compromitere.
Ce verifică Aether365
Aether365 evaluează fiecare grup de securitate a rețelei (NSG) pentru reguli care permit traficul de intrare din Internet (sursa Any sau Internet) către orice port sau porturi frecvent expuse. Această verificare apare în tabloul de bord Aether365 sub azure-network-security-groups și semnalează configurațiile neconforme pentru remediere.
Cum să remediați
- Conectați-vă la Azure portal și navigați la Network security groups.
- Selectați NSG-ul asociat resursei semnalate.
- Sub Settings, faceți clic pe Inbound security rules.
- Examinați fiecare regulă care are
Sourcesetat laAnysauInternetșiActionsetat laAllow. - Identificați ce porturi și protocoale sunt cu adevărat necesare pentru operațiunile de afaceri (de exemplu, HTTPS pe portul 443).
- Modificați sau ștergeți regulile excesiv de permisive pentru a restricționa adresele sursă la intervale IP specifice sau utilizați un service tag precum
AzureLoadBalanceracolo unde este cazul. - Aplicați regulile la cel mai restrictiv domeniu posibil (de exemplu, schimbați sursa din
Anyîntr-un bloc CIDR IP definit). - Repetați pentru toate NSG-urile din abonamentul dumneavoastră, în special pentru cele atașate la subrețele sau mașini virtuale expuse public.
Conformitate
- CIS Microsoft Azure Foundations (Nivelul 1)
- EIDSCA (Enterprise ID Security Compliance Assessment)