Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

De ce este important

Setarea "Allow public access from any Azure service within Azure to this server" pe serverele flexibile PostgreSQL creează o regulă de firewall amplă care acceptă conexiuni de la toate resursele Azure, inclusiv de la cele din afara abonamentului dumneavoastră. Aceasta ocolește segmentarea rețelei și crește semnificativ suprafața de atac. Administratorii ar trebui să dezactiveze această setare și să utilizeze în schimb reguli specifice de rețea sau VNET pentru controlul accesului.

Ce verifică Aether365

Aether365 verifică dacă opțiunea "Allow public access from any Azure service within Azure to this server" pentru serverele flexibile PostgreSQL este dezactivată. Această verificare apare în tabloul de bord Aether365 la secțiunea de verificări azure-postgresql-server.

Cum se remediază

1. Conectați-vă la Azure Portal.
2. Navigați la serverul flexibil Azure Database for PostgreSQL.
3. Pe foaia serverului, sub secțiunea "Security", selectați "Networking".
4. Sub fila "Firewall rules", localizați comutatorul pentru "Allow public access from any Azure service within Azure to this server" și setați-l pe "No".
5. Asigurați-vă că nicio regulă de firewall existentă nu are adresele IP de început și sfârșit setate la 0.0.0.0.

Conformitate

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 Nivel 1
• EIDSCA
• CISA

Resurse conexe

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security