ARG_0 port open to all

Prečo je to dôležité

Keď je port ponechaný otvorený pre všetku internetovú prevádzku, vytvára neobmedzený vstupný bod, ktorý útočníci môžu ľahko objaviť a zneužiť. Pre IT administrátorov je to jedna z najčastejších nesprávnych konfigurácií vedúcich k únikom údajov, ransomvérovým útokom alebo neoprávnenému prístupu k interným zdrojom Azure. Obmedzením sieťového prístupu znižujete útočnú plochu a presadzujete princíp najnižších privilégií.

Čo Aether365 kontroluje

Aether365 overuje, že žiadne pravidlo skupiny sieťovej bezpečnosti (NSG) nepovoľuje prichádzajúcu prevádzku z ľubovoľného zdroja (0.0.0.0/0 alebo *) na určených portoch. Táto kontrola sa zobrazuje v dashboarde Aether365 v kategórii azure-network-security-groups.

Ako to opraviť

1. Otvorte Azure Portal a prejdite na Virtual Networks, potom vyberte konkrétnu virtuálnu sieť.
2. Prejdite na Network Security Groups a vyberte NSG priradenú k dotknutej podsieti alebo NIC.
3. V časti Settings vyberte Inbound Security Rules.
4. Identifikujte pravidlo, ktoré povoľuje prevádzku z Any alebo Internet na vystavenom porte.
5. Zmeňte Source na konkrétnu IP adresu alebo rozsah CIDR, alebo nastavte protokol na Deny pre toto pravidlo.
6. Prípadne pravidlo odstráňte a pridajte reštriktívnejšie pravidlo, ktoré povoľuje prevádzku len z autorizovaných IP rozsahov.
7. Kliknite na Save pre uloženie zmien.

Compliance

• CIS Microsoft Azure Foundations (príslušná verzia: podľa politiky vašej organizácie)
• Pozrite príslušné kontroly CIS benchmark pre bezpečnosť virtuálnych sietí.

Súvisiace zdroje

• Prehľad skupín sieťovej bezpečnosti Azure

Microsoft references

• Security overview