Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Prečo je to dôležité
Nastavenie „Allow public access from any Azure service within Azure to this server“ na PostgreSQL flexible serveroch vytvára široké pravidlo brány firewall, ktoré prijíma pripojenia zo všetkých zdrojov Azure vrátane tých mimo vášho predplatného. To obchádza segmentáciu siete a výrazne zvyšuje plochu útoku. Správcovia by mali toto nastavenie zakázať a namiesto neho používať špecifické sieťové pravidlá alebo pravidlá pre virtuálne siete.
Čo kontroluje Aether365
Aether365 overuje, či je možnosť „Allow public access from any Azure service within Azure to this server“ pre PostgreSQL flexible servery zakázaná. Táto kontrola sa zobrazuje v paneli Aether365 v sekcii azure-postgresql-server checks.
Ako to opraviť
- Prihláste sa do Azure Portal.
- Prejdite na Azure Database for PostgreSQL flexible server.
- V časti servera v sekcii „Security“ vyberte „Networking“.
- Na karte „Firewall rules“ nájdite prepínač „Allow public access from any Azure service within Azure to this server“ a nastavte ho na „No“.
- Skontrolujte, či žiadne existujúce pravidlo brány firewall nemá počiatočnú a koncovú IP adresu nastavenú na
0.0.0.0.
Súlad s normami
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Súvisiace zdroje
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks