Ensure no Azure SQL Databases allow ingress from ARG_0
Zakaj je to pomembno
Privzeta konfiguracija požarnega zidu Azure SQL Server omogoča povezavo kateri koli storitvi Azure, kar dejansko zaobide kontrole dostopa do omrežja. To pomeni, da lahko zlonamerni napadalec ustvari virtualni stroj v kateri koli naročnini ali regiji Azure in začne napade z grobo silo na vaše baze SQL. Z omejitvijo vhodnega prometa na določene IP razpone znatno zmanjšate površino napada in zaščitite svoje podatke pred nepooblaščenim dostopom.
Kaj Aether365 preverja
Aether365 preverja, ali pravila požarnega zidu vašega Azure SQL Server ne dovoljujejo vhodnega prometa iz katere koli storitve Azure (StartIp 0.0.0.0 in EndIP 0.0.0.0) ali iz celotnega interneta (StartIp 0.0.0.0 in EndIP 255.255.255.255). To preverjanje se prikaže na nadzorni plošči Aether365 v kategoriji azure-azure-sql-firewall.
Kako popraviti
- Prijavite se v Azure portal in poiščite svoj vir SQL strežnika.
- V razdelku za varnost izberite "Firewalls and virtual networks."
- Preklopnik "Allow Azure services and resources to access this server" nastavite na "Off."
- Dodajte specifična pravila požarnega zidu z natančnimi IP razponi samo za storitve, ki potrebujejo dostop.
- Če morate obnoviti povezljivost, ustvarite lastna pravila s posameznimi IP naslovi ali določenimi razponi iz zaupanja vrednih podatkovnih centrov.
Skladnost
- CIS Microsoft Azure Foundations: Priporočena najboljša praksa za varnost omrežja
- Azure Security Benchmark: NS-2 Zavarujte izvorne oblačne storitve z omrežnimi kontrolami
Povezani viri
- Configure a Windows Firewall for Database Engine Access
- Azure SQL Database Firewall Configuration
- Azure SQL Network Access Controls Overview