ARG_0 port open to all

Zakaj je to pomembno

Ko so vrata odprta za ves internetni promet, to ustvari neomejeno vstopno točko, ki jo lahko napadalci zlahka odkrijejo in izkoristijo. Za IT skrbnike je to ena najpogostejših napačnih konfiguracij, ki vodi do kraje podatkov, napadov z izsiljevalsko programsko opremo ali nepooblaščenega dostopa do notranjih virov Azure. Z omejitvijo omrežnega dostopa zmanjšate napadalno površino in uveljavite načelo najmanjših privilegijev.

Kaj preverja Aether365

Aether365 preverja, ali nobeno pravilo skupine za omrežno varnost (NSG) ne dovoljuje dohodnega prometa iz katerega koli vira (0.0.0.0/0 ali *) na določenih vratih. To preverjanje se pojavi na nadzorni plošči Aether365 pod kategorijo azure-network-security-groups.

Kako odpraviti težavo

1. Odprite Azure Portal in pojdite na Virtual Networks, nato izberite določeno virtualno omrežje.
2. Pojdite na Network Security Groups in izberite NSG, povezan s prizadeto podomrežje ali vmesnikom NIC.
3. Pod Settings izberite Inbound Security Rules.
4. Prepoznajte pravilo, ki dovoljuje promet iz Any ali Internet na izpostavljenih vratih.
5. Spremenite Source v določen IP naslov ali obseg CIDR ali nastavite protokol na Deny za to pravilo.
6. Druga možnost: odstranite pravilo in dodajte bolj omejevalno pravilo, ki dovoljuje promet samo iz pooblaščenih IP obsegov.
7. Kliknite Save, da uveljavite spremembe.

Skladnost s predpisi

• CIS Microsoft Azure Foundations (veljavna različica: v skladu s politiko vaše organizacije)
• Glejte ustrezne kontrole CIS benchmark za varnost virtualnih omrežij.

Povezani viri

• Pregled skupin za omrežno varnost Azure

Microsoft references

• Security overview