Ensure that ARG_0 access from the Internet is evaluated and restricted
Zakaj je to pomembno
Dovoljevanje neomejenega internetnega dostopa do virov Azure ustvarja veliko napadalno površino. Napadalci lahko skenirajo odprta vrata in storitve, kar vodi do nepooblaščenega dostopa, kršitev podatkov ali ogrožanja virov. Skrbniki morajo omejiti dohodni internetni promet samo na tisto, kar je izrecno potrebno za poslovne operacije.
Kaj preverja Aether365
Aether365 preverja, ali so varnostne skupine omrežja ali pravila Azure Firewall konfigurirana za ovrednotenje in omejevanje dostopa iz interneta. To preverjanje se pojavi na nadzorni plošči Aether365 pod preverjanji azure-network-security-groups in označi vsa preveč permisivna pravila.
Kako odpraviti težavo
- Prijavite se v Azure Portal in pojdite na Virtual Networks.
- Izberite virtualno omrežje, povezano z vašimi viri.
- V razdelku Settings kliknite Network security groups in pregledajte vsak NSG.
- Za vsak NSG pojdite na Inbound security rules in poiščite pravilo, kjer je
Sourcenastavljen naAnyaliInternetinActionnaAllow. - Spremenite ali odstranite ta pravila, da omejite dostop samo na zaupanja vredne IP obsege ali uporabite Azure Firewall za natančnejši nadzor.
- Druga možnost je uporaba Azure Policy za uveljavljanje zavrnitve preveč permisivnih pravil NSG.
Skladnost
- CIS Microsoft Azure Foundations (Level 1) – Section 6.x (Network Security)
- EIDSCA (Enterprise ID Security Compliance Assessment)
- Smernice CISA (Cybersecurity and Infrastructure Security Agency)
Povezani viri
- Microsoft Learn: Virtual network security overview