Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Zakaj je to pomembno
Nastavitev "Allow public access from any Azure service within Azure to this server" na PostgreSQL prilagodljivih strežnikih ustvarja široko pravilo požarnega zidu, ki sprejema povezave iz vseh Azure virov, vključno s tistimi izven vaše naročnine. To zaobide segmentacijo omrežja in znatno poveča površino za napade. Skrbniki morajo onemogočiti to nastavitev in namesto nje uporabiti specifična omrežna pravila ali pravila VNET za nadzor dostopa.
Kaj preverja Aether365
Aether365 preverja, ali je možnost "Allow public access from any Azure service within Azure to this server" za PostgreSQL prilagodljive strežnike onemogočena. To preverjanje se pojavi v nadzorni plošči Aether365 pod azure-postgresql-server preverjanji.
Kako popraviti
- Prijavite se v Azure portal.
- Pomaknite se do Azure Database for PostgreSQL prilagodljivega strežnika.
- V rezilu strežnika pod "Security" izberite "Networking".
- Pod zavihkom "Firewall rules" poiščite stikalo za "Allow public access from any Azure service within Azure to this server" in ga nastavite na "No".
- Prepričajte se, da nobeno obstoječe pravilo požarnega zidu nima začetnega in končnega IP naslova nastavljenega na
0.0.0.0.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Povezani viri
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks