Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled

Varför detta är viktigt

Inställningen "Allow public access from any Azure service within Azure to this server" på PostgreSQL-flexibla servrar skapar en bred brandväggsregel som accepterar anslutningar från alla Azure-resurser, även de utanför din prenumeration. Detta kringgår nätverkssegmentering och ökar avsevärt attackytan. Administratörer bör inaktivera denna inställning och istället använda specifika nätverks- eller VNET-regler för att kontrollera åtkomsten.

Vad Aether365 kontrollerar

Aether365 verifierar att alternativet "Allow public access from any Azure service within Azure to this server" för PostgreSQL-flexibla servrar är inaktiverat. Denna kontroll visas i Aether365-instrumentpanelen under azure-postgresql-server-kontroller.

Så här åtgärdar du

1. Logga in på Azure Portal.
2. Navigera till Azure Database for PostgreSQL-flexibel server.
3. I serverbladet, under avsnittet "Security", väljer du "Networking".
4. Under fliken "Firewall rules" letar du reda på reglaget för "Allow public access from any Azure service within Azure to this server" och ställer in det på "No".
5. Se till att ingen befintlig brandväggsregel har start- och slut-IP-adresser inställda på 0.0.0.0.

Regelefterlevnad

• CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
• EIDSCA
• CISA

Relaterade resurser

• Azure Database for PostgreSQL firewall rules
• Manage firewall rules for PostgreSQL using CLI
• Azure Security Benchmark: NS-1 Implement security for internal traffic
• Azure Security Benchmark: NS-4 Protect applications and services from external network attacks

Microsoft references

• Concepts firewall rules
• Howto manage firewall using cli
• Security controls v2 network security
• Security controls v2 network security