Ensure that ARG_0 access from the Internet is evaluated and restricted
Bunun Önemi
Azure kaynaklarına sınırsız internet erişimine izin vermek, ortamınızı yetkisiz taramalara, sömürülme girişimlerine ve veri sızdırma denemelerine maruz bırakır. Saldırganlar, herhangi bir kaynaktan gelen gelen RDP, SSH veya diğer yüksek riskli bağlantı noktalarına izin veren yanlış yapılandırılmış ağ güvenlik gruplarını rutin olarak tarar. İnternete yönelik kuralları değerlendirip kısıtlamazsanız, saldırı yüzeyini ve tehlikeye girme riskini önemli ölçüde artırırsınız.
Aether365'in Kontrol Ettiği Şeyler
Aether365, her bir ağ güvenlik grubunu (NSG), internetten (Any veya Internet kaynağı) herhangi bir bağlantı noktasına veya yaygın olarak açıkta olan bağlantı noktalarına gelen trafiğe izin veren kurallar açısından değerlendirir. Bu kontrol, Aether365 panonuzda azure-network-security-groups altında görünür ve uyumsuz yapılandırmaları düzeltme için işaretler.
Nasıl Düzeltilir
- Azure Portal'da oturum açın ve Network security groups bölümüne gidin.
- İşaretlenen kaynakla ilişkili NSG'yi seçin.
- Settings altında, Inbound security rules üzerine tıklayın.
SourcedeğeriAnyveyaInternetolan veActiondeğeriAllowolan her kuralı gözden geçirin.- İş operasyonları için gerçekten hangi bağlantı noktalarına ve protokollere ihtiyaç duyulduğunu belirleyin (örneğin, 443 numaralı bağlantı noktasında HTTPS).
- Kaynak adreslerini belirli IP aralıklarıyla kısıtlamak veya uygun olduğunda
AzureLoadBalancergibi bir hizmet etiketi kullanmak için aşırı izin verici kuralları değiştirin veya silin. - Kuralları mümkün olan en kısıtlayıcı kapsamda uygulayın (örneğin, kaynağı
Anyyerine tanımlı bir IP CIDR bloğu olarak değiştirin). - Aboneliğinizdeki tüm NSG'ler için, özellikle de genel yüzlü alt ağlara veya sanal makinelere bağlı olanlar için işlemi tekrarlayın.
Uyumluluk
- CIS Microsoft Azure Foundations (Seviye 1)
- EIDSCA (Kurumsal Kimlik Güvenliği Uyumluluk Değerlendirmesi)