ARG_0 port open to all
Чому це важливо
Коли порт залишається відкритим для всього інтернет-трафіку, це створює необмежену точку входу, яку зловмисники можуть легко виявити та використати. Для ІТ-адміністраторів це одна з найпоширеніших помилок конфігурації, що призводить до витоку даних, атак програм-вимагачів або несанкціонованого доступу до внутрішніх ресурсів Azure. Обмежуючи мережевий доступ, ви зменшуєте поверхню атаки та дотримуєтесь принципу найменших привілеїв.
Що перевіряє Aether365
Aether365 перевіряє, чи жодне правило групи безпеки мережі (NSG) не дозволяє вхідний трафік з будь-якого джерела (0.0.0.0/0 або *) на вказаних портах. Ця перевірка відображається в панелі Aether365 у категорії azure-network-security-groups.
Як виправити
- Відкрийте Azure portal і перейдіть до Virtual Networks, потім виберіть потрібну віртуальну мережу.
- Перейдіть до Network Security Groups і виберіть NSG, пов'язану з ураженою підмережею або мережевим інтерфейсом.
- Виберіть Inbound Security Rules у розділі Settings.
- Визначте правило, яке дозволяє трафік з Any або Internet на відкритий порт.
- Змініть Source на конкретну IP-адресу або діапазон CIDR, або встановіть для цього правила значення Deny.
- Як альтернативу, видаліть правило та додайте більш обмежувальне правило, яке дозволяє трафік лише з авторизованих IP-діапазонів.
- Натисніть Save, щоб застосувати зміни.
Відповідність вимогам
- CIS Microsoft Azure Foundations (застосовна версія: згідно з політикою вашої організації)
- Дивіться відповідні контрольні параметри CIS benchmark щодо безпеки віртуальних мереж.