Ensure that ARG_0 access from the Internet is evaluated and restricted
Чому це важливо
Надання необмеженого доступу до ресурсів Azure через інтернет створює значну поверхню атак. Зловмисники можуть сканувати відкриті порти та служби, що призводить до несанкціонованого доступу, витоку даних або компрометації ресурсів. Адміністратори повинні обмежити вхідний інтернет-трафік лише тим, що явно необхідно для бізнес-операцій.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовані групи безпеки мережі або правила Azure Firewall для оцінки та обмеження доступу з інтернету. Ця перевірка відображається в інформаційній панелі Aether365 у розділі azure-network-security-groups і позначає будь-які надто дозвільні правила.
Як виправити
- Увійдіть до Azure Portal і перейдіть до Virtual Networks.
- Виберіть віртуальну мережу, пов'язану з вашими ресурсами.
- У розділі Settings натисніть Network security groups та перегляньте кожну NSG.
- Для кожної NSG перейдіть до Inbound security rules та знайдіть правило, де
Sourceвстановлено якAnyабоInternet, аActionвстановлено якAllow. - Змініть або видаліть ці правила, щоб обмежити доступ лише довіреним діапазонам IP або використовуйте Azure Firewall для детального контролю.
- Як альтернативу, використовуйте Azure Policy, щоб заборонити надто дозвільні правила NSG.
Відповідність
- CIS Microsoft Azure Foundations (рівень 1) – Розділ 6.x (Безпека мережі)
- EIDSCA (Enterprise ID Security Compliance Assessment)
- Рекомендації CISA (Cybersecurity and Infrastructure Security Agency)
Пов'язані ресурси
- Microsoft Learn: Огляд безпеки віртуальної мережі