Ensure 'Allow public access from any Azure service within Azure to this server' for PostgreSQL flexible server is disabled
Чому це важливо
Параметр "Allow public access from any Azure service within Azure to this server" на гнучких серверах PostgreSQL створює широке правило брандмауера, яке приймає з'єднання від усіх ресурсів Azure, включно з тими, що знаходяться за межами вашої підписки. Це обходить сегментацію мережі та значно збільшує поверхню атаки. Адміністраторам слід вимкнути цей параметр і натомість використовувати конкретні правила для мережі або віртуальних мереж (VNET) для контролю доступу.
Що перевіряє Aether365
Aether365 перевіряє, чи вимкнено параметр "Allow public access from any Azure service within Azure to this server" для гнучких серверів PostgreSQL. Ця перевірка відображається на панелі Aether365 у розділі перевірок azure-postgresql-server.
Як виправити
- Увійдіть до Azure portal.
- Перейдіть до гнучкого сервера Azure Database for PostgreSQL.
- У колонці сервера в розділі "Security" оберіть "Networking".
- На вкладці "Firewall rules" знайдіть перемикач "Allow public access from any Azure service within Azure to this server" і встановіть його в положення "No".
- Переконайтеся, що жодне існуюче правило брандмауера не має початкової та кінцевої IP-адреси, встановленої на
0.0.0.0.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 5.2.5 (Level 1)
- EIDSCA
- CISA
Пов'язані ресурси
- Azure Database for PostgreSQL firewall rules
- Manage firewall rules for PostgreSQL using CLI
- Azure Security Benchmark: NS-1 Implement security for internal traffic
- Azure Security Benchmark: NS-4 Protect applications and services from external network attacks