azure - SQL漏洞评估中出现 "VA2065 - Server-level firewall rules"怎么办？

Question

进行 SQL 漏洞评估时，警告之一是“VA2065 - 应在严格的最低限度内跟踪和维护服务器级防火墙规则”。

然后是红色的防火墙规则列表，旁边有 IP 地址(通常只有一个数字，但有时是一个范围)。

我正在尝试理解这些规则和评估。我认为这些是我们允许访问服务器的 IP 地址。例如，当我从 SSMS 访问相关服务器上的数据库时，我偶尔会收到一条错误消息，提示我必须将 IP 添加到防火墙规则中。所以我说是的。我看到一些名称如“ClientIPAddress_2019-05-21_01:24:15”的规则可能就是这个结果。

我还看到一些奇怪的规则，例如 IP 范围为 0.0.0.0 到 0.0.0.0 的“AllowAllWindowsAzureIps”。这是怎么回事？我的猜测是允许任何 Azure 进程访问服务器，但我不知道。

假设我的分析是正确的，并且所有规则都正确，那么需要采取什么补救措施？将当前规则设置为基线并在创建新规则时发出警报？或者禁止任何自动规则创建？

任何指导将不胜感激。

“允许所有WindowsAzureIps”

Answer 1

我并不是说这是正确的答案，但由于已经过去 2 年多了，而且没有人回答，所以我会尝试一下。

这就是我们处理/修复此问题的方式。您可以将规则添加到基线(说它应该在这里)，或者删除规则(说它不应该在这里)。将此扫描视为这些规则存在的提醒，并在不需要时将其清除。您所有的 ClientIp 规则。基线是预期的。

如果您将其视为一个有与会者列表的聚会，这可能会有所帮助。您的派对名单上有 2 位客人:玛莎(您的妈妈)和杰夫(您妈妈的特别 friend )。如果你参加你的聚会并看到那里有 3 个人，你就知道有些事情不对劲，除了它是对的，因为你忘记了你告诉萨曼莎(你性感的表弟)她可以来。所以你将她添加到列表中。现在，您的派对顾问认为一切正常，因为名单上有 3 个名字，并且派对中有 3 个人。

但是你稍后回来，现在聚会上有 4 个人。查德(萨曼莎的男朋友)出现了!你的政党管理员知道查德必须离开，因为他不在名单上。他参加聚会是因为萨曼莎让他进来的。但这不是萨曼莎的聚会，她不应该这样做。

好在我们有这个列表，它告诉我们谁实际上应该参加聚会，否则我们将无法与萨曼莎独处。