توصيات تأمين الشبكة

مقالة
09/06/2024

تسرد هذه المقالة جميع توصيات أمان الشبكات التي قد تراها في Microsoft Defender for Cloud.

تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص.

للتعرف على الإجراءات التي يمكنك اتخاذها استجابة لهذه التوصيات، راجع معالجة التوصيات في Defender for Cloud.

تلميح

إذا كان وصف التوصية يقول لا توجد سياسة ذات صلة، عادة ما يكون ذلك لأن هذه التوصية تعتمد على توصية مختلفة.

على سبيل المثال، يجب معالجة حالات فشل حماية نقطة النهاية التوصية يعتمد على التوصية التي تتحقق من تثبيت حل حماية نقطة النهاية (يجب تثبيت حل حماية نقطة النهاية). التوصية الأساسية لديها نهج. يؤدي قصر النهج على التوصيات الأساسية فقط إلى تبسيط إدارة النهج.

توصيات شبكة Azure

يجب تقييد الوصول إلى حسابات التخزين باستخدام جدار الحماية وتكوينات الشبكة الظاهرية

الوصف: راجع إعدادات الوصول إلى الشبكة في إعدادات جدار حماية حساب التخزين. نوصي بتكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بإجراء اتصالات من عملاء محددين من الإنترنت أو عملاء محليين، يمكن منح الوصول لنقل البيانات من شبكات Azure الظاهرية المحددة، أو الوصول إلى نطاقات عناوين IP العامة للإنترنت. (النهج ذي الصلة: يجب أن تقيد حسابات التخزين الوصول إلى الشبكة).

الخطورة: منخفض

يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت

الوصف: قام Defender for Cloud بتحليل أنماط اتصال حركة مرور الإنترنت للأجهزة الظاهرية المذكورة أدناه، وحدد أن القواعد الموجودة في مجموعات أمان الشبكة المرتبطة بها متساهلة بشكل مفرط، ما أدى إلى زيادة سطح الهجوم المحتمل. يحدث هذا عادة عندما لا يتصل عنوان IP هذا بشكل منتظم مع هذا المورد. بدلًا من ذلك، تم وضع علامة على عنوان IP على أنه ضار بواسطة مصادر التحليل الذكي للمخاطر في Defender for Cloud. (النهج ذي الصلة: يجب تطبيق توصيات تقوية الشبكة التكيفية على الأجهزة الظاهرية التي تواجه الإنترنت).

الخطورة: عالية

يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري

الوصف: حدد Defender for Cloud بعض القواعد الواردة لمجموعات أمان الشبكة بحيث تكون متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. (النهج ذي الصلة: يجب تقييد جميع منافذ الشبكة على مجموعات أمان الشبكة المقترنة بجهازك الظاهري).

الخطورة: عالية

يجب تمكين معيار Azure DDOS Protection

الوصف: اكتشف Defender for Cloud شبكات ظاهرية مع موارد Application Gateway غير محمية بواسطة خدمة حماية DDoS. تحتوي هذه الموارد على عناوين IP عامة. تمكين التخفيف من هجمات حجم الشبكة والبروتوكول. (النهج ذي الصلة: يجب تمكين Azure DDoS Protection Standard).

الخطورة: متوسط

يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة

الوصف: حماية الجهاز الظاهري من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). وتحتوي مجموعات أمان الشبكة على قائمة بقواعد قائمة التحكم بالوصول (ACL) التي تسمح بنقل بيانات الشبكة أو ترفضها إلى الجهاز الظاهري من مثيلات أخرى داخل أو خارج الشبكة الفرعية نفسها. للحفاظ على أمان جهازك قدر الإمكان، يجب تقييد وصول الجهاز الظاهري إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. الأجهزة الظاهرية ذات الخطورة "العالية" هي أجهزة ظاهرية مواجهة للإنترنت. (النهج ذي الصلة: يجب حماية الأجهزة الظاهرية التي تواجه الإنترنت باستخدام مجموعات أمان الشبكة).

الخطورة: عالية

يجب تعطيل إعادة توجيه IP على الجهاز الظاهري

الوصف: اكتشف Defender for Cloud أن إعادة توجيه IP ممكنة على بعض الأجهزة الظاهرية. يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. (النهج ذي الصلة: يجب تعطيل إعادة توجيه IP على جهازك الظاهري).

الخطورة: متوسط

يجب إغلاق منافذ الأجهزة التي قد تعرض ناقلات الهجوم

الوصف: تحظر شروط استخدام Azure استخدام خدمات Azure بطرق يمكن أن تلحق الضرر بأي خادم أو شبكة Microsoft أو تعطيلها أو ثقلها أو تضعفها. تسرد هذه التوصية المنافذ المكشوفة التي تحتاج إلى إغلاق للأمان المستمر. كما يوضح التهديد المحتمل لكل منفذ. (لا توجد سياسة ذات صلة)

الخطورة: عالية

يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد

الوصف: حدد Defender for Cloud بعض القواعد الواردة المتساهلة للغاية لمنافذ الإدارة في مجموعة أمان الشبكة. تمكين التحكم في الوصول في الوقت المناسب لحماية جهازك الظاهري من هجمات القوة الغاشمة المستندة إلى الإنترنت. تعرف على المزيد في فهم الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT). (النهج ذي الصلة: يجب حماية منافذ إدارة الأجهزة الظاهرية بالتحكم في الوصول إلى الشبكة في الوقت المناسب).

الخطورة: عالية

يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية

الوصف: تعرض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري إلى مستوى عال من المخاطر من الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. (النهج ذي الصلة: يجب إغلاق منافذ الإدارة على أجهزتك الظاهرية).

الخطورة: متوسط

يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة

الوصف: حماية جهازك الظاهري غير المواجه للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكة على قائمة بقواعد قائمة التحكم بالوصول (ACL) التي تسمح أو ترفض حركة مرور الشبكة إلى الجهاز الظاهري الخاص بك من مثيلات أخرى، سواء كانت على نفس الشبكة الفرعية أم لا. لاحظ أنه للحفاظ على أمان جهازك قدر الإمكان، يجب تقييد وصول الجهاز الظاهري إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. (النهج ذي الصلة: يجب حماية الأجهزة الظاهرية غير المواجهة للإنترنت مع مجموعات أمان الشبكة).

الخطورة: منخفض

يجب تمكين النقل الآمن إلى حسابات التخزين

الوصف: النقل الآمن هو خيار يفرض على حساب التخزين قبول الطلبات فقط من الاتصالات الآمنة (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة. (النهج ذي الصلة: يجب تمكين النقل الآمن إلى حسابات التخزين).

الخطورة: عالية

يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة

الوصف: حماية شبكتك الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. عند إقران NSG بشبكة فرعية، تنطبق قواعد ACL على جميع مثيلات الجهاز الظاهري والخدمات المتكاملة في تلك الشبكة الفرعية، ولكن لا تنطبق على حركة المرور الداخلية داخل الشبكة الفرعية. لتأمين الموارد في نفس الشبكة الفرعية من بعضها البعض، قم بتمكين NSG مباشرة على الموارد أيضًا. لاحظ أنه سيتم سرد أنواع الشبكات الفرعية التالية على أنها غير قابلة للتطبيق: GatewaySubnet وAzureFirewallSubnet وAzureBastionSubnet. (النهج ذي الصلة: يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان الشبكة).

الخطورة: منخفض

يجب حماية الشبكات الظاهرية بواسطة Azure Firewall

الوصف: بعض الشبكات الظاهرية غير محمية بجدار حماية. استخدم Azure Firewall لتقييد الوصول إلى الشبكات الظاهرية ومنع التهديدات المحتملة. (النهج ذي الصلة: يجب توجيه جميع حركة مرور الإنترنت عبر Azure Firewall المنشور).

توصيات شبكة AWS

يتعين تكوين Amazon EC2 لاستخدام نقاط نهاية VPC

الوصف: يتحقق عنصر التحكم هذا مما إذا كان يتم إنشاء نقطة نهاية خدمة ل Amazon EC2 لكل VPC. يفشل عنصر التحكم إذا لم يكن لدى VPC نقطة نهاية VPC تم إنشاؤها لخدمة Amazon EC2. لتحسين الوضع الأمني لـ VPC الخاص بك، تستطيع تكوين Amazon EC2 لاستخدام نقطة نهاية واجهة VPC. يتم تشغيل نقاط نهاية الواجهة عن طريق AWS PrivateLink، وهي تقنية تمكنك من الوصول إلى عمليات Amazon EC2 API بشكل خاص. يقيد جميع نسبة استخدام الشبكة بين VPC الخاص بك وAmazon EC2 إلى شبكة Amazon. نظرا لأن نقاط النهاية مدعومة داخل نفس المنطقة فقط، لا يمكنك إنشاء نقطة نهاية بين VPC وخدمة في منطقة مختلفة. يحظر هذا استدعاءات واجهة برمجة تطبيقات Amazon EC2 غير المقصودة إلى مناطق أخرى. لمعرفة المزيد عن إنشاء نقاط نهاية VPC لـ Amazon EC2، راجع نقاط نهاية Amazon EC2 وواجهة VPC في دليل مستخدم Amazon EC2 لمثيلات Linux.

الخطورة: متوسط

يتعين ألا يكون لخدمات Amazon ECS عناوين IP عامة معينة لها تلقائيًا

الوصف: عنوان IP العام هو عنوان IP يمكن الوصول إليه من الإنترنت. في حالة قمت بتشغيل مثيلات Amazon ECS الخاصة بك بعنوان IP عام، فإن مثيلات Amazon ECS الخاصة بك يمكن الوصول إليها من الإنترنت. لا ينبغي أن تكون خدمات Amazon ECS متاحة للجمهور، لأن هذا قد يسمح بالوصول غير المقصود إلى خوادم تطبيق الحاوية.

الخطورة: عالية

يتعين ألا تحتوي العقد الرئيسية لمجموعة Amazon EMR على عناوين IP عامة

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت العقد الرئيسية على مجموعات Amazon EMR تحتوي على عناوين IP عامة. يتعطل عنصر التحكم إذا كانت العقدة الرئيسية تحتوي على عناوين IP عامة مقترنة بأي من مثيلاتها. تعين عناوين IP العامة في حقل PublicIp لتكوين NetworkInterfaces للمثيل. يفحص عنصر التحكم هذا فقط من مجموعات Amazon EMR الموجودة في حالة RUNNING أو WAITING.

الخطورة: عالية

يتعين أن تستخدم نظام مجموعات Amazon Redshift توجيه VPC المحسن

الوصف: يتحقق عنصر التحكم هذا مما إذا كان نظام مجموعة Amazon Redshift قد تم تمكين EnhancedVpcRouting. يفرض توجيه VPC المحسن لجميع نسبة استخدام الشبكة COPY و UNLOAD بين نظام المجموعة ومستودعات البيانات للانتقال عبر VPC الخاص بك. يمكنك بعد ذلك استعمال ميزات VPC مثل مجموعات الأمان وقوائم التحكم في الوصول إلى الشبكة لتأمين نسبة استخدام الشبكة. تستطيع أيضا استخدام سجلات تدفق VPC لمراقبة نسبة استخدام الشبكة.

الخطورة: عالية

يتعين تكوين موازن تحميل التطبيق لإعادة توجيه كافة طلبات HTTP إلى HTTPS

الوصف: لفرض التشفير أثناء النقل، يجب استخدام إجراءات إعادة التوجيه مع موازنات تحميل التطبيق لإعادة توجيه طلبات HTTP للعميل إلى طلب HTTPS على المنفذ 443.

الخطورة: متوسط

يتعين تكوين موازنات تحميل التطبيق لإسقاط عناوين HTTP

الوصف: يقوم عنصر التحكم هذا بتقييم موازنات تحميل تطبيق AWS (ALB) للتأكد من تكوينها لإسقاط رؤوس HTTP غير صالحة. يتعطل عنصر التحكم إذا تم تعيين قيمة routing.http.drop_invalid_header_fields.enabled إلى false. بشكل افتراضي، لا يتم تكوين ALBs لإسقاط قيم رأس HTTP غير صالحة. تؤدي إزالة قيم العنوان هذه إلى منع هجمات إلغاء مزامنة HTTP.

الخطورة: متوسط

تكوين دوال Lambda إلى VPC

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت دالة Lambda في VPC. لا يقيم تكوين توجيه الشبكة الفرعية VPC لتحديد إمكانية الوصول العام. لاحظ أنه في حالة تم العثور على Lambda@Edge في الحساب، فإن عنصر التحكم هذا ينشئ نتائج معطلة. لمنع هذه النتائج، يمكنك تعطيل العنصر الخاص بالتحكم هذا.

الخطورة: منخفض

يتعين ألا يكون لمثيلات EC2 عنوان IP عام

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت مثيلات EC2 لها عنوان IP عام. يتعطل عنصر التحكم إذا كان حقل "publicIp" موجودًا في عنصر تكوين مثيل EC2. ينطبق العنصر الخاص بالتحكم هذا على عناوين IPv4 فقط. عنوان IP العام هو عنوان IP يمكن الوصول إليه من الإنترنت. في حالة قمت بتشغيل المثيل الخاص بك بعنوان IP عام، يمكن الوصول إلى مثيل EC2 الخاص بك من الإنترنت. عنوان IPv4 الخاص هو عنوان IP لا يمكن الوصول إليه من الإنترنت. يمكنك استخدام عناوين IPv4 الخاصة للاتصال بين مثيلات EC2 في نفس VPC أو في الشبكة الخاصة بك الخاصة المتصلة. عناوين IPv6 فريدة عالميًا، وبالتالي يمكن الوصول إليها من خلال الإنترنت. ومع ذلك، بشكل افتراضي، تحتوي كافة الشبكات الفرعية على سمة عنوان IPv6 المعينة إلى false. لمزيد من المعلومات عن IPv6، راجع عنوان IP في VPC الخاص بك في دليل مستخدم Amazon VPC. في حالة كانت لديك حالة استخدام شرعية للحفاظ على مثيلات EC2 مع عناوين IP العامة، يمكنك منع النتائج من عنصر التحكم هذا. لمزيد من المعلومات عن خيارات البنية الأمامية، راجع مدونة بنية AWS أو سلسلة This Is My Architecture.

الخطورة: عالية

يتعين ألا تستخدم مثيلات EC2 واجهات برمجة تطبيقات متعددة

الوصف: يتحقق عنصر التحكم هذا مما إذا كان مثيل EC2 يستخدم واجهات شبكة مرنة متعددة (ENIs) أو محولات Elastic Fabric (EFAs). يمر عنصر التحكم هذا إذا تم استخدام محول شبكة واحد. يحتوي عنصر التحكم على قائمة معلمات اختيارية لتحديد ENIs المسموح بها. يمكن أن تتسبب واجهات ENIs المتعددة في مثيلات ثنائية المنزل، ما يعني المثيلات التي تتضمن على شبكات فرعية متعددة. يمكن أن يتسبب ذلك في إضافة تعقيد أمان الشبكة وإدخال مسارات شبكة غير مقصودة والوصول إليها.

الخطورة: منخفض

يتعين أن تستخدم مثيلات EC2 IMDSv2

الوصف: يتحقق عنصر التحكم هذا مما إذا كان إصدار بيانات تعريف مثيل EC2 قد تم تكوينه باستخدام الإصدار 2 من خدمة بيانات تعريف المثيل (IMDSv2). يمر عنصر التحكم في حالة تم تعيين "HttpTokens" إلى «مطلوب» لـ IMDSv2. يتعطل عنصر التحكم إذا تم تعيين "HttpTokens" إلى "اختياري". يمكنك استخدام البيانات الخاصة بتعريف المثيل لتكوين المثيل قيد التشغيل أو إدارته. يوفر IMDS الوصول إلى بيانات الاعتماد المؤقتة التي يتم تدويرها بنحو متكرر. تزيل بيانات الاعتماد هذه الحاجة إلى التعليمات البرمجية الثابتة أو توزيع بيانات الاعتماد الحساسة على المثيلات بطريقة يدوية أو برمجيه. إرفاق IMDS محليا بكل مثيل EC2. تشغيله على عنوان IP "رابط محلي" خاص من 169.254.169.254. يمكن الوصول إلى عنوان IP هذا فقط عن طريق البرامج التي تعمل على المثيل. يضيف الإصدار 2 من IMDS حماية جديدة لأنواع الثغرات الأمنية التالية. من الممكن استخدام هذه الثغرات الأمنية لمحاولة الوصول إلى IMDS.

فتح جدران حماية تطبيق موقع الويب
فتح وكلاء عكسيين
الثغرات الأمنية في تزوير الطلب من جانب الخادم (SSRF)
يوصي مركز أمان فتح جدران الحماية من الطبقة 3 وترجمة عناوين الشبكة (NAT) بتكوين مثيلات EC2 باستخدام IMDSv2.

الخطورة: عالية

يتعين ألا تعين الشبكات الفرعية EC2 عناوين IP العامة تلقائيًا

الوصف: يتحقق عنصر التحكم هذا مما إذا كان تعيين عناوين IP العامة في الشبكات الفرعية Amazon Virtual Private Cloud (Amazon VPC) قد تم تعيين "MapPublicIpOnLaunch" إلى "FALSE". يمر عنصر التحكم في حالة تم تعيين العلامة إلى "FALSE". تحتوي كافة الشبكات الفرعية على سمة تحدد ما إذا كانت واجهة الشبكة التي تم إنشاؤها في الشبكة الفرعية تتلقى تلقائيا عنوان IPv4 عامًا. المثيلات التي يتم تشغيلها في الشبكات الفرعية التي تم تمكين هذه السمة لها عنوان IP عام معين للواجهة الخاصة بالشبكة الأساسية الخاصة بها.

الخطورة: متوسط

تأكد من وجود عامل تصفية قياس السجل والتنبيه لتغييرات تكوين التكوين الخاص بـ AWS

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية متري ومنبه للكشف عن التغييرات في تكوينات CloudTrail. تساعد مراقبة التغييرات في تكوين تكوين AWS على ضمان الرؤية المستمرة لعناصر التكوين داخل حساب AWS.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل ومنبه لتعطل مصادقة وحدة تحكم إدارة AWS

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية متري وتنبيهات لمحاولات مصادقة وحدة التحكم الفاشلة. قد تقلل مراقبة عمليات تسجيل الدخول الفاشلة لوحدة التحكم من وقت المهلة للكشف عن محاولة القوة الغاشمة لبيانات الاعتماد، والتي قد توفر مؤشرا، مثل IP المصدر، يمكن استخدامه في ارتباط حدث آخر.

الخطورة: منخفض

تأكد من وجود عامل التصفية الخاصة بقياس السجل ومنبه للتغييرات في قوائم التحكم في الوصول إلى الشبكة (NACL)

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. تستخدم NACLs باعتبارها عامل تصفية حزمة عديمة الحالة للتحكم في نسبة استخدام الشبكة الدخول والخروج للشبكات الفرعية داخل VPC. ينصح بإنشاء عامل تصفية متري وتنبيهات للتغييرات التي تم إجراؤها على NACLs. تساعد مراقبة التغييرات في NACLs على ضمان عدم كشف موارد وخدمات AWS عن غير قصد.

الخطورة: منخفض

تأكد من وجود مرشح قياس السجل والإنذار للتغييرات التي تطرأ على بوابات الشبكة

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. البوابات الخاصة بالشبكة مطلوبة لإرسال/تلقي نسبة استخدام الشبكة إلى وجهة خارج VPC. يوصى بإنشاء عامل تصفية متري ومنبه للتغييرات في بوابات الشبكة. تساعد مراقبة التغييرات في بوابات الشبكة على ضمان أن جميع حركة مرور الدخول/الخروج تعبر حدود VPC عبر مسار خاضع للرقابة.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والإنذار لتغييرات تكوين CloudTrail

تساعد مراقبة التغييرات في تكوين CloudTrail على ضمان الرؤية المستدامة للأنشطة التي يتم إجراؤها في حساب AWS.

الخطورة: منخفض

تأكد من وجود عامل التصفية الخاص بقياس السجل ومنبه لتعطيل أو الحذف المجدول لـ CMKs التي أنشأها العميل

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية قياسي وتنبيهات ل CMKs التي أنشأها العميل، والتي غيرت الحالة إلى حذف معطل أو مجدول. لن يعود من الممكن الوصول إلى البيانات المشفرة باستعمال مفاتيح معطلة أو محذوفة.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيه للتغييرات الخاصة بنهج IAM

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية متري وتنبيهات للتغييرات التي يتم إجراؤها على نهج إدارة الهوية والوصول (IAM). تساعد مراقبة التغييرات في نهج IAM على ضمان بقاء عناصر التحكم في المصادقة والتخويل سليمة.

الخطورة: منخفض

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية قياسي ومنبه لتسجيلات دخول وحدة التحكم غير المحمية بالمصادقة متعددة العوامل (MFA). تزيد مراقبة تسجيلات دخول وحدة التحكم أحادية العامل من الرؤية في الحسابات غير المحمية بواسطة المصادقة متعددة العوامل.

الخطورة: منخفض

تأكد من وجود عامل تصفية القياس الخاص بالسجل والتنبيه للتغييرات الخاصة بنهج IAM

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. تستعمل جداول التوجيه لتوجيه نسبة استخدام الشبكة بين الشبكات الفرعية وإلى بوابات الشبكة. يوصى بإنشاء عامل تصفية متري ومنبه للتغييرات في جداول التوجيه. تساعد مراقبة التغييرات في جداول التوجيه على ضمان تدفق جميع حركة مرور VPC عبر مسار متوقع.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والإنذار لتغييرات سياسة مستودع S3

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية متري وإنذار للتغييرات في سياسات مستودع S3. قد تؤدي مراقبة التغييرات في نهج مستودع S3 إلى تقليل الوقت للكشف عن النهج المتساهلة وتصحيحها على مستودعات S3 الحساسة.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والإنذار لتغييرات مجموعة الأمان

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. مجموعات الأمان هي عامل التصفية الخاصة بحزمة ذات حالة يتحكم في نسبة استخدام الشبكة للدخول والخروج داخل VPC. يوصى بإنشاء عامل تصفية متري وتنبيهات للتغييرات في مجموعات الأمان. تساعد مراقبة التغييرات على مجموعة الأمان على ضمان عدم كشف الموارد والخدمات عن غير قصد.

الخطورة: منخفض

تأكد من وجود عامل التصفية الخاص بقياس السجل والتنبيه لمكالمات واجهة برمجة التطبيقات غير المصرح بها

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. يوصى بإنشاء عامل تصفية قياسي وتنبيهات لمكالمات واجهة برمجة التطبيقات غير المصرح بها. تساعد مراقبة استدعاءات واجهة برمجة التطبيقات غير المصرح بها على الكشف عن أخطاء التطبيق وقد تقلل من الوقت للكشف عن النشاط الضار.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل ومنبه لاستخدام الخاص بحساب "الجذر"

توفر مراقبة تسجيلات الدخول إلى حساب الجذر رؤية لاستخدام حساب متميز بالكامل وفرصة لتقليل استخدامه.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيه لتغييرات VPC

الوصف: يمكن تحقيق المراقبة في الوقت الحقيقي لمكالمات واجهة برمجة التطبيقات من خلال توجيه سجلات CloudTrail إلى سجلات CloudWatch وإنشاء عوامل تصفية المقاييس والتنبيهات المقابلة. من الممكن أن يكون لديك أكثر من VPC واحد داخل حساب، بالإضافة إلى أنه من الممكن أيضا إنشاء اتصال نظير بين 2 VPCs لتمكين حركة مرور الشبكة من التوجيه بين VPCs. يوصى بإنشاء عامل تصفية قياسي وتنبيهات للتغييرات التي تم إجراؤها على VPCs. تساعد مراقبة التغييرات في نهج IAM على ضمان بقاء عناصر التحكم في المصادقة والتخويل سليمة.

الخطورة: منخفض

احرص على عدم السماح لأي مجموعات أمان بالدخول من 0.0.0.0/0 إلى المنفذ 3389

الوصف: توفر مجموعات الأمان تصفية حالة لحركة مرور شبكة الدخول/الخروج إلى موارد AWS. يوصى بعدم السماح لأي مجموعة أمان بالوصول غير المقيد إلى المنفذ 3389. عند إزالة الاتصال غير المقيد بخدمات وحدة التحكم عن بعد، مثل RDP، فإنه يقلل من تعرض الخادم للمخاطر.

الخطورة: عالية

يتعين ألا تستخدم قواعد بيانات ومجموعات RDS منفذًا افتراضيًا لمحرك قاعدة البيانات

الوصف: يتحقق عنصر التحكم هذا مما إذا كان نظام مجموعة RDS أو المثيل يستخدم منفذا آخر غير المنفذ الافتراضي لمحرك قاعدة البيانات. في حالة كنت تستخدم منفذًا معروفًا لتوزيع مجموعة أو مثيل RDS، يمكن للمهاجم تخمين معلومات حول نظام المجموعة أو المثيل. يمكن للمهاجم استخدام هذه المعلومات بالاقتران مع معلومات أخرى للاتصال بنظام مجموعة أو مثيل RDS أو الحصول على معلومات إضافية حول التطبيق الخاص بك. عند تغيير المنفذ، يتعين أيضًا تحديث سلاسل الاتصال الموجودة التي تم استخدامها للاتصال بالمنفذ القديم. يتعين عليك أيضًا التحقق من مجموعة الأمان لمثيل DB للتأكد من أنها تتضمن قاعدة دخول تسمح بالاتصال على المنفذ الجديد.

الخطورة: منخفض

يتعين توزيع مثيلات RDS في VPC

الوصف: توفر VPCs عددا من عناصر التحكم في الشبكة لتأمين الوصول إلى موارد RDS. تحتوي عناصر التحكم هذه نقاط نهاية VPC و ACLs للشبكة ومجموعات الأمان. للاستفادة من عناصر التحكم هذه، ننصح بنقل EC2-Classic مثيلات RDS إلى EC2-VPC.

الخطورة: منخفض

يتعين أن تتطلب مستودعات S3 طلبات لاستخدام طبقة مأخذ التوصيل الآمنة

الوصف: نوصي بطلب طلبات لاستخدام طبقة مآخذ التوصيل الآمنة (SSL) على جميع مستودع Amazon S3. يتعين أن تحتوي مستودعات S3 على نهج تتطلب جميع الطلبات ('الإجراء: S3:*') لقبول نقل البيانات عبر HTTPS فقط في نهج موارد S3، المشار إليه بواسطة مفتاح الشرط 'aws:SecureTransport'.

الخطورة: متوسط

يتعين ألا تسمح مجموعات الأمان بالدخول من 0.0.0.0/0 إلى المنفذ 22

الوصف: لتقليل تعرض الخادم، يوصى بعدم السماح بالوصول غير المقيد إلى المنفذ '22'.

الخطورة: عالية

يتعين ألا تسمح مجموعات الأمان بالوصول غير المقيد إلى المنافذ ذات المخاطر العالية

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت نسبة استخدام الشبكة الواردة غير المقيدة لمجموعات الأمان قابلة للوصول إلى المنافذ المحددة التي لها أعلى مخاطر. يمر عنصر التحكم هذا عندما لا تتيح أي من القواعد في مجموعة أمان بنسبة استخدام الشبكة للدخول من 0.0.0.0/0 لتلك المنافذ. يؤدي الوصول غير المقيد (0.0.0.0/0) إلى زيادة فرص النشاط الضار، مثل القرصنة وهجمات رفض الخدمة وفقدان البيانات. توفر مجموعات الأمان عامل تصفية ذات حالة لنسبة استخدام الشبكة الدخول/الخروج إلى موارد AWS. يتعين ألا تسمح أي مجموعة أمان بالوصول غير المقيد إلى المنافذ التالية:

3389 (RDP)
20، 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (وكيل)
1433، 1434 (MSSQL)
9200 أو 9300 (Elasticsearch)
5601 (كيبانا)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

الخطورة: متوسط

يتعين أن تسمح مجموعات الأمان فقط بنسبة استخدام الشبكة الواردة غير المقيدة للمنافذ المعتمدة

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت مجموعات الأمان المستخدمة تسمح بنسبة استخدام الشبكة الواردة غير المقيدة. اختياريًا، تتحقق القاعدة في حالة كانت أرقام المنافذ مدرجة في المعلمة "authorizedTcpPorts".

إذا كان رقم منفذ قاعدة مجموعة الأمان يسمح بنسبة استخدام الشبكة الواردة غير المقيدة، ولكن تم تحديد رقم المنفذ في "authorizedTcpPorts"، فسيمرر عنصر التحكم. تعد القيمة الافتراضية لـ "authorizedTcpPorts" هي 80، 443.
إذا كان رقم منفذ قاعدة مجموعة الأمان يسمح بنسبة استخدام الشبكة الواردة غير المقيدة، ولكن لم يتم تحديد رقم المنفذ في معلمة إدخال authorizedTcpPorts، فسيفشل عنصر التحكم.
إذا لم يتم استخدام المعلمة، فسيفشل عنصر التحكم لأي مجموعة أمان تحتوي على قاعدة واردة غير مقيدة. تتيح مجموعات الأمان عامل تصفية ذات حالة لنسبة استخدام الشبكة الدخول/الخروج إلى موارد AWS. يجب أن تتبع قواعد مجموعة الأمان مبدأ الوصول الأقل امتيازا. يزيد الوصول غير المقيد (عنوان IP مع لاحقة /0) من فرصة النشاط الضار مثل القرصنة والهجمات الخاصة برفض الخدمة وفقدان البيانات. ما لم يكن المنفذ مسموحًا به على وجه التحديد، يتعين أن يرفض المنفذ الوصول غير المقيد.

الخطورة: عالية

يتعين إزالة EC2 EIPs غير المستخدمة

الوصف: يجب إرفاق عناوين IP المرنة المخصصة ل VPC بمثيلات Amazon EC2 أو واجهات الشبكة المرنة قيد الاستخدام (ENIs).

الخطورة: منخفض

يتعين إزالة قوائم التحكم في الوصول إلى الشبكة غير المستخدمة

الوصف: يتحقق عنصر التحكم هذا مما إذا كانت هناك أي قوائم غير مستخدمة للتحكم في الوصول إلى الشبكة (ACLs). يفحص عنصر التحكم من تكوين العنصر للمورد "AWS::EC2::NetworkAcl" ويحدد علاقات ACL للشبكة. في حالة كانت العلاقة الوحيدة هي VPC للشبكة ACL، سيتعطل عنصر التحكم. في حالة تم سرد علاقات أخرى، سيمر عنصر التحكم.

الخطورة: منخفض

يتعين أن تقيد مجموعة الأمان الافتراضية لـ VPC جميع نسبة استخدام الشبكة

الوصف: يجب أن تقيد مجموعة الأمان جميع نسبة استخدام الشبكة لتقليل التعرض للموارد.

الخطورة: منخفض

توصيات شبكة GCP

يجب تكوين مضيفي نظام المجموعة لاستخدام عناوين IP الخاصة والداخلية فقط للوصول إلى واجهات برمجة تطبيقات Google

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية PrivateIpGoogleAccess الخاصة بشبكة فرعية معينة إلى false.

الخطورة: عالية

يجب أن تستخدم مثيلات الحساب موازن تحميل تم تكوينه لاستخدام وكيل HTTPS الهدف

الوصف: تقيم هذه التوصية ما إذا كانت خاصية selfLink لموردHttpProxy الهدف تطابق السمة الهدف في قاعدة إعادة التوجيه، وإذا كانت قاعدة إعادة التوجيه تحتوي على حقل loadBalancingScheme معين إلى خارجي.

الخطورة: متوسط

يجب تمكين الشبكات المعتمدة لمستوى التحكم على مجموعات GKE

الوصف: تقيم هذه التوصية الخاصية MasterAuthorizedNetworksConfig لنظام مجموعة لزوج قيمة المفتاح، 'enabled': false.

الخطورة: عالية

يجب تعيين قاعدة رفض الخروج على جدار حماية لمنع حركة المرور الصادرة غير المرغوب فيها

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية destinationRanges في جدار الحماية معينة إلى 0.0.0.0/0 وتحتوي الخاصية مرفوضة على زوج قيم المفاتيح، 'IPProtocol': 'all.'

الخطورة: منخفض

تأكد من أن قواعد جدار الحماية للمثيلات الموجودة خلف الوكيل المدرك للهوية (IAP) تسمح فقط بنسبة استخدام الشبكة من Google Cloud Loadbalancer (GCLB) التحقق من الصحة وعناوين الوكيل

الوصف: يجب تقييد الوصول إلى الأجهزة الظاهرية بواسطة قواعد جدار الحماية التي تسمح فقط بحركة مرور IAP عن طريق ضمان السماح بالاتصالات التي يدعمها IAP فقط. للتأكد من أن موازنة التحميل تعمل بشكل صحيح، يجب أيضا السماح بالفحوصات الصحية. يضمن IAP التحكم في الوصول إلى الأجهزة الظاهرية من خلال مصادقة الطلبات الواردة. ومع ذلك إذا كان الجهاز الظاهري لا يزال يمكن الوصول إليه من عناوين IP بخلاف IAP، فقد لا يزال من الممكن إرسال طلبات غير مصادق عليها إلى المثيل. يجب توخي الحذر لضمان عدم حظر عمليات التحقق من صحة loadblancer لأن هذا من شأنه أن يمنع موازن التحميل من معرفة صحة الجهاز الظاهري بشكل صحيح وموازنة التحميل بشكل صحيح.

الخطورة: متوسط

تأكد من عدم وجود شبكات قديمة لمشروع

الوصف: لمنع استخدام الشبكات القديمة، لا ينبغي أن يكون للمشروع شبكة قديمة مكونة. تحتوي الشبكات القديمة على نطاق بادئة IPv4 شبكة واحدة وعنوان IP لبوابة واحدة للشبكة بأكملها. الشبكة عمومية في النطاق وتمتد عبر جميع مناطق السحابة. لا يمكن إنشاء الشبكات الفرعية في شبكة قديمة ولا يمكن التبديل من شبكات فرعية قديمة إلى شبكات فرعية تلقائية أو مخصصة. يمكن أن يكون للشبكات القديمة تأثير على مشاريع نسبة استخدام الشبكة العالية وتخضع لنقطة واحدة من الخلاف أو الفشل.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة بيانات "log_hostname" لمثيل Cloud SQL PostgreSQL بشكل مناسب

الوصف: يسجل PostgreSQL عنوان IP للمضيفين المتصلين فقط. تتحكم علامة "log_hostname" في تسجيل "أسماء المضيفين" بالإضافة إلى عناوين IP المسجلة. تعتمد نتيجة الأداء على تكوين البيئة وإعداد تحليل اسم المضيف. يمكن تعيين هذه المعلمة فقط في ملف "postgresql.conf" أو على سطر أوامر الخادم. يمكن أن تتكبد أسماء مضيفي التسجيل حملا على أداء الخادم كما هو الحال مع كل عبارة مسجلة، وستكون دقة DNS مطلوبة لتحويل عنوان IP إلى اسم المضيف. اعتمادا على الإعداد، قد يكون هذا غير مهم. بالإضافة إلى ذلك، يمكن حل عناوين IP التي تم تسجيلها إلى أسماء DNS الخاصة بهم لاحقا عند مراجعة السجلات باستثناء الحالات التي يتم فيها استخدام أسماء المضيفين الديناميكية. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من عدم السماح لموازنات تحميل وكيل HTTPS أو SSL بنهج SSL مع مجموعات تشفير ضعيفة

الوصف: تحدد نهج طبقة مآخذ التوصيل الآمنة (SSL) ميزات أمان طبقة النقل (TLS) التي يسمح للعملاء باستخدامها عند الاتصال بموازنات التحميل. لمنع استخدام الميزات غير الآمنة، يجب أن تستخدم نهج SSL (أ) TLS 1.2 على الأقل مع ملف التعريف MODERN؛ أو (ب) ملف التعريف المقيد، لأنه يتطلب بشكل فعال من العملاء استخدام TLS 1.2 بغض النظر عن الحد الأدنى من إصدار TLS المختار؛ أو (3) ملف تعريف مخصص لا يدعم أي من الميزات التالية: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

يتم استخدام موازنات التحميل لتوزيع نسبة استخدام الشبكة بكفاءة عبر خوادم متعددة. كل من وكيل SSL وموازنات تحميل HTTPS هي موازنات تحميل خارجية، ما يعني أنها توزع نسبة استخدام الشبكة من الإنترنت إلى شبكة GCP. يمكن لعملاء GCP تكوين نهج SSL لموازن التحميل مع الحد الأدنى من إصدار TLS (1.0 أو 1.1 أو 1.2) الذي يمكن للعملاء استخدامه لإنشاء اتصال، جنبا إلى جنب مع ملف تعريف (متوافق أو حديث أو مقيد أو مخصص) يحدد مجموعات التشفير المسموح بها. للامتثال للمستخدمين الذين يستخدمون بروتوكولات قديمة، يمكن تكوين موازنات تحميل GCP للسماح بأجنحة التشفير غير الآمنة. في الواقع، يستخدم نهج SSL الافتراضي GCP الحد الأدنى من إصدار TLS من 1.0 وملف تعريف متوافق، والذي يسمح بأوسع مجموعة من مجموعات التشفير غير الآمنة. ونتيجة لذلك، من السهل على العملاء تكوين موازن تحميل دون حتى معرفة أنهم يسمحون بأجنحة التشفير القديمة.

الخطورة: متوسط

تأكد من تمكين تسجيل DNS السحابي لجميع شبكات VPC

الوصف: يسجل تسجيل DNS السحابي الاستعلامات من خوادم الأسماء داخل VPC إلى Stackdriver. يمكن أن تأتي الاستعلامات المسجلة من أجهزة Compute Engine الظاهرية أو حاويات GKE أو موارد GCP الأخرى المتوفرة داخل VPC. لا يمكن أن تعتمد مراقبة الأمان والأدلة الجنائية فقط على عناوين IP من سجلات تدفق VPC، خاصة عند النظر في استخدام IP الديناميكي لموارد السحابة وتوجيه مضيف HTTP الظاهري والتقنيات الأخرى التي يمكن أن تحجب اسم DNS المستخدم من قبل العميل من عنوان IP. توفر مراقبة سجلات DNS السحابية رؤية لأسماء DNS التي يطلبها العملاء داخل VPC. يمكن مراقبة هذه السجلات لأسماء المجالات الشاذة، وتقييمها مقابل التحليل الذكي للمخاطر، و

للحصول على الالتقاط الكامل ل DNS، يجب أن يمنع جدار الحماية خروج UDP/53 (DNS) وTCP/443 (DNS عبر HTTPS) لمنع العميل من استخدام خادم اسم DNS الخارجي للحل.

الخطورة: عالية

تأكد من تمكين DNSSEC ل DNS السحابي

الوصف: نظام أسماء المجالات السحابية (DNS) هو نظام أسماء مجال سريع وموثوق وفعال من حيث التكلفة يشغل ملايين المجالات على الإنترنت. تتيح ملحقات أمان نظام أسماء المجالات (DNSSEC) في Cloud DNS لمالكي المجالات اتخاذ خطوات سهلة لحماية مجالاتهم من اختطاف DNS والهجمات التي تحدث في الوسط والهجمات الأخرى. تضيف ملحقات أمان نظام أسماء المجالات (DNSSEC) الأمان إلى بروتوكول DNS عن طريق تمكين التحقق من صحة استجابات DNS. يعد وجود DNS جدير بالثقة يترجم اسم مجال مثل www.example.com إلى عنوان IP المرتبط به كتلة بناء مهمة بشكل متزايد للتطبيقات المستندة إلى الويب اليوم. يمكن للمهاجمين اختطاف عملية البحث عن المجال/IP هذه وإعادة توجيه المستخدمين إلى موقع ضار من خلال اختطاف DNS وهجمات الدخيل. يساعد DNSSEC في التخفيف من مخاطر مثل هذه الهجمات من خلال توقيع سجلات DNS بشكل مشفر. ونتيجة لذلك، فإنه يمنع المهاجمين من إصدار استجابات DNS وهمية قد تخطئ في توجيه المتصفحات إلى مواقع الويب الشائنة.

الخطورة: متوسط

تأكد من تقييد وصول RDP من الإنترنت

الوصف: قواعد جدار حماية GCP خاصة بشبكة VPC. تسمح كل قاعدة بحركة المرور أو ترفضها عند استيفاء شروطها. تسمح شروطه للمستخدمين بتحديد نوع حركة المرور، مثل المنافذ والبروتوكولات، ومصدر أو وجهة حركة المرور، بما في ذلك عناوين IP والشبكات الفرعية والمثيلات. يتم تعريف قواعد جدار الحماية على مستوى شبكة VPC وهي خاصة بالشبكة التي يتم تعريفها فيها. لا يمكن مشاركة القواعد نفسها بين الشبكات. تدعم قواعد جدار الحماية حركة مرور IPv4 فقط. عند تحديد مصدر لقاعدة دخول أو وجهة لقاعدة خروج حسب العنوان، يمكن استخدام عنوان IPv4 أو كتلة IPv4 في رمز CIDR. يمكن تجنب نسبة استخدام الشبكة العامة (0.0.0.0/0) الواردة من الإنترنت إلى مثيل VPC أو VM باستخدام RDP على المنفذ 3389. قواعد جدار حماية GCP داخل شبكة VPC. تنطبق هذه القواعد على نسبة استخدام الشبكة الصادرة (الخروج) من المثيلات وحركة المرور الواردة (الدخول) إلى المثيلات في الشبكة. يتم التحكم في تدفقات حركة الخروج والدخول حتى إذا بقيت نسبة استخدام الشبكة داخل الشبكة (على سبيل المثال، الاتصال من مثيل إلى مثيل). لكي يكون لمثيل الوصول إلى الإنترنت الصادر، يجب أن يكون للشبكة مسار بوابة إنترنت صالح أو مسار مخصص يتم تحديد عنوان IP الوجهة الخاص به. يحدد هذا المسار ببساطة المسار إلى الإنترنت، لتجنب نطاق IP الأكثر عمومية (0.0.0.0/0) المحدد من الإنترنت من خلال RDP مع المنفذ الافتراضي 3389. يجب تقييد الوصول العام من الإنترنت إلى نطاق IP محدد.

الخطورة: عالية

تأكد من عدم استخدام RSASHA1 لمفتاح توقيع المفتاح في Cloud DNS DNSSEC

الوصف: قد يتم استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. قد تستخدم أرقام خوارزميات ملحقات أمان نظام أسماء المجالات (DNSSEC) في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. عند تمكين DNSSEC لمنطقة مدارة، أو إنشاء منطقة مدارة باستخدام DNSSEC، يمكن للمستخدم تحديد خوارزميات توقيع DNSSEC ونوع رفض الوجود. تغيير إعدادات DNSSEC فعال فقط لمنطقة مدارة إذا لم يتم تمكين DNSSEC بالفعل. إذا كانت هناك حاجة لتغيير إعدادات منطقة مدارة حيث تم تمكينها، فقم بإيقاف تشغيل DNSSEC ثم أعد تمكينه بإعدادات مختلفة.

الخطورة: متوسط

تأكد من عدم استخدام RSASHA1 لمفتاح توقيع المنطقة في Cloud DNS DNSSEC

الوصف: قد يتم استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. يمكن استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. عند تمكين DNSSEC لمنطقة مدارة، أو إنشاء منطقة مدارة باستخدام DNSSEC، يمكن تحديد خوارزميات توقيع DNSSEC ونوع رفض الوجود. تغيير إعدادات DNSSEC فعال فقط لمنطقة مدارة إذا لم يتم تمكين DNSSEC بالفعل. إذا كانت هناك حاجة لتغيير إعدادات منطقة مدارة حيث تم تمكينها، فقم بإيقاف تشغيل DNSSEC ثم أعد تمكينه بإعدادات مختلفة.

الخطورة: متوسط

تأكد من تقييد وصول SSH من الإنترنت

الوصف: قواعد جدار حماية GCP خاصة بشبكة VPC. تسمح كل قاعدة بحركة المرور أو ترفضها عند استيفاء شروطها. تسمح شروطه للمستخدم بتحديد نوع حركة المرور، مثل المنافذ والبروتوكولات، ومصدر أو وجهة حركة المرور، بما في ذلك عناوين IP والشبكات الفرعية والمثيلات. يتم تعريف قواعد جدار الحماية على مستوى شبكة VPC وهي خاصة بالشبكة التي يتم تعريفها فيها. لا يمكن مشاركة القواعد نفسها بين الشبكات. تدعم قواعد جدار الحماية حركة مرور IPv4 فقط. عند تحديد مصدر لقاعدة دخول أو وجهة لقاعدة خروج حسب العنوان، يمكن استخدام عنوان IPv4 أو كتلة IPv4 فقط في رمز CIDR. يمكن تجنب نسبة استخدام الشبكة العامة (0.0.0.0/0) الواردة من الإنترنت إلى VPC أو مثيل الجهاز الظاهري باستخدام SSH على المنفذ 22. تنطبق قواعد جدار حماية GCP داخل شبكة VPC على نسبة استخدام الشبكة الصادرة (الخروج) من المثيلات وحركة المرور الواردة (الدخول) إلى المثيلات في الشبكة. يتم التحكم في تدفقات حركة الخروج والدخول حتى إذا بقيت نسبة استخدام الشبكة داخل الشبكة (على سبيل المثال، الاتصال من مثيل إلى مثيل). لكي يكون لمثيل الوصول إلى الإنترنت الصادر، يجب أن يكون للشبكة مسار بوابة إنترنت صالح أو مسار مخصص يتم تحديد عنوان IP الوجهة الخاص به. يحدد هذا المسار ببساطة المسار إلى الإنترنت، لتجنب نطاق IP الأكثر عمومية (0.0.0.0/0) المحدد من الإنترنت عبر SSH مع المنفذ الافتراضي '22'. يجب تقييد الوصول العام من الإنترنت إلى نطاق IP محدد.

الخطورة: عالية

تأكد من عدم وجود الشبكة الافتراضية في مشروع

الوصف: لمنع استخدام الشبكة "الافتراضية"، يجب ألا يحتوي المشروع على شبكة "افتراضية". تحتوي الشبكة الافتراضية على تكوين شبكة تم تكوينه مسبقا وتنشئ تلقائيا قواعد جدار الحماية غير الآمنة التالية:

default-allow-internal: يسمح باتصالات الدخول لجميع البروتوكولات والمنافذ بين المثيلات في الشبكة.
default-allow-ssh: يسمح باتصالات الدخول على منفذ TCP 22 (SSH) من أي مصدر إلى أي مثيل في الشبكة.
default-allow-rdp: يسمح باتصالات الدخول على منفذ TCP 3389 (RDP) من أي مصدر إلى أي مثيل في الشبكة.
default-allow-icmp: يسمح بدخول حركة مرور ICMP من أي مصدر إلى أي مثيل في الشبكة.

لا يتم تسجيل التدقيق في قواعد جدار الحماية التي تم إنشاؤها تلقائيا ولا يمكن تكوينها لتمكين تسجيل قاعدة جدار الحماية. علاوة على ذلك، الشبكة الافتراضية هي شبكة وضع تلقائي، ما يعني أن شبكاتها الفرعية تستخدم نفس النطاق المحدد مسبقا من عناوين IP، ونتيجة لذلك، لا يمكن استخدام Cloud VPN أو VPC Network Peering مع الشبكة الافتراضية. استنادا إلى متطلبات أمان المؤسسة والشبكات، يجب على المؤسسة إنشاء شبكة جديدة وحذف الشبكة الافتراضية.

الخطورة: متوسط

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات شبكة السحابة الخاصة الظاهرية (VPC). من الممكن أن يكون لديك أكثر من VPC واحد داخل المشروع. بالإضافة إلى ذلك، من الممكن أيضا إنشاء اتصال نظير بين اثنين من VPCs لتمكين حركة مرور الشبكة من التوجيه بين VPCs. ستساعد مراقبة التغييرات في VPC على ضمان عدم تأثر تدفق حركة مرور VPC.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات قاعدة جدار حماية شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات قاعدة جدار حماية الشبكة للسحابة الخاصة الظاهرية (VPC). المراقبة لإنشاء أو تحديث أحداث قاعدة جدار الحماية يعطي نظرة ثاقبة لتغييرات الوصول إلى الشبكة وقد يقلل من الوقت المستغرق للكشف عن النشاط المشبوه.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات مسار شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات مسار شبكة السحابة الخاصة الظاهرية (VPC). تحدد مسارات Google Cloud Platform (GCP) المسارات التي تأخذها نسبة استخدام الشبكة من مثيل الجهاز الظاهري إلى وجهة أخرى. يمكن أن تكون الوجهة الأخرى داخل شبكة VPC للمؤسسة (مثل جهاز ظاهري آخر) أو خارجها. يتكون كل مسار من وجهة ووثبة تالية. يتم إرسال نسبة استخدام الشبكة التي يقع عنوان IP الوجهة الخاص بها ضمن نطاق الوجهة إلى الوثبة التالية للتسليم. ستساعد مراقبة التغييرات على جداول التوجيه على ضمان تدفق جميع نسبة استخدام الشبكة VPC عبر مسار متوقع.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_connections" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: يؤدي تمكين إعداد log_connections إلى تسجيل كل محاولة اتصال بالخادم، بالإضافة إلى إكمال مصادقة العميل بنجاح. لا يمكن تغيير هذه المعلمة بعد بدء جلسة العمل. لا يقوم PostgreSQL بتسجيل الاتصالات التي تمت محاولة تنفيذها بشكل افتراضي. سيؤدي تمكين إعداد log_connections إلى إنشاء إدخالات السجل لكل محاولة اتصال بالإضافة إلى إكمال مصادقة العميل بنجاح، والتي يمكن أن تكون مفيدة في استكشاف المشكلات وإصلاحها وتحديد أي محاولات اتصال غير عادية بالخادم. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة البيانات "log_disconnections" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: يؤدي تمكين إعداد log_disconnections إلى تسجيل نهاية كل جلسة عمل، بما في ذلك مدة الجلسة. لا يقوم PostgreSQL بتسجيل تفاصيل جلسة العمل مثل المدة ونهاية الجلسة بشكل افتراضي. سيؤدي تمكين إعداد log_disconnections إلى إنشاء إدخالات السجل في نهاية كل جلسة عمل، والتي يمكن أن تكون مفيدة في استكشاف الأخطاء وإصلاحها وتحديد أي نشاط غير عادي عبر فترة زمنية. log_disconnections والعمل log_connections جنبا إلى جنب وبشكل عام، سيتم تمكين /تعطيل الزوج معا. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: متوسط

تأكد من تمكين سجلات تدفق VPC لكل شبكة فرعية في شبكة VPC

الوصف: سجلات التدفق هي ميزة تمكن المستخدمين من التقاط معلومات حول حركة مرور IP التي تنتقل من وإلى واجهات الشبكة في الشبكات الفرعية VPC للمؤسسة. بمجرد إنشاء سجل تدفق، يمكن للمستخدم عرض بياناته واستردادها في تسجيل Stackdriver. يوصى بتمكين سجلات التدفق لكل شبكة VPC فرعية مهمة للأعمال. توفر شبكات VPC والشبكات الفرعية أقسام شبكة معزولة وآمنة منطقيا حيث يمكن تشغيل موارد GCP. عند تمكين سجلات التدفق لشبكة فرعية، تبدأ الأجهزة الظاهرية داخل تلك الشبكة الفرعية في الإبلاغ عن جميع تدفقات بروتوكول التحكم في الإرسال (TCP) وبروتوكول مخطط بيانات المستخدم (UDP). يقوم كل جهاز ظاهري بأخذ عينات من تدفقات TCP وUDP التي يراها، الواردة والصادرة، سواء كان التدفق من أو إلى جهاز ظاهري آخر، أو مضيف في مركز البيانات المحلي، أو خدمة Google، أو مضيف على الإنترنت. إذا كان جهازان ظاهريان ل GCP يتصلان، وكلاهما في شبكات فرعية تم تمكين سجلات تدفق VPC بها، فإن كلا الجهازين الظاهريين يبلغان عن التدفقات. تدعم سجلات التدفق حالات الاستخدام التالية: 1. مراقبة الشبكة. 2. فهم استخدام الشبكة وتحسين نفقات حركة مرور الشبكة. 3. الأدلة الجنائية للشبكة. 4. توفر سجلات تدفق تحليل الأمان في الوقت الحقيقي رؤية لنسبة استخدام الشبكة لكل جهاز ظاهري داخل الشبكة الفرعية ويمكن استخدامها للكشف عن نسبة استخدام الشبكة الشاذة أو الرؤى أثناء مهام سير عمل الأمان.

الخطورة: منخفض

يجب تمكين تسجيل قاعدة جدار الحماية

الوصف/ تعليمات: تقيم هذه التوصية خاصية logConfig في بيانات تعريف جدار الحماية لمعرفة ما إذا كانت فارغة أو تحتوي على زوج قيمة المفتاح "تمكين": خطأ.

الخطورة: متوسط

يجب عدم تكوين جدار الحماية ليكون مفتوحا للوصول العام

الوصف: تقيم هذه التوصية المصدرRanges والخصائص المسموح بها لأحد التكوينين:

تحتوي الخاصية sourceRanges على 0.0.0.0/0 وتحتوي الخاصية المسموح بها على مجموعة من القواعد التي تتضمن أي بروتوكول أو بروتوكول:منفذ، باستثناء ما يلي:

icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

تحتوي الخاصية sourceRanges على مجموعة من نطاقات IP التي تتضمن أي عنوان IP غيرprivate وتحتوي الخاصية المسموح بها على مجموعة من القواعد التي تسمح إما بجميع منافذ tcp أو جميع منافذ udp.

الخطورة: عالية

مشاركة عبر

توصيات تأمين الشبكة

توصيات شبكة Azure

توصيات شبكة AWS

توصيات شبكة GCP

المحتوى ذو الصلة

الملاحظات

الموارد الإضافية