Doporučení zabezpečení identit a přístupu

Článek
09/06/2024

Tento článek obsahuje seznam všech doporučení zabezpečení identit a přístupu, která se můžou zobrazit v programu Microsoft Defender for Cloud.

Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Tip

Pokud popis doporučení neobsahuje žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení.

Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je nainstalované řešení ochrany koncového bodu (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení má zásadu. Omezení zásad jenom na základní doporučení zjednodušuje správu zásad.

Doporučení pro identitu a přístup k Azure

Pro předplatná by měla být určena maximálně 3 vlastníci.

Popis: Pokud chcete snížit riziko porušení zabezpečení u ohrožených účtů vlastníka, doporučujeme omezit počet účtů vlastníka na maximálně 3 (související zásady: Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky).

Závažnost: Vysoká

Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se uživatelům během procesu přihlašování zobrazí výzva k zadání jiné formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění vlastníka k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u předplatných (bez souvisejících zásad).

Závažnost: Vysoká

Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se během procesu přihlašování zobrazí výzva k zadání další formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění ke čtení prostředků Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady. (Žádné související zásady)

Závažnost: Vysoká

Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se během procesu přihlašování zobrazí výzva k zadání další formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění k zápisu k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u předplatných (bez souvisejících zásad).

Závažnost: Vysoká

Účty Azure Cosmos DB by měly jako jedinou metodu ověřování používat Azure Active Directory.

Popis: Nejlepším způsobem ověřování ve službách Azure je použití řízení přístupu na základě role (RBAC). RBAC umožňuje zachovat princip minimálních oprávnění a podporuje možnost odvolat oprávnění jako efektivní metodu odpovědi při ohrožení zabezpečení. Účet služby Azure Cosmos DB můžete nakonfigurovat tak, aby vynucovali řízení přístupu na základě role jako jedinou metodu ověřování. Při konfiguraci vynucení budou všechny ostatní metody přístupu odepřeny (primární/sekundární klíče a přístupové tokeny). (Žádné související zásady)

Závažnost: Střední

Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.

Popis: Účty, u kterých se zablokovalo přihlášení ke službě Active Directory, by se měly odebrat z vašich prostředků Azure. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat.

Závažnost: Vysoká

Zastaralé účty by se měly z předplatných odebrat.

Popis: Uživatelské účty, které byly zablokovány přihlášení, by se měly odebrat z vašich předplatných. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Zastaralé účty by se měly z vašeho předplatného odebrat.

Závažnost: Vysoká

Zastaralé účty s oprávněními vlastníka by se měly z předplatných odebrat.

Závažnost: Vysoká

Diagnostické protokoly ve službě Key Vault by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Key Vault by měly být povolené).

Závažnost: Nízká

Z předplatných by se měly odebrat externí účty s oprávněními vlastníka.

Popis: Účty s oprávněními vlastníka, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka).

Závažnost: Vysoká

Z předplatných by se měly odebrat externí účty s oprávněními ke čtení.

Popis: Účty s oprávněními ke čtení, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Externí účty s oprávněním ke čtení by se měly z vašeho předplatného odebrat.

Závažnost: Vysoká

Z předplatných by se měly odebrat externí účty s oprávněním k zápisu.

Popis: Účty s oprávněním k zápisu, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat).

Závažnost: Vysoká

Brána firewall by měla být ve službě Key Vault povolená.

Popis: Brána firewall služby Key Vault brání neoprávněnému provozu v přístupu k trezoru klíčů a poskytuje další vrstvu ochrany tajných kódů. Povolte bránu firewall, abyste měli jistotu, že k trezoru klíčů mají přístup jenom přenosy z povolených sítí. (Související zásady: Brána firewall by měla být povolená ve službě Key Vault).

Závažnost: Střední

Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.

Popis: Účty s oprávněními vlastníka, které byly zřízeny mimo tenanta Azure Active Directory (různé názvy domén), by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat.

Popis: Účty s oprávněními ke čtení zřízené mimo tenanta Azure Active Directory (jiné názvy domén) by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat.

Popis: Účty s oprávněními k zápisu zřízené mimo tenanta Azure Active Directory (různé názvy domén) by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Klíče služby Key Vault by měly mít datum vypršení platnosti.

Popis: Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti kryptografických klíčů. (Související zásady: Klíče služby Key Vault by měly mít datum vypršení platnosti).

Závažnost: Vysoká

Tajné kódy služby Key Vault by měly mít datum vypršení platnosti.

Popis: Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti tajných kódů. (Související zásady: Tajné kódy služby Key Vault by měly mít datum vypršení platnosti).

Závažnost: Vysoká

Trezory klíčů by měly mít povolenou ochranu před vymazáním.

Popis: Škodlivé odstranění trezoru klíčů může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit trezory klíčů. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. (Související zásady: Trezory klíčů by měly mít povolenou ochranu před vymazáním).

Závažnost: Střední

Trezory klíčů by měly mít povolené obnovitelné odstranění.

Popis: Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. (Související zásady: Trezory klíčů by měly mít povolené obnovitelné odstranění).

Závažnost: Vysoká

Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka u předplatných.

Popis: Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k porušení účtů nebo prostředků. (Související zásady: U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.

Závažnost: Vysoká

U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování.

Popis: Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. (Související zásady: U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

Závažnost: Vysoká

U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování.

Popis: Pro všechny účty předplatného s oprávněními k zápisu by mělo být povolené vícefaktorové ověřování (MFA), aby nedošlo k narušení účtů nebo prostředků. (Související zásady: Vícefaktorové ověřování by měly být povolené účty s oprávněními k zápisu ve vašem předplatném).

Závažnost: Vysoká

Měla by být povolená služba Microsoft Defender for Key Vault.

Popis: Microsoft Defender for Cloud zahrnuje Microsoft Defender for Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení. Microsoft Defender for Key Vault detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key Vault nebo jejich zneužití.

Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné trezory klíčů, nebudou se vám účtovat žádné poplatky. Pokud později v tomto předplatném vytvoříte trezory klíčů, budou automaticky chráněné a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech. Další informace najdete v úvodu do programu Microsoft Defender for Key Vault. (Související zásady: Služba Azure Defender for Key Vault by měla být povolená).

Závažnost: Vysoká

Oprávnění neaktivních identit ve vašem předplatném Azure by se měla odvolat.

Popis: Microsoft Defender for Cloud zjistil identitu, která v posledních 45 dnech neprováděla žádnou akci u žádného prostředku v rámci vašeho předplatného Azure. Doporučuje se odvolat oprávnění neaktivních identit, aby se snížil prostor pro útoky vašeho cloudového prostředí.

Závažnost: Střední

Privátní koncový bod by měl být nakonfigurovaný pro Key Vault.

Popis: Private Link poskytuje způsob připojení služby Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. (Související zásady: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault).

Závažnost: Střední

Veřejný přístup k účtu úložiště by se měl nepovolit.

Popis: Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. (Související zásady: Veřejný přístup k účtu úložiště by měl být zakázán).

Závažnost: Střední

K předplatným by mělo být přiřazeno více než jeden vlastník.

Popis: Určete více než jednoho vlastníka předplatného, aby měl správce přístup k redundanci. (Související zásady: K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.

Závažnost: Vysoká

Doba platnosti certifikátů uložených ve službě Azure Key Vault by neměla překročit 12 měsíců.

Popis: Ujistěte se, že certifikáty nemají dobu platnosti, která přesahuje 12 měsíců. (Související zásady: Certifikáty by měly mít zadanou maximální dobu platnosti).

Závažnost: Střední

Nadměrné zřízení identit Azure by mělo mít pouze potřebná oprávnění (Preview)

Popis: Nadměrné zřízení identit nebo nad identitami s oprávněními nepoužívají mnoho jejich udělených oprávnění. Pravidelně oprávnění správné velikosti těchto identit, aby se snížilo riziko zneužití oprávnění, ať už náhodného nebo škodlivého. Tato akce snižuje potenciální poloměr výbuchu během incidentu zabezpečení.

Závažnost: Střední

Privilegované role by neměly mít trvalý přístup na úrovni předplatného a skupiny prostředků.

Popis: Microsoft Defender for Cloud zjistil identitu, která v posledních 45 dnech neprováděla žádnou akci u žádného prostředku v rámci vašeho předplatného Azure. Doporučuje se odvolat oprávnění neaktivních identit, aby se snížil prostor pro útoky vašeho cloudového prostředí.

Závažnost: Vysoká

Instanční objekty by se neměly přiřazovat k rolím pro správu na úrovni předplatného a skupiny prostředků.

Popis: Defender for Cloud identifikoval instanční objekty, které jsou přiřazené s privilegovanými rolemi na úrovni skupiny prostředků nebo předplatného. Privilegované role správce jsou role, které můžou provádět citlivé operace s prostředkem, jako je vlastník, přispěvatel nebo správce uživatelských přístupů. Instanční objekty hrají zásadní roli při správě prostředků Azure efektivně a bezpečně a eliminují potřebu lidského zásahu. Je důležité dodržovat zásadu nejnižších oprávnění, udělit pouze minimální úroveň přístupu nezbytné pro daný instanční objekt k plnění svých povinností. Správci a privilegovaný přístup jsou primárním cílem hackerů. Osvědčené postupy při používání přiřazení rolí privilegovaného správce najdete v tématu Osvědčené postupy pro Azure RBAC. Osvědčené postupy pro Azure RBAC Seznam dostupných rolí v Azure RBAC najdete v předdefinovaných rolích Azure.

Závažnost: Vysoká

Doporučení k identitě a přístupu AWS

Domény služby Amazon Elasticsearch by měly být v nástroji VPC.

Popis: VPC nemůže obsahovat domény s veřejným koncovým bodem. Tím se nevyhodnocuje konfigurace směrování podsítě VPC za účelem určení veřejné dostupnosti.

Závažnost: Vysoká

Oprávnění Amazon S3 udělená jiným účtům AWS v zásadách kontejnerů by měla být omezená.

Popis: Implementace přístupu s nejnižšími oprávněními je zásadní pro snížení rizika zabezpečení a dopadu chyb nebo škodlivého záměru. Pokud zásada kbelíku S3 umožňuje přístup z externích účtů, může vést k exfiltraci dat vnitřní hrozbou nebo útočníkem. Parametr blacklistedactionpatterns umožňuje úspěšné vyhodnocení pravidla pro kontejnery S3. Parametr uděluje přístup k externím účtům pro vzory akcí, které nejsou zahrnuty v seznamu blacklistedactionpatterns.

Závažnost: Vysoká

Vyhněte se použití účtu root.

Popis: Účet root má neomezený přístup ke všem prostředkům v účtu AWS. Důrazně doporučujeme, aby se používání tohoto účtu zabránilo. Účet root je nejprivilegovanějším účtem AWS. Minimalizace použití tohoto účtu a přijetí zásady nejnižších oprávnění pro správu přístupu sníží riziko náhodných změn a nezamýšlené zpřístupnění vysoce privilegovaných přihlašovacích údajů.

Závažnost: Vysoká

Klíče Služby správy klíčů AWS by neměly být neúmyslně odstraněny.

Popis: Tento ovládací prvek zkontroluje, jestli jsou klíče Služby správy klíčů naplánované k odstranění. Ovládací prvek selže, pokud je naplánováno odstranění klíče Služby správy klíčů. Klíče Služby správy klíčů nelze po odstranění obnovit. Data zašifrovaná pod klíčem Služby správy klíčů jsou také trvale neobnovitelná, pokud se klíč Služby správy klíčů odstraní. Pokud jsou smysluplná data zašifrovaná pod klíčem Služby správy klíčů naplánovaným k odstranění, zvažte dešifrování dat nebo opětovné šifrování dat pod novým klíčem Služby správy klíčů, pokud záměrně nespouštíte kryptografické vymazání. Pokud je klíč Služby správy klíčů naplánovaný na odstranění, vynutí se povinná čekací doba, aby bylo možné odstranění vrátit zpět, pokud bylo naplánováno v chybě. Výchozí čekací doba je 30 dní, ale při plánovaném odstranění klíče Služby správy klíčů je možné ji zkrátit na až sedm dnů. Během čekací doby je možné plánované odstranění zrušit a klíč Služby správy klíčů se neodstraní. Další informace o odstraňování klíčů Služby správy klíčů najdete v tématu Odstranění klíčů Služby správy klíčů v příručce pro vývojáře AWS Služba správy klíčů.

Závažnost: Vysoká

Nadměrné identity AWS by měly mít pouze potřebná oprávnění (Preview).

Popis: Nadměrně zřízená aktivní identita je identita, která má přístup k oprávněním, která nepoužívají. Nadměrně zřízené aktivní identity, zejména u nelidských účtů, které mají definované akce a odpovědnosti, můžou zvýšit poloměr výbuchu v případě ohrožení zabezpečení uživatele, klíče nebo prostředku. Odeberte nepotřebná oprávnění a nastavte procesy kontroly, abyste dosáhli nejnižších privilegovaných oprávnění.

Závažnost: Střední

Protokolování globálního webového seznamu ACL pro AWS WAF Classic by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli je protokolování povolené pro globální seznam ACL webu AWS WAF. Tento ovládací prvek selže, pokud protokolování není pro webový seznam ACL povolené. Protokolování je důležitou součástí údržby spolehlivosti, dostupnosti a výkonu AWS WAF globálně. Je to požadavek na obchodní a dodržování předpisů v mnoha organizacích a umožňuje řešit potíže s chováním aplikací. Poskytuje také podrobné informace o provozu, který je analyzován webovým seznamem ACL připojeným k AWS WAF.

Závažnost: Střední

Distribuce CloudFront by měly mít nakonfigurovaný výchozí kořenový objekt.

Popis: Tento ovládací prvek zkontroluje, zda je distribuce Amazon CloudFront nakonfigurována tak, aby vracela konkrétní objekt, který je výchozím kořenovým objektem. Pokud distribuce CloudFront nemá nakonfigurovaný výchozí kořenový objekt, ovládací prvek selže. Uživatel může někdy požadovat kořenovou adresu URL distribuce místo objektu v distribuci. Když k tomu dojde, zadání výchozího kořenového objektu vám může pomoct vyhnout se zveřejnění obsahu vaší webové distribuce.

Závažnost: Vysoká

Distribuce CloudFront by měly mít povolenou identitu přístupu ke zdroji.

Popis: Tento ovládací prvek zkontroluje, jestli je nakonfigurovaná distribuce Amazon CloudFront s typem Zdroje Amazon S3 Origin Identity (OAI). Pokud není nakonfigurovaný OAI, ovládací prvek selže. CloudFront OAI brání uživatelům v přímém přístupu k obsahu kbelíku S3. Když uživatelé přistupují přímo k kbelíku S3, efektivně obcházejí distribuci CloudFront a všechna oprávnění, která se použijí na podkladový obsah kbelíku S3.

Závažnost: Střední

Ověření souboru protokolu CloudTrail by mělo být povolené.

Popis: Pokud chcete zajistit další kontrolu integrity protokolů CloudTrail, doporučujeme povolit ověřování souborů na všech CloudTrails.

Závažnost: Nízká

Měla by být povolená služba CloudTrail.

Popis: AWS CloudTrail je webová služba, která zaznamenává volání rozhraní API AWS pro váš účet a doručuje soubory protokolů. Ne všechny služby ve výchozím nastavení povolují protokolování pro všechna rozhraní API a události. Měli byste implementovat všechny další záznamy auditu jiné než CloudTrail a projít si dokumentaci pro každou službu v podporovaných službách a integrací CloudTrail.

Závažnost: Vysoká

Trasy CloudTrail by měly být integrované s protokoly CloudWatch.

Popis: Kromě zachycení protokolů CloudTrail v zadaném kontejneru S3 pro dlouhodobou analýzu je možné analýzu v reálném čase provést konfigurací CloudTrail pro odesílání protokolů do protokolů CloudWatch. Pro trasu, která je povolená ve všech oblastech v účtu, Odešle CloudTrail soubory protokolu ze všech těchto oblastí do skupiny protokolů CloudWatch. Doporučujeme, aby se protokoly CloudTrail odesílaly do protokolů CloudWatch, aby se zajistilo, že se aktivita účtu AWS zaznamenává, monitoruje a odpovídajícím způsobem alarmuje. Odesílání protokolů CloudTrail do protokolů CloudWatch usnadňuje protokolování aktivit v reálném čase a historické aktivitě na základě uživatele, rozhraní API, prostředku a IP adresy a poskytuje příležitost k vytvoření alarmů a oznámení pro neobvyklou aktivitu účtu nebo aktivitu účtu citlivosti.

Závažnost: Nízká

Protokolování databáze by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli jsou povolené a odesílané následující protokoly Amazon RDS do protokolů CloudWatch:

Oracle: (upozornění, audit, trasování, naslouchací proces)
PostgreSQL: (Postgresql, Upgrade)
MySQL: (Audit, Chyba, Obecné, SlowQuery)
MariaDB: (Audit, Chyba, Obecné, SlowQuery)
SQL Server: (chyba, agent)
Aurora: (Audit, Chyba, Obecné, SlowQuery)
Aurora-MySQL: (Audit, Chyba, Obecné, SlowQuery)
Aurora-PostgreSQL: (Postgresql, Upgrade). Databáze RDS by měly mít povolené relevantní protokoly. Protokolování databáze poskytuje podrobné záznamy požadavků provedených v RDS. Databázové protokoly můžou pomoct s audity zabezpečení a přístupu a můžou pomoct s diagnostikou problémů s dostupností.

Závažnost: Střední

Zakázání přímého přístupu k internetu pro instance poznámkových bloků Amazon Sage Maker

Popis: Přímý přístup k internetu by měl být pro instanci poznámkového bloku služby Sage Maker zakázaný. Tím zkontrolujete, jestli je pro instanci poznámkového bloku zakázané pole DirectInternetAccess. Vaše instance by měla být nakonfigurovaná s VPC a výchozí nastavení by mělo být Zakázáno – Přístup k internetu přes VPC. Pokud chcete povolit přístup k internetu pro trénování nebo hostování modelů z poznámkového bloku, ujistěte se, že váš VPC má bránu NAT a vaše skupina zabezpečení umožňuje odchozí připojení. Ujistěte se, že přístup ke konfiguraci služby Sage Maker je omezený jenom na oprávněné uživatele a omezte oprávnění IAM uživatelů k úpravě nastavení a prostředků služby Sage Maker.

Závažnost: Vysoká

Nenastavujte přístupové klíče během počátečního nastavení uživatele pro všechny uživatele IAM, kteří mají heslo konzoly.

Popis: Konzola AWS ve výchozím nastavení zaškrtne políčko pro vytváření přístupových klíčů pro povolení. Výsledkem je zbytečně generování mnoha přístupových klíčů. Kromě nepotřebných přihlašovacích údajů generuje také nepotřebnou práci správy při auditování a obměně těchto klíčů. Vyžadování dalších kroků, které uživatel po vytvoření profilu provede, poskytne silnější označení záměru, že přístupové klíče jsou [a] nezbytné pro svou práci, a [b] jakmile je přístupový klíč vytvořen na účtu, který by mohl klíče používat někde v organizaci.

Závažnost: Střední

Zajištění vytvoření role podpory pro správu incidentů pomocí podpory AWS

Popis: AWS poskytuje centrum podpory, které se dá použít k oznámení a reakci na incidenty, jakož i technickou podporu a služby zákazníků. Vytvořte roli IAM, která oprávněným uživatelům umožní spravovat incidenty pomocí podpory AWS. Když implementujete nejnižší oprávnění pro řízení přístupu, role IAM vyžaduje odpovídající zásady IAM, které umožňují přístup k Centru podpory podpory, aby bylo možné spravovat incidenty pomocí podpory AWS.

Závažnost: Nízká

Ujistěte se, že se přístupové klíče obměňují každých 90 dnů nebo méně.

Popis: Přístupové klíče se skládají z ID přístupového klíče a tajného přístupového klíče, které slouží k podepisování programových požadavků, které provedete v AWS. Uživatelé AWS potřebují vlastní přístupové klíče, aby mohli programově volat AWS z rozhraní příkazového řádku AWS (AWS CLI), Nástrojů pro Windows PowerShell, sad AWS SDK nebo přímých volání HTTP pomocí rozhraní API pro jednotlivé služby AWS. Doporučuje se pravidelně obměňovat všechny přístupové klíče. Rotace přístupových klíčů zkracuje okno příležitosti pro přístupový klíč, který je spojený s ohroženým nebo ukončeným účtem, který se má použít. Přístupové klíče by se měly otočit, aby se zajistilo, že data nebudou přístupná starým klíčem, který by mohl být ztracený, prasklý nebo odcizený.

Závažnost: Střední

Ujistěte se, že je ve všech oblastech povolená konfigurace AWS.

Popis: AWS Config je webová služba, která provádí správu konfigurace podporovaných prostředků AWS v rámci vašeho účtu a doručuje soubory protokolu. Zaznamenané informace zahrnují položku konfigurace (prostředek AWS), vztahy mezi položkami konfigurace (prostředky AWS), všechny změny konfigurace mezi prostředky. Doporučujeme povolit konfiguraci AWS ve všech oblastech.

Historie položek konfigurace AWS zachycená konfigurací AWS Config umožňuje analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů.

Závažnost: Střední

Ujistěte se, že je služba CloudTrail povolená ve všech oblastech.

Popis: AWS CloudTrail je webová služba, která zaznamenává volání rozhraní API AWS pro váš účet a doručuje soubory protokolů. Zaznamenané informace zahrnují identitu volajícího rozhraní API, čas volání rozhraní API, zdrojovou IP adresu volajícího rozhraní API, parametry požadavku a prvky odpovědi vrácené službou AWS. CloudTrail poskytuje historii volání rozhraní API AWS pro účet, včetně volání rozhraní API provedených prostřednictvím konzoly pro správu, sad SDK, nástrojů příkazového řádku a služeb AWS vyšší úrovně (například CloudFormation). Historie volání rozhraní API AWS vytvořená službou CloudTrail umožňuje analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů. Dále:

Kontrola, že existuje záznam s více oblastmi, zajišťuje, že se zjistí neočekávaná aktivita, ke které dochází v jinak nepoužívaných oblastech.
Kontrola, že existuje záznam s více oblastmi, zajišťuje, že je pro trasu ve výchozím nastavení povolené protokolování globální služby, aby bylo možné zaznamenávat záznamy událostí vygenerovaných v globálních službách AWS.
U záznamu s více oblastmi zkontrolujte, jestli jsou události správy nakonfigurované pro všechny typy čtení a zápisů, zajišťuje záznam operací správy, které se provádějí u všech prostředků v účtu AWS.

Závažnost: Vysoká

Ujistěte se, že jsou zakázané nepoužívané přihlašovací údaje po dobu 90 dnů nebo vyšší.

Popis: Uživatelé IAM AWS mají přístup k prostředkům AWS pomocí různých typů přihlašovacích údajů, jako jsou hesla nebo přístupové klíče. Doporučujeme odebrat nebo deaktivovat všechny přihlašovací údaje, které se během 90 nebo více dnů nepoužívané. Zakázání nebo odebrání nepotřebných přihlašovacích údajů zkracuje okno příležitosti pro přihlašovací údaje spojené s ohroženým nebo opuštěným účtem, který se má použít.

Závažnost: Střední

Ujistěte se, že platnost zásad hesel IAM vyprší do 90 dnů nebo méně.

Popis: Zásady hesel IAM můžou vyžadovat obměnu nebo vypršení platnosti hesel po daném počtu dnů. Doporučujeme, aby platnost hesel vypršela po 90 dnech nebo méně. Snížení doby života hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou. Kromě toho, vyžadování pravidelné změny hesla pomoci v následujících scénářích:

Hesla můžou být někdy odcizena nebo ohrožena bez vašich znalostí. K tomu může dojít prostřednictvím ohrožení zabezpečení systému, ohrožení zabezpečení softwaru nebo interní hrozby.
Některé podnikové a vládní webové filtry nebo proxy servery mají možnost zachytit a zaznamenávat provoz, i když je šifrovaný.
Mnoho lidí používá stejné heslo pro mnoho systémů, jako je práce, e-mail a osobní.
Ohrožené pracovní stanice koncových uživatelů můžou obsahovat protokolovací nástroj pro stisknutí kláves.

Závažnost: Nízká

Ujistěte se, že zásady hesel IAM brání opakovanému použití hesla.

Popis: Zásady hesel IAM můžou zabránit opakovanému použití daného hesla stejným uživatelem. Doporučuje se, aby zásady hesel znemožňovaly opakované použití hesel. Zabránění opakovanému použití hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Nízká

Ujistěte se, že zásady hesel IAM vyžadují aspoň jedno malé písmeno.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno malé písmeno. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují alespoň jedno číslo.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno číslo. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují alespoň jeden symbol.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jeden symbol. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují aspoň jedno velké písmeno.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno velké písmeno. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují minimální délku 14 nebo vyšší.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM je možné použít k zajištění, aby heslo mělo alespoň danou délku. Doporučuje se, aby zásady hesel vyžadovaly minimální délku hesla 14. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že je pro všechny uživatele IAM s heslem konzoly povolené vícefaktorové ověřování (MFA).

Popis: Vícefaktorové ověřování (MFA) přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají heslo konzoly. Povolení vícefaktorového ověřování poskytuje vyšší zabezpečení přístupu ke konzole, protože vyžaduje ověřování objektu zabezpečení, které má zařízení, které generuje časově citlivý klíč a má znalosti o přihlašovacích údajích.

Závažnost: Střední

Funkce GuardDuty by měla být povolená.

Popis: Pokud chcete poskytnout další ochranu před neoprávněným vniknutím, měla by být ve vašem účtu a oblasti AWS povolená ochrana GuardDuty.

GuardDuty nemusí být kompletním řešením pro každé prostředí.

Závažnost: Střední

Pro účet root by mělo být povolené vícefaktorové ověřování hardwaru.

Popis: Kořenový účet je nejprivilegovanější uživatel v účtu. Vícefaktorové ověřování přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Pro úroveň 2 se doporučuje chránit kořenový účet pomocí hardwarového vícefaktorového ověřování. Vícefaktorové ověřování hardwaru má menší prostor pro útoky než virtuální MFA. Například hardwarové vícefaktorové ověřování netrpí prostorem pro útok, který představuje mobilní smartphone, na kterém se nachází virtuální MFA. Při použití hardwaru pro vícefaktorové ověřování pro mnoho účtů může dojít k problému s logistickou správou zařízení. Pokud k tomu dojde, zvažte selektivní implementaci tohoto doporučení úrovně 2 na nejvyšší účty zabezpečení. Pak můžete u zbývajících účtů použít doporučení úrovně 1.

Závažnost: Nízká

Ověřování IAM by mělo být nakonfigurované pro clustery RDS.

Popis: Tento ovládací prvek zkontroluje, jestli má cluster služby RDS DB povolené ověřování databáze IAM. Ověřování databáze IAM umožňuje ověřování bez hesla pro instance databáze. Ověřování používá ověřovací token. Síťový provoz do a z databáze se šifruje pomocí PROTOKOLU SSL. Další informace najdete v tématu Ověřování databáze IAM v uživatelské příručce Amazon Aurora.

Závažnost: Střední

Ověřování IAM by mělo být nakonfigurované pro instance vzdálené plochy.

Popis: Tento ovládací prvek zkontroluje, jestli má instance databáze RDS povoleno ověřování databáze IAM. Ověřování databáze IAM umožňuje ověřování instancím databáze s ověřovacím tokenem místo hesla. Síťový provoz do a z databáze se šifruje pomocí PROTOKOLU SSL. Další informace najdete v tématu Ověřování databáze IAM v uživatelské příručce Amazon Aurora.

Závažnost: Střední

Zásady spravované zákazníkem IAM by neměly povolovat dešifrování u všech klíčů Služby správy klíčů.

Popis: Kontroluje, jestli výchozí verze zásad spravovaných zákazníkem IAM umožňuje objektům zabezpečení používat akce dešifrování služby AWS KMS u všech prostředků. Tento ovládací prvek používá Zelkova, automatizovaný modul pro odůvodnění, k ověření a upozornění na zásady, které by mohly udělit široký přístup k vašim tajným kódům napříč účty AWS. Tento ovládací prvek selže, pokud jsou akce Kms: Dešifrování nebo Kms: ReEncryptFrom povolené pro všechny klíče Služby správy klíčů. Ovládací prvek vyhodnotí připojené i nepřipojené zásady spravované zákazníkem. Nekontroluje vložené zásady ani spravované zásady AWS. Pomocí služby AWS KmS můžete určit, kdo může používat klíče Služby správy klíčů a získat přístup k šifrovaným datům. Zásady IAM definují, které akce může identita (uživatel, skupina nebo role) provádět s jakými prostředky. Podle osvědčených postupů zabezpečení doporučuje AWS povolit nejnižší oprávnění. Jinými slovy, měli byste identitám udělit pouze oprávnění kms:Decrypt nebo kms:ReEncryptFrom a pouze pro klíče, které jsou potřeba k provedení úkolu. Jinak může uživatel používat klíče, které nejsou vhodné pro vaše data. Místo udělení oprávnění pro všechny klíče určete minimální sadu klíčů, které uživatelé potřebují pro přístup k šifrovaným datům. Pak navrhněte zásady, které uživatelům umožňují používat pouze tyto klíče. Například nepovolujte oprávnění Kms: Dešifrovat u všech klíčů Služby správy klíčů. Místo toho povolte "kms: Dešifrování" pouze u klíčů v konkrétní oblasti pro váš účet. Přijetím zásady nejnižších oprávnění můžete snížit riziko neúmyslného zveřejnění vašich dat.

Závažnost: Střední

Zásady spravované zákazníkem IAM, které vytvoříte, by neměly povolovat akce se zástupnými znaky pro služby.

Popis: Tento ovládací prvek zkontroluje, jestli zásady založené na identitě IAM, které vytvoříte, mají příkazy Povolit, které používají * zástupný znak k udělení oprávnění pro všechny akce v jakékoli službě. Ovládací prvek selže, pokud nějaké prohlášení o zásadách zahrnuje "Effect": Allow with 'Action': 'Service:*'. Například následující příkaz v zásadách způsobí neúspěšné hledání.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Ovládací prvek také selže, pokud použijete effect: Allow s NotAction: "service:". V takovém případě element NotAction poskytuje přístup ke všem akcím ve službě AWS s výjimkou akcí zadaných v NotAction. Tento ovládací prvek platí jenom pro zásady IAM spravované zákazníky. Nevztahuje se na zásady IAM spravované službou AWS. Když přiřadíte oprávnění ke službám AWS, je důležité nastavit rozsah povolených akcí IAM ve vašich zásadách IAM. Akce IAM byste měli omezit jenom na ty, které jsou potřeba. To vám pomůže zřídit oprávnění s nejnižšími oprávněními. Příliš permisivní zásady můžou vést k eskalaci oprávnění, pokud jsou zásady připojené k objektu zabezpečení IAM, který nemusí vyžadovat oprávnění. V některých případech můžete chtít povolit akce IAM, které mají podobnou předponu, například DescribeFlowLogs a DescribeAvailabilityZones. V těchto autorizovaných případech můžete k společné předponě přidat zástupný znak s příponou. Například ec2:Describe.

Tento ovládací prvek se předá, pokud použijete akci IAM s předponou se zástupným znakem s příponou. Například následující příkaz v zásadách vede k předání hledání.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

Když tímto způsobem seskupíte související akce IAM, můžete se vyhnout překročení limitů velikosti zásad IAM.

Závažnost: Nízká

Zásady IAM by měly být připojené jenom ke skupinám nebo rolím.

Popis: Ve výchozím nastavení nemají uživatelé, skupiny a role IAM přístup k prostředkům AWS. Zásady IAM jsou prostředky, pomocí kterých jsou udělena oprávnění uživatelům, skupinám nebo rolím. Doporučujeme, aby se zásady IAM použily přímo na skupiny a role, ale ne pro uživatele. Přiřazení oprávnění na úrovni skupiny nebo role snižuje složitost správy přístupu při rostoucím počtu uživatelů. Snížení složitosti správy přístupu může také snížit příležitost pro instanční objekt neúmyslně přijímat nebo uchovávat nadměrná oprávnění.

Závažnost: Nízká

Zásady IAM, které povolují úplná oprávnění správce :, by se neměly vytvářet.

Popis: Zásady IAM jsou prostředky, pomocí kterých jsou udělena oprávnění uživatelům, skupinám nebo rolím. Doporučuje se a považuje se za standardní doporučení k zabezpečení, které umožňuje udělit nejnižší oprávnění a udělit pouze oprávnění potřebná k provedení úkolu. Určete, co uživatelé potřebují dělat, a pak pro ně vytvořte zásady, které uživatelům umožňují provádět pouze tyto úlohy, místo aby povolovaly úplná oprávnění správce. Je bezpečnější začít s minimální sadou oprávnění a podle potřeby udělovat další oprávnění, nikoli začít s oprávněními, která jsou příliš časná, a pak je později zpřísnit. Poskytnutí úplných oprávnění pro správu místo omezení na minimální sadu oprávnění, která uživatel vyžaduje, aby prostředky zpřístupnil potenciálně nežádoucím akcím. Zásady IAM, které mají prohlášení s efektem: "Povolit" s akcí: "" přes "Prostředek": "" by se měly odebrat.

Závažnost: Vysoká

Instanční objekty IAM by neměly obsahovat vložené zásady IAM, které umožňují dešifrování akcí u všech klíčů Služby správy klíčů.

Popis: Zkontroluje, jestli vložené zásady vložené do identit IAM (role, uživatel nebo skupina) umožňují dešifrovací akce AWS KmS pro všechny klíče Služby správy klíčů. Tento ovládací prvek používá Zelkova, automatizovaný modul pro odůvodnění, k ověření a upozornění na zásady, které by mohly udělit široký přístup k vašim tajným kódům napříč účty AWS. Tento ovládací prvek selže, pokud kms:Decrypt jsou povolené akce kms:ReEncryptFrom pro všechny klíče Služby správy klíčů v vložené zásadě. Pomocí služby AWS KmS můžete určit, kdo může používat klíče Služby správy klíčů a získat přístup k šifrovaným datům. Zásady IAM definují, které akce může identita (uživatel, skupina nebo role) provádět s jakými prostředky. Podle osvědčených postupů zabezpečení doporučuje AWS povolit nejnižší oprávnění. Jinými slovy, měli byste identitám udělit jenom oprávnění, která potřebují, a pouze pro klíče potřebné k provedení úlohy. Jinak může uživatel používat klíče, které nejsou vhodné pro vaše data. Místo udělení oprávnění pro všechny klíče určete minimální sadu klíčů, které uživatelé potřebují pro přístup k šifrovaným datům. Pak navrhněte zásady, které uživatelům umožňují používat pouze tyto klíče. Například nepovolujte kms:Decrypt oprávnění pro všechny klíče Služby správy klíčů. Místo toho je povolte pouze u klíčů v konkrétní oblasti pro váš účet. Přijetím zásady nejnižších oprávnění můžete snížit riziko neúmyslného zveřejnění vašich dat.

Závažnost: Střední

Funkce lambda by měly omezit veřejný přístup.

Popis: Zásady založené na prostředcích funkce lambda by měly omezit veřejný přístup. Toto doporučení nekontroluje přístup interními objekty zabezpečení. Zajistěte, aby přístup k funkci byl omezen pouze na autorizované objekty zabezpečení pomocí zásad založených na prostředcích s nejnižšími oprávněními.

Závažnost: Vysoká

Vícefaktorové ověřování by mělo být povolené pro všechny uživatele IAM.

Popis: Všichni uživatelé IAM by měli mít povolené vícefaktorové ověřování (MFA).

Závažnost: Střední

Pro účet root by mělo být povolené vícefaktorové ověřování.

Popis: Kořenový účet je nejprivilegovanější uživatel v účtu. Vícefaktorové ověřování přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Pokud pro kořenové účty používáte virtuální MFA, doporučuje se, aby použité zařízení nebylo osobním zařízením. Místo toho používejte vyhrazené mobilní zařízení (tablet nebo telefon), které spravujete, abyste zachovali poplatky a zabezpečení nezávisle na jednotlivých osobních zařízeních. Tím se sníží riziko ztráty přístupu k vícefaktorovém ověřování kvůli ztrátě zařízení, obchodu se zařízením nebo v případě, že jednotlivec, který zařízení vlastní, už ve společnosti nepoužívá.

Závažnost: Nízká

Zásady hesel pro uživatele IAM by měly mít silné konfigurace

Popis: Zkontroluje, jestli zásady hesel účtu pro uživatele IAM používají následující minimální konfigurace.

RequireUppercaseCharacters– Vyžaduje alespoň jedno velké písmeno v hesle. (Default = true)
RequireLowercaseCharacters – Vyžaduje alespoň jedno malé písmeno v hesle. (Default = true)
RequireNumbers– Vyžaduje alespoň jedno číslo v hesle. (Default = true)
MinimumPasswordLength- Minimální délka hesla. (Výchozí = 7 nebo delší)
PasswordReusePrevention – počet hesel před povolením opětovného použití. (Výchozí = 4)
MaxPasswordAge – počet dní před vypršením platnosti hesla. (Výchozí = 90)

Závažnost: Střední

Oprávnění neaktivních identit ve vašem účtu AWS by měla být odvolána.

Popis: Microsoft Defender pro cloud zjistil identitu, která v posledních 45 dnech neprováděla žádnou akci u žádného prostředku ve vašem účtu AWS. Doporučuje se odvolat oprávnění neaktivních identit, aby se snížil prostor pro útoky vašeho cloudového prostředí.

Závažnost: Střední

Přístupový klíč kořenového účtu by neměl existovat.

Popis: Kořenový účet je nejprivilegovanějším uživatelem v účtu AWS. Přístupové klíče AWS poskytují programový přístup k danému účtu AWS. Doporučujeme odebrat všechny přístupové klíče přidružené ke kořenovému účtu. Odebrání přístupových klíčů přidružených k vektorům omezení kořenového účtu, kterými může být účet ohrožen. Kromě toho odebrání kořenových přístupových klíčů podporuje vytváření a používání účtů založených na rolích, které jsou nejméně privilegované.

Závažnost: Vysoká

Mělo by být povolené nastavení S3 Block Public Access (Blokovat veřejný přístup).

Popis: Povolení nastavení blokovat veřejný přístup pro kontejner S3 může pomoct zabránit únikům citlivých dat a chránit kontejner před škodlivými akcemi.

Závažnost: Střední

Nastavení S3 Block Public Access (Blokovat veřejný přístup) by mělo být povolené na úrovni kontejneru.

Popis: Tento ovládací prvek kontroluje, jestli kontejnery S3 mají použité bloky veřejného přístupu na úrovni kbelíku. Tento ovládací prvek selže, pokud je některá z následujících nastavení nastavená na false:

ignorePublicAcls
blockPublicPolicy
blockPublicAcls
omezeníPublicBuckets Blokovat veřejný přístup na úrovni kontejneru S3 poskytuje ovládací prvky, které zajistí, že objekty nikdy nemají veřejný přístup. Veřejný přístup se uděluje kontejnerům a objektům prostřednictvím seznamů řízení přístupu (ACL), zásad kbelíku nebo obojího. Pokud nemáte v úmyslu veřejně zpřístupnit kontejnery S3, měli byste nakonfigurovat funkci Amazon S3 Block Public Access na úrovni kbelíku.

Závažnost: Vysoká

Veřejný přístup ke čtení by se měl odebrat v kontejnerech S3.

Popis: Odebrání veřejného přístupu pro čtení do kontejneru S3 může pomoct chránit vaše data a zabránit porušení zabezpečení dat.

Závažnost: Vysoká

Veřejný přístup k zápisu do kontejnerů S3 by se měl odebrat.

Popis: Povolení přístupu k veřejnému zápisu do kontejneru S3 vám umožní ohrozit škodlivé akce, jako je ukládání dat na vaše výdaje, šifrování souborů za účelem výkupného nebo používání kontejneru k provozování malwaru.

Závažnost: Vysoká

Tajné kódy Správce tajných kódů by měly mít povolenou automatickou obměnu.

Popis: Tento ovládací prvek zkontroluje, jestli je tajný kód uložený ve Správci tajných kódů AWS nakonfigurovaný s automatickou obměnou. Správce tajných kódů pomáhá zlepšit stav zabezpečení vaší organizace. Tajné kódy zahrnují přihlašovací údaje databáze, hesla a klíče rozhraní API třetích stran. Pomocí Správce tajných kódů můžete ukládat tajné kódy centrálně, šifrovat tajné kódy automaticky, řídit přístup k tajným kódům a bezpečně a automaticky obměňovat tajné kódy. Správce tajných kódů může obměňovat tajné kódy. Obměně můžete nahradit dlouhodobé tajné kódy krátkodobými tajnými kódy. Obměně tajných kódů omezuje dobu, po jakou může neoprávněný uživatel použít ohrožený tajný kód. Z tohoto důvodu byste měli často obměňovat tajné kódy. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.

Závažnost: Střední

Zastavené instance EC2 by měly být odebrány po zadaném časovém období.

Popis: Tento ovládací prvek zkontroluje, jestli byly některé instance EC2 zastaveny déle než povolený počet dní. Instance EC2 tuto kontrolu nezdaří, pokud je zastavena déle, než je maximální povolené časové období, což je ve výchozím nastavení 30 dnů. Neúspěšné zjištění značí, že instance EC2 se po dlouhou dobu nespustí. To vytváří bezpečnostní riziko, protože instance EC2 se aktivně neudržuje (analyzovaná, opravená, aktualizovaná). Pokud se později spustí, může nedostatek správné údržby vést k neočekávaným problémům ve vašem prostředí AWS. Pokud chcete bezpečně udržovat instanci EC2 v čase v nerušovacím stavu, spusťte ji pravidelně pro údržbu a po údržbě ji zastavte. V ideálním případě se jedná o automatizovaný proces.

Závažnost: Střední

Nepoužité identity ve vašem prostředí AWS by se měly odebrat (Preview)

Popis: Neaktivní identity jsou lidské a nelidé entity, které v posledních 90 dnech neprovedli žádnou akci u žádného prostředku. Neaktivní identity IAM s vysoce rizikovými oprávněními ve vašem účtu AWS můžou být náchylné k útoku, pokud zůstanou tak, jak jsou, a nechat organizace otevřené pro zneužití nebo zneužití přihlašovacích údajů. Proaktivní zjišťování a reagování na nepoužívané identity pomáhá zabránit neoprávněným entitám v získání přístupu k vašim prostředkům AWS.

Závažnost: Střední

Doporučení k identitě a přístupu GCP

Kryptografické klíče by neměly mít více než tři uživatele.

Popis: Toto doporučení vyhodnotí zásady IAM pro klíčové okruhy, projekty a organizace a načte objekty zabezpečení s rolemi, které jim umožňují šifrovat, dešifrovat nebo podepsat data pomocí klíčů Cloud KMS: role/vlastník, role/cloudkms.cryptoKeyEncrypterDecrypter, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyDecrypter, role/cloudkms.signerverifier.

Závažnost: Střední

Ujistěte se, že se pro projekt nevytvořily klíče rozhraní API.

Popis: Klíče jsou nezabezpečené, protože je můžete zobrazit veřejně, například z prohlížeče, nebo je můžete získat přístup na zařízení, kde se nachází klíč. Místo toho se doporučuje použít standardní ověřovací tok.

Rizika zabezpečení spojená s používáním klíčů API se zobrazují níže:

Klíče rozhraní API jsou jednoduché šifrované řetězce.
Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Pokud se chcete vyhnout riziku zabezpečení při používání klíčů rozhraní API, doporučujeme místo toho použít standardní ověřovací tok.

Závažnost: Vysoká

Ujistěte se, že klíče rozhraní API jsou omezené jenom na rozhraní API, která aplikace potřebuje přístup.

Popis: Klíče rozhraní API jsou nezabezpečené, protože se dají zobrazit veřejně, například z prohlížeče, nebo se dají získat přístup na zařízení, kde se nachází klíč. Doporučujeme omezit klíče rozhraní API tak, aby používaly (volat) pouze rozhraní API požadovaná aplikací.

Rizika zabezpečení spojená s používáním klíčů ROZHRANÍ API jsou následující:

Klíče rozhraní API jsou jednoduché šifrované řetězce.
Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Vzhledem k těmto potenciálním rizikům google doporučuje místo klíčů API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Aby se omezily možnosti útoku poskytnutím nejnižších oprávnění, je možné omezit použití (volání) pouze rozhraní API vyžadovaná aplikací.

Závažnost: Vysoká

Ujistěte se, že klíče rozhraní API jsou omezené jenom na zadané hostitele a aplikace.

Popis: Neomezené klíče jsou nezabezpečené, protože je lze zobrazit veřejně, například z prohlížeče, nebo je lze získat přístup na zařízení, kde se nachází klíč. Doporučujeme omezit použití klíče rozhraní API na důvěryhodné hostitele, referery HTTP a aplikace.

Rizika zabezpečení spojená s používáním klíčů API se zobrazují níže:

Klíče rozhraní API jsou jednoduché šifrované řetězce.
Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Vzhledem k těmto potenciálním rizikům google doporučuje místo klíčů rozhraní API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Aby se snížily vektory útoku, mohou být klíče ROZHRANÍ API omezeny pouze na důvěryhodné hostitele, referery HTTP a aplikace.

Závažnost: Vysoká

Ujistěte se, že se klíče rozhraní API obměňují každých 90 dnů.

Popis: Doporučuje se obměňovat klíče rozhraní API každých 90 dnů.

Rizika zabezpečení spojená s používáním klíčů API jsou uvedena níže:

Klíče rozhraní API jsou jednoduché šifrované řetězce.
Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Kvůli těmto potenciálním rizikům Google doporučuje místo klíčů rozhraní API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Jakmile dojde k odcizení klíče, nemá žádné vypršení platnosti, což znamená, že se může používat po neomezenou dobu, pokud vlastník projektu neodvolá nebo znovu vygeneruje klíč. Obměna klíčů rozhraní API sníží možnost použití přístupového klíče přidruženého k napadenému nebo ukončeného účtu.

Klíče rozhraní API by se měly otočit, aby se zajistilo, že data nebudou přístupná starým klíčem, který by mohl být ztracený, prasklý nebo odcizený.

Závažnost: Vysoká

Ujistěte se, že se šifrovací klíče Služby správy klíčů obměňují během 90 dnů.

Popis: Google Cloud Služba správy klíčů ukládá kryptografické klíče v hierarchické struktuře navržené pro užitečnou a elegantní správu řízení přístupu. Formát plánu otáčení závisí na použité klientské knihovně. Pro nástroj příkazového řádku gcloud musí být čas příštího otáčení ve formátu ISO nebo "RFC3339" a období otáčení musí být ve formátu INTEGER[UNIT], kde jednotky mohou být jedna z sekund (s), minut (m), hodin (h) nebo dnů (d). Nastavte období obměně klíčů a počáteční čas. Klíč lze vytvořit se zadaným "obdobím obměnky", což je čas mezi automatickým generováním nových verzí klíčů. Klíč lze také vytvořit se zadaným časem příští rotace. Klíč je pojmenovaný objekt představující "kryptografický klíč" používaný pro konkrétní účel. Materiál klíče, skutečné bity používané pro "šifrování", se můžou v průběhu času měnit při vytváření nových verzí klíčů. Klíč se používá k ochraně některého "korpusu dat". Kolekci souborů je možné zašifrovat pomocí stejného klíče a osoby s oprávněním k dešifrování tohoto klíče by tyto soubory mohly dešifrovat. Proto je nutné zajistit, aby "období obměně" bylo nastaveno na určitý čas.

Závažnost: Střední

Ujistěte se, že existuje filtr metrik protokolu a upozornění pro přiřazení nebo změny vlastnictví projektu.

Popis: Aby se zabránilo zbytečným přiřazením vlastnictví projektu uživatelům nebo účtům služeb a dalšímu zneužití projektů a zdrojů, je třeba monitorovat všechna přiřazení rolí/vlastníka. Členové (uživatelé/účty služby) s přiřazením role k primitivní roli "role/vlastník" jsou vlastníci projektů. Vlastník projektu má všechna oprávnění k projektu, ke které role patří. Toto jsou shrnuté níže:

Všechna oprávnění prohlížeče pro všechny služby GCP v rámci projektu
Oprávnění pro akce, které upravují stav všech služeb GCP v rámci projektu
Správa rolí a oprávnění pro projekt a všechny zdroje v projektu
Nastavení fakturace projektu Udělení role vlastníka členu (uživatel nebo účet služby) umožní ho upravit zásady správy identit a přístupu (IAM). Proto udělte roli vlastníka pouze v případě, že má člen oprávněný účel spravovat zásady IAM. Důvodem je to, že zásady IAM projektu obsahují citlivá data řízení přístupu. Minimální sada uživatelů, kteří můžou spravovat zásady IAM, zjednoduší veškeré auditování, které může být nezbytné. Vlastnictví projektu má nejvyšší úroveň oprávnění k projektu. Aby nedocházelo ke zneužití zdrojů projektu, je třeba monitorovat a upozorňovat na příslušné příjemce akce týkající se vlastnictví projektu nebo změny uvedené výše.
Odesílání pozvánek na vlastnictví projektu
Přijetí/odmítnutí pozvání vlastnictví projektu uživatelem
Přidání role\Owner k uživateli nebo účtu služby
Odebrání účtu uživatele nebo služby z role\Owner

Závažnost: Nízká

Ujistěte se, že je pro projekt povolený oslogin.

Popis: Povolení přihlášení operačního systému sváže certifikáty SSH s uživateli IAM a usnadňuje efektivní správu certifikátů SSH. Povolení protokolu osLogin zajišťuje, aby se klíče SSH používané pro připojení k instancím mapovaly s uživateli IAM. Odvolání přístupu k uživateli IAM odvolá všechny klíče SSH přidružené k danému uživateli. Usnadňuje centralizovanou a automatizovanou správu párů klíčů SSH, což je užitečné při zpracování případů, jako je reakce na ohrožené páry klíčů SSH nebo odvolání externích/externích/externích/externích/dodavatelů/dodavatelů. Pokud chcete zjistit, která instance způsobí, že projekt není v pořádku, přečtěte si doporučení "Ujistěte se, že je pro všechny instance povolený oslogin".

Závažnost: Střední

Ujistěte se, že je pro všechny instance povolený oslogin.

Závažnost: Střední

Ujistěte se, že je protokolování auditu cloudu správně nakonfigurované napříč všemi službami a všemi uživateli z projektu.

Popis: Doporučuje se, aby protokolování auditu v cloudu bylo nakonfigurováno tak, aby sledovalo všechny aktivity správců a čtení, přístup k zápisu do uživatelských dat.

Protokolování auditu v cloudu udržuje pro každý projekt, složku a organizaci dva protokoly auditu: aktivita správce a přístup k datům.

Protokoly aktivit správce obsahují položky protokolu pro volání rozhraní API nebo jiné akce správy, které upravují konfiguraci nebo metadata prostředků.
Protokoly auditu aktivit správce jsou povolené pro všechny služby a není možné je nakonfigurovat.
Protokoly auditu přístupu k datům zaznamenávají volání rozhraní API, která vytvářejí, upravují nebo čtou uživatelsky poskytnutá data. Ve výchozím nastavení jsou zakázané a měly by být povolené.

Existují tři druhy informací protokolu auditování přístupu k datům:

Správce: Zaznamenává operace, které čtou metadata nebo informace o konfiguraci. Protokoly auditu aktivit správce zaznamenávají zápisy metadat a konfiguračních informací, které nejde zakázat.
Čtení dat: Zaznamenává operace, které čtou data poskytnutá uživatelem.
Zápis dat: Zaznamenává operace, které zapisuje data poskytnutá uživatelem.

Doporučuje se mít nakonfigurovanou efektivní výchozí konfiguraci auditu tak, aby:

Typ protokolu je nastavený na DATA_READ (pro protokolování sledování aktivit uživatelů) a DATA_WRITES (pro protokolování změn nebo manipulaci s uživatelskými daty).
Konfigurace auditu je povolená pro všechny služby podporované funkcí protokolů auditu Přístupu k datům.
Protokoly by se měly zaznamenávat pro všechny uživatele, to znamená, že v žádné části konfigurace auditu nejsou žádní vyloučení uživatelé. Tím zajistíte, že přepsání konfigurace auditu nebude v rozporu s požadavkem.

Závažnost: Střední

Ujistěte se, že kryptografické klíče Služby správy klíčů cloudu nejsou anonymně nebo veřejně přístupné.

Popis: Doporučuje se, aby zásady IAM v kryptografických klíčích Služby správy klíčů cloudu omezovaly anonymní nebo veřejný přístup. Udělení oprávnění "allUsers" nebo "allAuthenticatedUsers" umožňuje každému přístup k datové sadě. Takový přístup nemusí být žádoucí, pokud jsou citlivá data uložená v umístění. V takovém případě se ujistěte, že anonymní nebo veřejný přístup ke kryptografickému klíči Služby správy klíčů cloudu není povolený.

Závažnost: Vysoká

Popis: Místo osobních účtů, jako jsou účty Gmail, použijte firemní přihlašovací údaje. Doporučuje se používat plně spravované podnikové účty Google pro zajištění vyšší viditelnosti, auditování a řízení přístupu k prostředkům cloudové platformy. Účty Gmail založené mimo organizaci uživatele, jako jsou osobní účty, by se neměly používat pro obchodní účely.

Závažnost: Vysoká

Ujistěte se, že uživatelé IAM nemají přiřazené role uživatele účtu služby nebo tokenu účtu služby na úrovni projektu.

Popis: Doporučujeme uživateli přiřadit role Uživatel účtu služby (iam.serviceAccountUser) a Autor tokenu účtu služby (iam.serviceAccountTokenCreator) pro konkrétní účet služby místo přiřazení role uživateli na úrovni projektu. Účet služby je speciální účet Google, který patří k aplikaci nebo virtuálnímu počítači místo k individuálnímu koncovému uživateli. Aplikace nebo instance virtuálního počítače používá účet služby k volání rozhraní Google API služby, aby se uživatelé přímo nezapojili. Kromě identity je účet služby prostředkem, který má připojené zásady IAM. Tyto zásady určují, kdo může účet služby používat. Uživatelé s rolemi IAM, kteří aktualizují instance modulu App Engine a výpočetního modulu (jako je například nasazovač modulu App Engine nebo Správce výpočetní instance), můžou efektivně spouštět kód jako účty služby používané ke spuštění těchto instancí a nepřímo získají přístup ke všem prostředkům, ke kterým mají účty služeb přístup. Podobně může mít přístup SSH k instanci výpočetního modulu také možnost spouštět kód jako tento účet instance nebo služby. V závislosti na obchodních potřebách může být pro projekt nakonfigurovaných více účtů služby spravovaných uživatelem. Udělení rolí iam.serviceAccountUser nebo iam.serviceAserviceAccountTokenCreatorccountUser uživateli pro projekt dává uživateli přístup ke všem účtům služeb v projektu, včetně účtů služeb, které se můžou v budoucnu vytvořit. To může vést ke zvýšení oprávnění pomocí účtů služeb a odpovídajících instancí výpočetního stroje. Aby bylo možné implementovat osvědčené postupy pro "nejnižší oprávnění", neměli by se uživatelům IAM na úrovni projektu přiřazovat role "Uživatel účtu služby" ani "Tvůrce tokenů účtu služby". Místo toho by se tyto role měly přiřadit uživateli pro konkrétní účet služby, aby měl tento uživatel přístup k účtu služby. Uživatel účtu služby umožňuje uživateli svázat účet služby s dlouho běžící službou úloh, zatímco role Autor tokenu účtu služby umožňuje uživateli přímo zosobnit (nebo uplatnit) identitu účtu služby.

Závažnost: Střední

Popis: Doporučuje se, aby se při přiřazování rolí souvisejících s KmS uživatelům vynucuje princip oddělení povinností. Předdefinovaná nebo předdefinovaná role správy klíčů IAM umožňuje uživateli nebo identitě vytvářet, odstraňovat a spravovat účty služeb. Předdefinovaná nebo předdefinovaná role Cloud KMS CryptoKey Encrypter/Decrypter IAM umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) šifrovat a dešifrovat neaktivní uložená data pomocí šifrovacích klíčů. Předdefinovaná nebo předdefinovaná role Cloud KMS CryptoKey Encrypter IAM umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) šifrovat neaktivní uložená data pomocí šifrovacích klíčů. Předdefinovaná nebo předdefinovaná role Cloud KMS Crypto Key Decrypter IAM umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) dešifrovat neaktivní uložená data pomocí šifrovacích klíčů. Oddělení povinností je koncept zajištění, že jeden jednotlivec nemá všechna potřebná oprávnění k tomu, aby mohl dokončit škodlivou akci. V Cloudové službě KMS to může být akce, jako je použití klíče pro přístup k datům a jejich dešifrování, ke kterým by uživatel normálně neměl mít přístup. Oddělení povinností je obchodní kontrola, která se obvykle používá ve větších organizacích, která pomáhá vyhnout se incidentům a chybám zabezpečení nebo ochrany osobních údajů. Považuje se za osvědčený postup. Žádný uživatel by neměl mít správce Služby správy cloudových klíčů a žádné z Cloud KMS CryptoKey Encrypter/Decrypterrolí , Cloud KMS CryptoKey EncrypterCloud KMS CryptoKey Decrypter které jsou přiřazeny současně.

Závažnost: Vysoká

Popis: Doporučuje se, aby se při přiřazování rolí souvisejících s účtem služby uživatelům vynucuje princip oddělení povinností. Předdefinovaná nebo předdefinovaná role IAM "Správce účtu služby" umožňuje uživateli nebo identitě vytvářet, odstraňovat a spravovat účty služeb. Předdefinovaná nebo předdefinovaná role IAM "Uživatel účtu služby" umožňuje uživateli nebo identitě (s odpovídajícími oprávněními pro Výpočty a App Engine) přiřazovat účty služeb k instancím Apps/Compute. Oddělení povinností je koncept zajištění, že jeden jednotlivec nemá všechna potřebná oprávnění k tomu, aby mohl dokončit škodlivou akci. V cloudových účtech IAM – účty služeb to může být akce, jako je použití účtu služby pro přístup k prostředkům, ke kterým by uživatel normálně neměl mít přístup. Oddělení povinností je obchodní kontrola, která se obvykle používá ve větších organizacích, která pomáhá vyhnout se incidentům a chybám zabezpečení nebo ochrany osobních údajů. Považuje se za osvědčený postup. Žádný uživatel by neměl mít přiřazené role Správce účtu služby a Uživatel účtu služby současně.

Závažnost: Střední

Ujistěte se, že účet služby nemá žádná oprávnění správce.

Popis: Účet služby je speciální účet Google, který patří do aplikace nebo virtuálního počítače, a ne k jednotlivým koncovým uživatelům. Aplikace používá účet služby k volání rozhraní Google API služby, aby uživatelé nebyli přímo zapojeni. Pro účet ServiceAccount se nedoporučuje používat přístup správce. Účty služeb představují zabezpečení prostředků (aplikace nebo virtuálního počítače) na úrovni služeb, které můžou určovat role, které k němu byly přiřazeny. Registrace účtu ServiceAccount s právy správce poskytuje úplný přístup k přiřazené aplikaci nebo virtuálnímu počítači. Držitel přístupu ServiceAccount může provádět kritické akce, jako je odstranění, aktualizace nastavení změn atd. bez zásahu uživatele. Z tohoto důvodu se doporučuje, aby účty služeb neměly práva správce.

Závažnost: Střední

Ujistěte se, že jsou jímky nakonfigurované pro všechny položky protokolu.

Popis: Doporučujeme vytvořit jímku, která bude exportovat kopie všech položek protokolu. To může pomoct agregovat protokoly z více projektů a exportovat je do správy informací o zabezpečení a událostí (SIEM). Položky protokolu se uchovávají v protokolování stackdriveru. Pokud chcete agregovat protokoly, exportujte je do SIEM. Pokud je chcete zachovat déle, doporučujeme nastavit jímku protokolu. Export zahrnuje zápis filtru, který vybere položky protokolu k exportu, a výběr cíle v Cloudovém úložišti, BigQuery nebo Pub/Sub cloudu. Filtr a cíl se uchovávají v objektu nazývaném jímka. Pokud chcete zajistit export všech položek protokolu do jímek, ujistěte se, že pro jímku není nakonfigurovaný žádný filtr. Jímky je možné vytvářet v projektech, organizacích, složkách a fakturačních účtech.

Závažnost: Nízká

Ujistěte se, že pro změny konfigurace auditu existuje filtr metrik protokolu a upozornění.

Popis: Služby Google Cloud Platform (GCP) zapisují položky protokolu auditu do protokolů aktivit správce a přístupu k datům. Položky pomáhají zodpovědět otázky "kdo udělal co, kde a kdy?" v rámci projektů GCP. Informace o protokolování auditu cloudu zahrnují identitu volajícího rozhraní API, čas volání rozhraní API, zdrojovou IP adresu volajícího rozhraní API, parametry požadavku a prvky odpovědi vrácené službami GCP. Protokolování auditu cloudu poskytuje historii volání rozhraní GCP API pro účet, včetně volání rozhraní API provedených prostřednictvím konzoly, sad SDK, nástrojů příkazového řádku a dalších služeb GCP. Aktivity správce a protokoly přístupu k datům vytvořené protokolováním auditu cloudu umožňují analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů. Konfigurace filtru metrik a výstrah pro změny konfigurace auditu zajišťuje, že se zachová doporučený stav konfigurace auditu, aby všechny aktivity v projektu byly kdykoli možné auditovat.

Závažnost: Nízká

Ujistěte se, že pro změny vlastní role existuje filtr metrik protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metriky a upozornění pro změny vytváření, odstraňování a aktualizace aktivit role Správa identit a přístupu (IAM). Google Cloud IAM poskytuje předdefinované role, které poskytují podrobný přístup ke konkrétním prostředkům Google Cloud Platform a brání nežádoucímu přístupu k jiným prostředkům. Cloudová služba IAM ale poskytuje možnost vytvářet vlastní role, aby vyhovovala konkrétním potřebám organizace. Vlastníci a správci projektů s rolí Správce rolí organizace nebo rolí Správce rolí IAM můžou vytvářet vlastní role. Monitorování vytváření, odstraňování a aktualizace rolí vám pomůže při identifikaci jakékoli nadprivilegované role v počátečních fázích.

Závažnost: Nízká

Zajištění obměna uživatelských nebo externích klíčů pro účty služeb každých 90 dnů nebo méně

Popis: Klíče účtu služby se skládají z ID klíče (Private_key_Id) a privátního klíče, které se používají k podepisování programových žádostí uživatelů, které uživatelé zpřístupnili cloudovým službám Google pro daný účet služby. Doporučuje se pravidelně obměňovat všechny klíče účtu služby. Obměná klíče účtu služby sníží možnost použití přístupového klíče přidruženého k napadenému nebo ukončeného účtu. Klíče účtu služby by se měly otočit, aby se zajistilo, že data nebudou přístupná pomocí starého klíče, který by mohl být ztracený, prasklý nebo odcizený. Každý účet služby je přidružený ke páru klíčů spravovaným platformou Google Cloud Platform (GCP). Používá se pro ověřování mezi službami v rámci GCP. Google obměňuje klíče každý den. GCP nabízí možnost vytvořit jeden nebo více párů klíčů spravovaných uživatelem (označovaných také jako páry externích klíčů) pro použití mimo GCP (například pro použití s výchozími přihlašovacími údaji aplikace). Když se vytvoří nový pár klíčů, uživatel si musí stáhnout privátní klíč (který si Google nezachovává).

S externími klíči zodpovídají uživatelé za zabezpečení privátního klíče a další operace správy, jako je obměně klíčů. Externí klíče je možné spravovat pomocí rozhraní API IAM, nástroje příkazového řádku gcloudu nebo stránky Účty služeb v konzole Google Cloud Platform Console.

GCP usnadňuje až 10 klíčů externích účtů služeb na jeden účet služby, aby se usnadnila obměně klíčů.

Závažnost: Střední

Nadměrné zřízení identit GCP by mělo mít pouze potřebná oprávnění (Preview).

Popis: Nadměrně zřízená aktivní identita je identita, která má přístup k oprávněním, která nepoužívají. Nadměrně zřízené aktivní identity, zejména pro nelidské účty s velmi definovanými akcemi a zodpovědnostmi, můžou zvýšit poloměr výbuchu v případě ohrožení uživatele, klíče nebo prostředku. Princip nejnižších oprávnění znamená, že prostředek by měl mít přístup pouze k přesným prostředkům, které potřebuje k fungování. Tento princip byl vyvinut tak, aby řešil riziko ohrožení identit, které útočníkovi udělily přístup k široké škále prostředků.

Webový řídicí panel GKE by měl být zakázaný.

Popis: Toto doporučení vyhodnocuje pole KubernetesDashboard vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: false.

Závažnost: Vysoká

V clusterech GKE by se měla zakázat starší verze autorizace.

Popis: Toto doporučení vyhodnotí starší vlastnost Abac clusteru pro dvojici klíč-hodnota, povoleno: true.

Závažnost: Vysoká

Oprávnění neaktivních identit v projektu GCP by měla být odvolána.

Popis: Microsoft Defender for Cloud zjistil identitu, která v posledních 45 dnech neprováděla žádnou akci u žádného prostředku v projektu GCP. Doporučuje se odvolat oprávnění neaktivních identit, aby se snížil prostor pro útoky vašeho cloudového prostředí.

Závažnost: Střední

Sdílet prostřednictvím

Doporučení zabezpečení identit a přístupu

Doporučení pro identitu a přístup k Azure

Doporučení k identitě a přístupu AWS

Doporučení k identitě a přístupu GCP

Související obsah

Váš názor

Další materiály