Biztonsági javaslatok a Google Cloud Platform (GCP) erőforrásaihoz

Ez a cikk felsorolja azokat a javaslatokat, amelyeket Felhőhöz készült Microsoft Defender láthat, ha Google Cloud Platform -fiókot (GCP-t) csatlakoztat a Környezeti beállítások lapon. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.

A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.

A biztonsági pontszám a végrehajtott biztonsági javaslatok számán alapul. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.

GCP Compute-javaslatok

A számítási motor virtuális gépeinek a tárolóoptimalizált operációs rendszert kell használniuk

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet konfigurációs tulajdonságát az "imageType": "COS" kulcs-érték párhoz.

Súlyosság: Alacsony

Végponti észlelés és reagálás konfigurációs problémákat GCP virtuális gépeken kell megoldani

Leírás: A virtuális gépek legújabb fenyegetésekkel és biztonsági résekkel szembeni védelméhez oldja meg a telepített végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) összes azonosított konfigurációs problémáját.
Megjegyzés: Ez a javaslat jelenleg csak azokra az erőforrásokra vonatkozik, amelyeken engedélyezve van a Végponthoz készült Microsoft Defender (MDE).

Súlyosság: Magas

Végponti észlelés és reagálás megoldást telepíteni kell a GCP virtuális gépekre

Leírás: A virtuális gépek védelméhez telepítsen egy végpontészlelési és válaszmegoldást (Végponti észlelés és reagálás). Végponti észlelés és reagálás segítenek megelőzni, észlelni, kivizsgálni és reagálni a speciális fenyegetésekre. A Microsoft Defender for Servers használatával üzembe helyezheti Végponthoz készült Microsoft Defender. Ha az erőforrás "Nem kifogástalan" besorolású, nincs telepítve támogatott Végponti észlelés és reagálás megoldás [Helyőrző hivatkozás – További információ]. Ha olyan Végponti észlelés és reagálás megoldás van telepítve, amelyet ez a javaslat nem fedez fel, mentesítheti azt.

Súlyosság: Magas

Győződjön meg arról, hogy a projektszintű SSH-kulcsok letiltása engedélyezve van a virtuálisgép-példányok esetében

Leírás: A példányok eléréséhez ajánlott példányspecifikus SSH-kulcs(ok) használata a közös/megosztott projektszintű SSH-kulcs(ok) használata helyett. A Project-szintű SSH-kulcsok a Compute/Project-metaadatokban vannak tárolva. A projektszintű SSH-kulcsokkal bejelentkezhet a projekt összes példányába. A projektszintű SSH-kulcsok használata megkönnyíti az SSH-kulcsok kezelését, de ha sérül, biztonsági kockázatot jelent, amely hatással lehet a projekt összes példányára. Az SSH-kulcsok feltörése esetén ajánlott olyan példányspecifikus SSH-kulcsokat használni, amelyek korlátozhatják a támadási felületet.

Súlyosság: Közepes

Győződjön meg arról, hogy a számítási példányok engedélyezve vannak a védett virtuális géppel

Leírás: A speciális fenyegetések elleni védelemhez, valamint annak biztosításához, hogy a virtuális gépek rendszerindítási betöltője és belső vezérlőprogramja alá legyen írva és ne legyen védve, javasoljuk, hogy a számítási példányokat a védett virtuális gép engedélyezésével indítsa el. A védett virtuális gépek olyan virtuális gépek (virtuális gépek) a Google Cloud Platformon, amelyeket biztonsági vezérlők edzettek, amelyek segítenek megvédeni a rootkiteket és a rendszerindítókat. A védett virtuális gép ellenőrizhető integritást biztosít a számítási motor virtuálisgép-példányaihoz, így biztos lehet benne, hogy a példányait nem veszélyeztették a rendszerindítási vagy kernelszintű kártevők vagy rootkitek. A védett virtuális gép ellenőrizhető integritása a Biztonságos rendszerindítás, a virtuális megbízható platform modul (vTPM)-kompatibilis mért rendszerindítás és az integritásfigyelés használatával érhető el. A védett virtuálisgép-példányok olyan belső vezérlőprogramot futtatnak, amely a Google hitelesítésszolgáltatójával van aláírva és ellenőrizve, biztosítva, hogy a példány belső vezérlőprogramja ne legyen módosítva, és ezzel megteremtse a biztonságos rendszerindítás megbízhatóságának gyökerét. Az integritásfigyelés segít megérteni és döntéseket hozni a virtuálisgép-példányok állapotáról, a védett virtuális gép vTPM pedig lehetővé teszi a mért rendszerindítást egy ismert, jó rendszerindítási alapkonfiguráció, az integritási szabályzat alapkonfigurációjának létrehozásához szükséges mérések végrehajtásával. Az integritási szabályzat alapkonfigurációja a következő virtuálisgép-csizmák méréseinek összehasonlítására szolgál annak megállapításához, hogy változott-e valami. A Biztonságos rendszerindítás segít biztosítani, hogy a rendszer csak hiteles szoftvereket futtasson az összes rendszerindítási összetevő digitális aláírásának ellenőrzésével, és ha az aláírás ellenőrzése sikertelen, állítsa le a rendszerindítási folyamatot.

Súlyosság: Magas

Győződjön meg arról, hogy a "Soros portokhoz való csatlakozás engedélyezése" nincs engedélyezve a virtuálisgép-példány esetében

Leírás: A soros portokkal való interakciót gyakran soros konzolnak nevezik, amely hasonló a terminálablakok használatához, mivel a bemenet és a kimenet teljes mértékben szöveges módban van, és nincs grafikus felület vagy egér támogatása. Ha engedélyezi az interaktív soros konzolt egy példányon, az ügyfelek bármilyen IP-címről megpróbálhatnak csatlakozni a példányhoz. Ezért az interaktív soros konzol támogatását le kell tiltani. A virtuálisgép-példányok négy virtuális soros portot használnak. A soros portok használata hasonló a terminálablakok használatához, mivel a bemenet és a kimenet teljes mértékben szöveges módban van, és nincs grafikus felület vagy egér támogatása. A példány operációs rendszere, a BIOS és más rendszerszintű entitások gyakran írnak kimenetet a soros portokra, és fogadják a bemenetet, például a parancsokat vagy a kérdésekre adott válaszokat. Ezek a rendszerszintű entitások általában az első soros portot (1-es portot) használják, az 1-es soros portot pedig gyakran soros konzolnak nevezik. Az interaktív soros konzol nem támogatja az IP-alapú hozzáférési korlátozásokat, például az IP-engedélyezési listákat. Ha engedélyezi az interaktív soros konzolt egy példányon, az ügyfelek bármilyen IP-címről megpróbálhatnak csatlakozni a példányhoz. Így bárki csatlakozhat ehhez a példányhoz, ha ismeri a megfelelő SSH-kulcsot, felhasználónevet, projektazonosítót, zónát és példánynevet. Ezért az interaktív soros konzol támogatását le kell tiltani.

Súlyosság: Közepes

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_duration" adatbázisjelzője be van kapcsolva

Leírás: A log_hostname beállítás engedélyezésével az egyes befejezett utasítások időtartamát naplózza a rendszer. Ez nem naplózza a lekérdezés szövegét, így a log_min_duration_statement jelzőtől eltérően viselkedik. Ez a paraméter a munkamenet indítása után nem módosítható. A lekérdezések végrehajtásához szükséges idő monitorozása kulcsfontosságú lehet az erőforrás-leküldő lekérdezések azonosításában és a kiszolgáló teljesítményének értékelésében. További lépések, például a terheléselosztás és az optimalizált lekérdezések használata a kiszolgáló teljesítményének és stabilitásának biztosítása érdekében. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_executor_stats" adatbázisjelzője ki van kapcsolva

Leírás: A PostgreSQL-végrehajtó felelős a PostgreSQL-tervező által átadott terv végrehajtásáért. A végrehajtó rekurzív módon dolgozza fel a tervet a szükséges sorok kinyeréséhez. A "log_executor_stats" jelző szabályozza a PostgreSQL végrehajtói teljesítménystatisztikáinak a PostgreSQL-naplókba való felvételét az egyes lekérdezésekhez. A "log_executor_stats" jelző egy nyers profilkészítési módszert tesz lehetővé a PostgreSQL végrehajtói teljesítménystatisztikáinak naplózásához, amely bár hasznos lehet a hibaelhárításhoz, jelentősen növelheti a naplók mennyiségét, és többletterheléssel járhat. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_min_error_statement" adatbázisjelzője "Hiba" vagy szigorúbb értékre van állítva

Leírás: A "log_min_error_statement" jelző határozza meg az üzenet súlyosságának minimális szintjét, amelyet hibautasításnak tekintenek. A hibaüzenetek üzeneteit az SQL-utasítás naplózza. Az érvényes értékek közé tartozik a "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" és "PANIC". Minden súlyossági szint tartalmazza a fent említett további szinteket. Győződjön meg arról, hogy a HIBA vagy a szigorúbb érték be van állítva. A naplózás segít a működési problémák elhárításában, és lehetővé teszi a kriminalisztikai elemzést is. Ha a "log_min_error_statement" nincs a megfelelő értékre állítva, előfordulhat, hogy az üzenetek nem lesznek megfelelő hibaüzenetekként besorolva. Ha az általános naplóüzeneteket hibaüzenetként tekinti, akkor nehéz tényleges hibákat találni, és csak szigorúbb súlyossági szinteket figyelembe venni, mivel a hibaüzenetek kihagyhatják a tényleges hibákat az SQL-utasítások naplózásához. A "log_min_error_statement" jelzőt "HIBA" vagy szigorúbb értékre kell állítani. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_parser_stats" adatbázisjelzője ki van kapcsolva

Leírás: A PostgreSQL planner/optimizer feladata a kiszolgáló által fogadott lekérdezések szintaxisának elemzése és ellenőrzése. Ha a szintaxis helyes, akkor a rendszer egy "elemzési fát" hoz létre, különben hiba jön létre. A "log_parser_stats" jelző szabályozza az elemzési teljesítménystatisztikák felvételét az egyes lekérdezések PostgreSQL-naplóiba. A "log_parser_stats" jelző nyers profilkészítési módszert tesz lehetővé a naplózási elemző teljesítménystatisztikáihoz, amely bár hasznos lehet a hibaelhárításhoz, jelentősen növelheti a naplók mennyiségét, és többletterheléssel járhat. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_planner_stats" adatbázis-jelzője ki van kapcsolva

Leírás: Ugyanaz az SQL-lekérdezés több módon is végrehajtható, és továbbra is különböző eredményeket eredményez. A PostgreSQL planner/optimizer feladata, hogy minden lekérdezéshez optimális végrehajtási tervet hozzon létre. A "log_planner_stats" jelző szabályozza a PostgreSQL planner teljesítménystatisztikáinak a PostgreSQL-naplókba való felvételét az egyes lekérdezésekhez. A "log_planner_stats" jelző egy nyers profilkészítési módszert tesz lehetővé a PostgreSQL Planner teljesítménystatisztikáinak naplózásához, amely bár hasznos lehet a hibaelhárításhoz, jelentősen növelheti a naplók mennyiségét, és többletterheléssel járhat. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_statement_stats" adatbázis-jelzője ki van kapcsolva

Leírás: A "log_statement_stats" jelző szabályozza az SQL-lekérdezések végpontok közötti teljesítménystatisztikáinak felvételét az egyes lekérdezések PostgreSQL-naplóiba. Ez más modulstatisztikákkal (log_parser_stats, log_planner_stats, log_executor_stats) nem engedélyezhető. A "log_statement_stats" jelző lehetővé teszi az SQL-lekérdezések végpontok közötti teljesítménystatisztikáinak naplózására szolgáló nyers profilkészítési módszert. Ez hasznos lehet a hibaelhárításhoz, de jelentősen növelheti a naplók mennyiségét, és többletterheléssel járhat. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a számítási példányok nem rendelkeznek nyilvános IP-címekkel

Leírás: A számítási példányokat nem szabad külső IP-címmel konfigurálni. A támadási felület csökkentése érdekében a számítási példányoknak nem szabad nyilvános IP-címekkel rendelkezniük. Ehelyett a példányokat terheléselosztók mögött kell konfigurálni, hogy minimálisra csökkenjen a példány internetes kitettsége. A GKE által létrehozott példányokat ki kell zárni, mert némelyikük külső IP-címmel rendelkezik, és a példánybeállítások szerkesztésével nem módosítható. Ezek a virtuális gépek gke-vel kezdődnek, és goog-gke-node címkével rendelkeznek.

Súlyosság: Magas

Győződjön meg arról, hogy a példányok nincsenek konfigurálva az alapértelmezett szolgáltatásfiók használatára

Leírás: Javasoljuk, hogy úgy konfigurálja a példányt, hogy ne használja az alapértelmezett Számítási motor szolgáltatásfiókot, mert szerkesztői szerepkör van a projektben. Az alapértelmezett Compute Engine-szolgáltatásfiók szerkesztői szerepkörrel rendelkezik a projekten, amely olvasási és írási hozzáférést tesz lehetővé a Legtöbb Google Cloud Serviceshez. A jogosultságok eszkalálása elleni védelem érdekében, ha a virtuális gép biztonsága sérül, és megakadályozza, hogy egy támadó hozzáférjen az összes projektjéhez, javasoljuk, hogy ne használja az alapértelmezett Számítási motor szolgáltatásfiókot. Ehelyett létre kell hoznia egy új szolgáltatásfiókot, és csak a példányhoz szükséges engedélyeket kell hozzárendelnie. Az alapértelmezett Számítási motor szolgáltatásfiók neve [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. A GKE által létrehozott virtuális gépeket ki kell zárni. Ezek a virtuális gépek gke-vel kezdődnek, és goog-gke-node címkével rendelkeznek.

Súlyosság: Magas

Győződjön meg arról, hogy a példányok nincsenek úgy konfigurálva, hogy az alapértelmezett szolgáltatásfiókot teljes hozzáféréssel használják az összes felhő API-hoz

Leírás: A minimális jogosultságok elvének támogatása és a potenciális jogosultságok eszkalálásának megakadályozása érdekében javasoljuk, hogy a példányokat ne rendelje hozzá a "Számítási motor alapértelmezett szolgáltatásfiókja" alapértelmezett szolgáltatásfiókhoz a "Teljes hozzáférés engedélyezése az összes felhő API-hoz" hatókörrel. A Felhasználó által felügyelt egyéni szolgáltatásfiókok opcionális létrehozása, kezelése és használata mellett a Google Compute Engine az alapértelmezett "Számítási motor alapértelmezett szolgáltatásfiókja" szolgáltatásfiókot is biztosítja egy példányhoz a szükséges felhőszolgáltatások eléréséhez. A "Project Editor" szerepkör a "Számítási motor alapértelmezett szolgáltatásfiókja" szerepkörhöz van rendelve, ezért ez a szolgáltatásfiók szinte minden funkcióval rendelkezik az összes felhőszolgáltatáshoz, kivéve a számlázást. Ha azonban egy példányhoz hozzárendelt "Számítási motor alapértelmezett szolgáltatásfiókja" három hatókörben működik.

1. Alapértelmezett hozzáférés engedélyezése: Csak a példány futtatásához szükséges minimális hozzáférést engedélyezi (minimális jogosultságok).
2. Teljes hozzáférés engedélyezése az összes felhő API-hoz: Teljes hozzáférés engedélyezése az összes felhő API-hoz/szolgáltatáshoz (túl sok hozzáférés).
3. Hozzáférés beállítása az egyes API-khoz: Lehetővé teszi a példányadminisztrátor számára, hogy csak azokat az API-kat válassza ki, amelyek szükségesek a példány által elvárt üzleti funkciók végrehajtásához, ha egy példány "Számítási motor alapértelmezett szolgáltatásfiókja" hatókörrel van konfigurálva a "Teljes hozzáférés engedélyezése az összes felhő API-hoz" hatókörrel, a példányhoz hozzáférő felhasználó(k) által hozzárendelt IAM-szerepkörök alapján, lehetővé teheti a felhasználó számára, hogy felhőműveleteket/API-hívásokat hajtson végre, amelyeket a felhasználónak nem kell végrehajtania a jogosultságok sikeres eszkalálásához. A GKE által létrehozott virtuális gépeket ki kell zárni. Ezek a virtuális gépek a "gke-" kezdetű és "goog-gke-node" címkével ellátott névvel rendelkeznek.

Súlyosság: Közepes

Győződjön meg arról, hogy az IP-továbbítás nincs engedélyezve a példányokon

Leírás: A számítási motor példánya csak akkor továbbíthat csomagot, ha a csomag forrás IP-címe megegyezik a példány IP-címével. Hasonlóképpen, a GCP nem kézbesít olyan csomagot, amelynek a cél IP-címe eltér a csomagot fogadó példány IP-címétől. Azonban mindkét képességre szükség van, ha példányokkal szeretné irányítani a csomagokat. Az adatcsomagok továbbítását le kell tiltani az adatvesztés vagy az információ felfedésének megakadályozása érdekében. A Számítási motor példánya csak akkor továbbíthat csomagot, ha a csomag forrás IP-címe megegyezik a példány IP-címével. Hasonlóképpen, a GCP nem kézbesít olyan csomagot, amelynek a cél IP-címe eltér a csomagot fogadó példány IP-címétől. Azonban mindkét képességre szükség van, ha példányokkal szeretné irányítani a csomagokat. A forrás és a cél IP-címének ellenőrzéséhez tiltsa le a canIpForward mezőt, amely lehetővé teszi, hogy egy példány nem egyező cél- vagy forrás IP-címekkel rendelkező csomagokat küldjön és fogadjon.

Súlyosság: Közepes

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_checkpoints" adatbázisjelzője be van kapcsolva

Leírás: Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány log_checkpoints adatbázisjelzője be van kapcsolva. A log_checkpoints engedélyezése miatt az ellenőrzőpontok és az újraindítási pontok naplózva lesznek a kiszolgálónaplóban. Néhány statisztika szerepel a naplóüzenetekben, beleértve az írott pufferek számát és az írásuk során eltelt időt. Ez a paraméter csak a postgresql.conf fájlban vagy a kiszolgáló parancssorában állítható be. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_lock_waits" adatbázisjelzője be van kapcsolva

Leírás: Ha engedélyezi a "log_lock_waits" jelzőt egy PostgreSQL-példányhoz, naplót hoz létre minden olyan munkamenet-várakozáshoz, amely hosszabb időt vesz igénybe, mint a zárolt "deadlock_timeout" ki van adva. A holtpont időtúllépése határozza meg a zárolásra való várakozási időt, mielőtt bármilyen feltételt keres. A holtpont időtúllépésének gyakori futtatása egy mögöttes probléma jele lehet. Az ilyen várakozások naplózása a zárolások esetében a log_lock_waits jelző engedélyezésével használható a zárolási késések miatti gyenge teljesítmény azonosítására, vagy ha egy speciálisan létrehozott SQL túl sok ideig tartó zárolásokkal próbál éhezni az erőforrásokban. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_min_duration_statement" adatbázis-jelzője "-1" értékre van állítva

Leírás: A "log_min_duration_statement" jelző határozza meg az utasítás minimális végrehajtási idejét ezredmásodpercben, ahol a rendszer naplózza az utasítás teljes időtartamát. Győződjön meg arról, hogy a "log_min_duration_statement" le van tiltva, azaz -1 érték van beállítva. Az SQL-utasítások naplózása tartalmazhat olyan bizalmas információkat, amelyeket nem szabad naplókban rögzíteni. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_min_messages" adatbázisjelzője megfelelően van beállítva

Leírás: A "log_min_error_statement" jelző határozza meg az üzenet súlyosságának minimális szintjét, amelyet hibautasításnak tekintünk. A hibaüzenetek üzeneteit az SQL-utasítás naplózza. Az érvényes értékek közé tartozik a "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" és "PANIC". Minden súlyossági szint tartalmazza a fent említett további szinteket. Megjegyzés: A sikertelen naplózási utasítások hatékony kikapcsolásához állítsa be ezt a paramétert PANIC értékre. A HIBA az ajánlott eljárásnak számít. A módosításokat csak a szervezet naplózási szabályzatának megfelelően szabad végrehajtani. A naplózás segít a működési problémák elhárításában, és lehetővé teszi a kriminalisztikai elemzést is. Ha a "log_min_error_statement" nincs a megfelelő értékre állítva, előfordulhat, hogy az üzenetek nem lesznek megfelelő hibaüzenetekként besorolva. Az általános naplóüzenetek hibaüzenetként való figyelembe vétele megnehezítené a tényleges hibák megtalálását, miközben csak a szigorúbb súlyossági szinteket veszi figyelembe, mivel a hibaüzenetek kihagyhatják a tényleges hibákat az SQL-utasítások naplózásához. A "log_min_error_statement" jelzőt a szervezet naplózási szabályzatának megfelelően kell beállítani. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_temp_files" adatbázisjelzője "0" értékre van állítva

Leírás: A PostgreSQL létrehozhat egy ideiglenes fájlt olyan műveletekhez, mint a rendezés, a kivonatolás és az ideiglenes lekérdezési eredmények, ha ezek a műveletek túllépik a "work_mem" értéket. A "log_temp_files" jelző szabályozza a naplózási neveket és a fájlméretet a törléskor. A "log_temp_files" 0-ra való konfigurálásával minden ideiglenes fájladat naplózható, míg a pozitív értékek csak a megadott számú kilobájtnál nagyobb vagy egyenlő méretű fájlokat naplóznak. A "-1" érték letiltja az ideiglenes fájlinformáció-naplózást. Ha az összes ideiglenes fájl nincs naplózva, előfordulhat, hogy nehezebb azonosítani azokat a lehetséges teljesítményproblémákat, amelyek vagy gyenge alkalmazáskódolás vagy szándékos erőforrás-éhezési kísérletek miatt lehetnek.

Súlyosság: Alacsony

Győződjön meg arról, hogy a kritikus virtuális gépek virtuálisgép-lemezei ügyfél által biztosított titkosítási kulccsal vannak titkosítva

Leírás: Az ügyfél által megadott titkosítási kulcsok (C Standard kiadás K) a Google Cloud Storage és a Google számítási motor egyik funkciója. Ha saját titkosítási kulcsokat ad meg, a Google az Ön kulcsával védi az adatok titkosításához és visszafejtéséhez használt Google-kulcsokat. Alapértelmezés szerint a Google Compute Engine minden inaktív adatot titkosít. A Compute Engine ezt a titkosítást kezeli és kezeli Önnek anélkül, hogy további műveleteket végez az Ön részéről. Ha azonban saját maga szeretné szabályozni és kezelni ezt a titkosítást, saját titkosítási kulcsokat is megadhat. Alapértelmezés szerint a Google Compute Engine minden inaktív adatot titkosít. A Compute Engine ezt a titkosítást kezeli és kezeli Önnek anélkül, hogy további műveleteket végez az Ön részéről. Ha azonban saját maga szeretné szabályozni és kezelni ezt a titkosítást, saját titkosítási kulcsokat is megadhat. Ha saját titkosítási kulcsokat ad meg, a Compute Engine a kulcsával védi az adatok titkosításához és visszafejtéséhez használt Google által létrehozott kulcsokat. Csak azok a felhasználók használhatják az ügyfél által biztosított titkosítási kulccsal védett erőforrásokat, akik a megfelelő kulcsot adják meg. A Google nem tárolja a kulcsokat a kiszolgálóin, és csak akkor férhet hozzá a védett adatokhoz, ha Ön megadja a kulcsot. Ez azt is jelenti, hogy ha elfelejti vagy elveszíti a kulcsát, a Google nem tudja helyreállítani a kulcsot, vagy helyreállítani az elveszett kulccsal titkosított adatokat. Legalább az üzleti szempontból kritikus virtuális gépeknek C Standard kiadás K-val titkosított virtuálisgép-lemezekkel kell rendelkezniük.

Súlyosság: Közepes

A GCP-projekteknek engedélyezniük kell az Azure Arc automatikus kiépítését

Leírás: A Microsoft Defender kiszolgálókhoz készült biztonsági tartalmának teljes körű láthatósága érdekében a GCP virtuálisgép-példányokat az Azure Archoz kell csatlakoztatni. Annak érdekében, hogy az összes jogosult virtuálisgép-példány automatikusan megkapja az Azure Arcot, engedélyezze az automatikus üzembe helyezését Felhőhöz készült Defender A GCP-projekt szintjén. További információ az Azure Arcról és a Microsoft Defender for Serversről.

Súlyosság: Magas

A GCP virtuálisgép-példányokat az Azure Archoz kell csatlakoztatni

Leírás: Csatlakozás a GCP virtuális gépeket az Azure Arcba, hogy teljes mértékben látható legyen a Microsoft Defender for Servers biztonsági tartalma. További információ az Azure Arcról és a hibridfelhős környezetben futó Microsoft Defender kiszolgálóiról.

Súlyosság: Magas

A GCP virtuálisgép-példányok operációsrendszer-konfigurációs ügynökének telepítve kell lennie

Leírás: Ha az Azure Arc automatikus üzembe helyezésével szeretné megkapni a Defender for Servers teljes képességeit, a GCP virtuális gépeken engedélyezve kell lennie az operációsrendszer-konfigurációs ügynöknek.

Súlyosság: Magas

Engedélyezni kell a GKE-fürt automatikus javítási funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz, "key": 'autoRepair', 'value': true.

Súlyosság: Közepes

Engedélyezni kell a GKE-fürt automatikus frissítési funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz, "key": 'autoUpgrade,' 'value': true.

Súlyosság: Magas

Engedélyezni kell a GKE-fürtök monitorozását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt MonitoringService tulajdonsága tartalmazza-e azt a helyet, ahová a Felhőfigyelésnek metrikákat kell írnia.

Súlyosság: Közepes

GCP-tárolóra vonatkozó javaslatok

[Előzetes verzió] A tárolólemezképeknek a GCP-beállításjegyzékben meg kell oldaniuk a biztonságirés-megállapításokat

Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

[Előzetes verzió] A GCP-ben futó tárolók biztonsági réseinek megállapításait meg kell oldani

Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék-rendszerképekhez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

A Defender for Containers speciális konfigurációját engedélyezni kell a GCP-összekötőkben

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Annak érdekében, hogy a megoldás megfelelően legyen kiépítve, és a képességek teljes készlete elérhető legyen, engedélyezze az összes speciális konfigurációs beállítást.

Súlyosság: Magas

A GKE-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével

Leírás: A Microsoft Defender fürtbővítménye biztonsági képességeket biztosít a GKE-fürtök számára. A bővítmény adatokat gyűjt egy fürtből és annak csomópontjaiból a biztonsági rések és fenyegetések azonosítása érdekében. A bővítmény az Azure Arc-kompatibilis Kubernetes szolgáltatással működik. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

A GKE-fürtöknek telepítve kell lenniük az Azure Policy-bővítménysel

Leírás: A Kubernetes Azure Policy-bővítménye kibővíti a Gatekeeper v3-at, az Open Policy Agenthez (OPA) készült beléptető vezérlő webhookot, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. A bővítmény az Azure Arc-kompatibilis Kubernetes szolgáltatással működik.

Súlyosság: Magas

A Microsoft Defender for Containerst engedélyezni kell a GCP-összekötőken

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Engedélyezze a Tárolók csomagot a GCP-összekötőn, hogy megerősítse a Kubernetes-fürtök biztonságát, és elhárítsa a biztonsági problémákat. További információ a Microsoft Defender for Containers szolgáltatásról.

Súlyosság: Magas

Engedélyezni kell a GKE-fürt automatikus javítási funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz, "key": 'autoRepair', 'value': true.

Súlyosság: Közepes

Engedélyezni kell a GKE-fürt automatikus frissítési funkcióját

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet felügyeleti tulajdonságát a kulcs-érték párhoz, "key": 'autoUpgrade,' 'value': true.

Súlyosság: Magas

Engedélyezni kell a GKE-fürtök monitorozását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt MonitoringService tulajdonsága tartalmazza-e azt a helyet, ahová a Felhőfigyelésnek metrikákat kell írnia.

Súlyosság: Közepes

Engedélyezni kell a GKE-fürtök naplózását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt loggingService tulajdonsága tartalmazza-e azt a helyet, amelyet a felhőnaplózásnak használnia kell a naplók írásához.

Súlyosság: Magas

A GKE webes irányítópultját le kell tiltani

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság kubernetesDashboard mezőjét a "disabled" (letiltva) kulcs-érték párhoz: false.

Súlyosság: Magas

Az örökölt hitelesítést le kell tiltani a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt legacyAbac tulajdonságát az "enabled" kulcs-érték párhoz: igaz.

Súlyosság: Magas

A vezérlősík által engedélyezett hálózatokat engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt masterAuthorizedNetworksConfig tulajdonságát az "enabled" kulcs-érték párhoz: hamis.

Súlyosság: Magas

A GKE-fürtöknek engedélyezniük kell az alias IP-tartományokat

Leírás: Ez a javaslat kiértékeli, hogy a fürtön lévő ipAllocationPolicy ipAllocationPolicy useIPAliases mezője hamis-e.

Súlyosság: Alacsony

A GKE-fürtöknek engedélyezniük kell a privát fürtöket

Leírás: Ez a javaslat kiértékeli, hogy a privateClusterConfig tulajdonság enablePrivateNodes mezője hamisra van-e állítva.

Súlyosság: Magas

A hálózati házirendet engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság networkPolicy mezőjét a "letiltva" kulcs-érték párhoz: igaz.

Súlyosság: Közepes

Adatsíkra vonatkozó javaslatok

Az Azure Policy kuberneteshez való engedélyezése után a GCP minden Kubernetes-adatsík biztonsági javaslatát támogatja.

GCP-adatjavaslatok

Győződjön meg arról, hogy a Cloud SQL Sql Server-példány "3625 (nyomkövetési jelző)" adatbázis-jelzője ki van kapcsolva

Leírás: A Cloud SQL Server-példány "3625 (nyomkövetési jelző)" adatbázisjelzőjét ajánlott "kikapcsolva" értékre állítani. A nyomkövetési jelzőket gyakran használják teljesítményproblémák diagnosztizálására vagy tárolt eljárások vagy összetett számítógépes rendszerek hibakeresésére, de az Microsoft ügyfélszolgálata azt is javasolhatja, hogy kezelje az adott számítási feladatot negatívan befolyásoló viselkedést. Az összes dokumentált nyomkövetési jelző és az Microsoft ügyfélszolgálata által ajánlottak teljes mértékben támogatottak éles környezetben, ha az utasításnak megfelelően használják őket. "3625(nyomkövetési napló)" Korlátozza azoknak a felhasználóknak visszaadott információk mennyiségét, akik nem tagjai a sysadmin rögzített kiszolgálói szerepkörnek, azáltal, hogy maszkolja egyes hibaüzenetek paramétereit a "******" használatával. Ez segíthet megelőzni a bizalmas információk felfedését. Ezért javasoljuk, hogy tiltsa le ezt a jelzőt. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a cloud SQL SQL Server-példány "külső szkriptek engedélyezve" adatbázis-jelzője ki van kapcsolva

Leírás: Javasoljuk, hogy a "külső szkriptek engedélyezve" adatbázisjelzőt állítsa ki a Cloud SQL SQL Server-példányhoz. A "külső szkriptek engedélyezve" lehetővé teszik bizonyos távoli nyelvi bővítményekkel rendelkező szkriptek végrehajtását. Ez a tulajdonság alapértelmezés szerint KI van kapcsolva. Az Advanced Analytics Services telepítésekor a beállítás igény szerint igaz értékre állíthatja ezt a tulajdonságot. Mivel a "Külső szkriptek engedélyezve" funkció lehetővé teszi az SQL-en kívüli szkriptek, például az R-kódtárban található fájlok végrehajtását, ami hátrányosan befolyásolhatja a rendszer biztonságát, ezért ezt le kell tiltani. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud SQL SQL Server-példány "távelérés" adatbázisjelzője ki van kapcsolva

Leírás: Javasoljuk, hogy a Cloud SQL SQL Server-példány "távelérés" adatbázis-jelzőjét állítsa "ki" értékre. A "távelérés" beállítás szabályozza a tárolt eljárások végrehajtását olyan helyi vagy távoli kiszolgálókról, amelyeken az SQL Server-példányok futnak. Ennek a beállításnak az alapértelmezett értéke 1. Ez engedélyezi a helyi tárolt eljárások távoli kiszolgálókról vagy a helyi kiszolgálóról származó távoli tárolt eljárások futtatását. Ha meg szeretné akadályozni, hogy a helyi tárolt eljárások távoli kiszolgálóról vagy távoli tárolt eljárásból fussanak a helyi kiszolgálón, ezt le kell tiltani. A Távelérés beállítás szabályozza a helyi tárolt eljárások végrehajtását távoli kiszolgálókon vagy távoli tárolt eljárások helyi kiszolgálón. A "távelérés" funkció visszaélhet a szolgáltatásmegtagadási (DoS) támadás indításához a távoli kiszolgálókon a lekérdezésfeldolgozás célba való betöltésével, ezért ezt le kell tiltani. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud SQL Mysql-példány "skip_show_database" adatbázisjelzője be van kapcsolva

Leírás: Javasoljuk, hogy a Cloud SQL Mysql-példány "skip_show_database" adatbázis-jelzőjét "be" értékre állítsa. A "skip_show_database" adatbázisjelző megakadályozza, hogy a felhasználók a SHOW DATABA Standard kiadás S utasítást használják, ha nem rendelkeznek a SHOW DATABA Standard kiadás S jogosultsággal. Ez javíthatja a biztonságot, ha aggályai vannak azzal kapcsolatban, hogy a felhasználók láthatják a más felhasználókhoz tartozó adatbázisokat. Hatása a SHOW DATABA Standard kiadás S jogosultságtól függ: Ha a változó értéke be van kapcsolva, a SHOW DATABA Standard kiadás S utasítás csak a SHOW DATABA Standard kiadás S jogosultsággal rendelkező felhasználók számára engedélyezett, és az utasítás az összes adatbázisnevet megjeleníti. Ha az érték ki van kapcsolva, a SHOW DATABA Standard kiadás S minden felhasználó számára engedélyezett, de csak azoknak az adatbázisoknak a nevét jeleníti meg, amelyekhez a felhasználó rendelkezik a SHOW DATABA Standard kiadás S vagy egyéb jogosultsággal. Ez a javaslat a Mysql-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy az ügyfél által felügyelt alapértelmezett titkosítási kulcs (CMEK) minden BigQuery-adatkészlethez meg van adva

Leírás: A BigQuery alapértelmezés szerint inaktívként titkosítja az adatokat a Borítéktitkosítás Google által felügyelt titkosítási kulcsok használatával történő alkalmazásával. Az adatok titkosítása az adattitkosítási kulcsokkal történik, és maguk az adattitkosítási kulcsok is titkosítva lesznek kulcstitkosítási kulcsokkal. Ez zökkenőmentes, és nem igényel további bemenetet a felhasználótól. Ha azonban nagyobb felügyeletet szeretne, az ügyfél által felügyelt titkosítási kulcsok (CMEK) használhatók titkosítási kulcskezelési megoldásként a BigQuery-adatkészletekhez. A BigQuery alapértelmezés szerint inaktívként titkosítja az adatokat a Borítéktitkosítás Google által felügyelt titkosítási kulcsok használatával történő alkalmazásával. Ez zökkenőmentes, és nem igényel további bemenetet a felhasználótól. A titkosítás hatékonyabb szabályozásához az ügyfél által felügyelt titkosítási kulcsok (CMEK) használhatók titkosítási kulcskezelési megoldásként a BigQuery-adatkészletekhez. Ha beállít egy alapértelmezett ügyfél által felügyelt titkosítási kulcsot (CMEK) egy adatkészlethez, győződjön meg arról, hogy a jövőben létrehozott táblák a megadott CMEK-et fogják használni, ha nincs más megadva. Megjegyzés: A Google nem tárolja a kulcsokat a kiszolgálóin, és csak akkor férhet hozzá a védett adatokhoz, ha Ön megadja a kulcsot. Ez azt is jelenti, hogy ha elfelejti vagy elveszíti a kulcsát, a Google nem tudja helyreállítani a kulcsot, vagy helyreállítani az elveszett kulccsal titkosított adatokat.

Súlyosság: Közepes

Győződjön meg arról, hogy az összes BigQuery-tábla ügyfél által felügyelt titkosítási kulccsal (CMEK) van titkosítva

Leírás: A BigQuery alapértelmezés szerint inaktívként titkosítja az adatokat a Borítéktitkosítás Google által felügyelt titkosítási kulcsok használatával történő alkalmazásával. Az adatok titkosítása az adattitkosítási kulcsokkal történik, és maguk az adattitkosítási kulcsok is titkosítva lesznek kulcstitkosítási kulcsokkal. Ez zökkenőmentes, és nem igényel további bemenetet a felhasználótól. Ha azonban nagyobb felügyeletet szeretne, az ügyfél által felügyelt titkosítási kulcsok (CMEK) használhatók titkosítási kulcskezelési megoldásként a BigQuery-adatkészletekhez. Ha CMEK-et használ, a CMEK a Google által felügyelt titkosítási kulcsok helyett az adattitkosítási kulcsok titkosítására szolgál. A BigQuery alapértelmezés szerint inaktívként titkosítja az adatokat a Borítéktitkosítás Google által felügyelt titkosítási kulcsok használatával történő alkalmazásával. Ez zökkenőmentes, és nem igényel további bemenetet a felhasználótól. A titkosítás hatékonyabb szabályozásához az ügyfél által felügyelt titkosítási kulcsok (CMEK) használhatók titkosítási kulcskezelési megoldásként a BigQuery-táblákhoz. A CMEK a Google által felügyelt titkosítási kulcsok helyett az adattitkosítási kulcsok titkosítására szolgál. A BigQuery tárolja a táblát és a CMEK-társítást, és a titkosítás/visszafejtés automatikusan megtörténik. Az ügyfél által kezelt alapértelmezett kulcsok BigQuery-adatkészleteken való alkalmazása biztosítja, hogy a jövőben létrehozott új táblákat a CMEK használatával titkosítja a rendszer, de a meglévő táblákat frissíteni kell a CMEK egyéni használatához. Megjegyzés: A Google nem tárolja a kulcsokat a kiszolgálóin, és csak akkor férhet hozzá a védett adatokhoz, ha Ön megadja a kulcsot. Ez azt is jelenti, hogy ha elfelejti vagy elveszíti a kulcsát, a Google nem tudja helyreállítani a kulcsot, vagy helyreállítani az elveszett kulccsal titkosított adatokat.

Súlyosság: Közepes

Győződjön meg arról, hogy a BigQuery-adathalmazok nem névtelenül vagy nyilvánosan érhetők el

Leírás: Javasoljuk, hogy a BigQuery-adathalmazok IAM-szabályzata ne engedélyezze a névtelen és/vagy nyilvános hozzáférést. Az allUsers vagy az allAuthenticatedUsers engedélyekkel bárki hozzáférhet az adathalmazhoz. Előfordulhat, hogy az ilyen hozzáférés nem kívánatos, ha bizalmas adatokat tárol az adathalmazban. Ezért győződjön meg arról, hogy az adathalmazhoz való névtelen és/vagy nyilvános hozzáférés nem engedélyezett.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud SQL-adatbázispéldányok automatikus biztonsági mentésekkel vannak konfigurálva

Leírás: Ajánlott minden SQL-adatbázispéldányt beállítani az automatikus biztonsági mentések engedélyezéséhez. A biztonsági másolatok lehetővé teszik a felhőbeli SQL-példány visszaállítását az elveszett adatok helyreállításához vagy a példánysal kapcsolatos problémák helyreállításához. Az automatikus biztonsági mentéseket minden olyan példányhoz be kell állítani, amely olyan adatokat tartalmaz, amelyeket védeni kell a veszteségtől vagy a károsodástól. Ez a javaslat az SQL Server, a PostgreSql, az 1. generációs MySql és a 2. generációs MySql-példányokra vonatkozik.

Súlyosság: Magas

Győződjön meg arról, hogy a felhőalapú SQL-adatbázispéldányok nem nyílnak meg a világ számára

Leírás: Az adatbázis-kiszolgálónak csak megbízható hálózat(ok)/IP-címekről kell kapcsolatokat fogadnia, és korlátoznia kell a hozzáférést a világból. Az adatbázis-kiszolgálópéldányok támadási felületének minimalizálása érdekében csak megbízható/ismert és szükséges IP-címeket kell jóváhagyni a csatlakozáshoz. Egy engedélyezett hálózatnak nem szabad a "0.0.0.0/0" ip-címekkel/hálózatokkal rendelkeznie, ami lehetővé teszi a példány elérését a világ bármely pontjáról. Vegye figyelembe, hogy az engedélyezett hálózatok csak nyilvános IP-címmel rendelkező példányokra vonatkoznak.

Súlyosság: Magas

Győződjön meg arról, hogy a felhőalapú SQL-adatbázispéldányok nem rendelkeznek nyilvános IP-címekkel

Leírás: Javasoljuk, hogy a második generációs SQL-példányt úgy konfigurálja, hogy nyilvános IP-címek helyett privát IP-címeket használjon. A szervezet támadási felületének csökkentése érdekében a felhőalapú SQL-adatbázisoknak nem szabad nyilvános IP-címekkel rendelkezniük. A privát IP-címek jobb hálózati biztonságot és kisebb késést biztosítanak az alkalmazás számára.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud Storage-tároló nem névtelen vagy nyilvánosan elérhető

Leírás: Javasoljuk, hogy a Cloud Storage-gyűjtőben lévő IAM-szabályzat ne engedélyezi a névtelen vagy nyilvános hozzáférést. A névtelen vagy nyilvános hozzáférés engedélyezése bárki számára engedélyt ad a gyűjtőtartalom elérésére. Ilyen hozzáférés nem feltétlenül szükséges, ha bizalmas adatokat tárol. Ezért győződjön meg arról, hogy a gyűjtőhöz való névtelen vagy nyilvános hozzáférés nem engedélyezett.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud Storage-gyűjtők egységes gyűjtőszintű hozzáféréssel rendelkeznek

Leírás: Javasoljuk, hogy a Cloud Storage-gyűjtőkben engedélyezve legyen az egységes gyűjtőszintű hozzáférés. Javasoljuk, hogy egységes gyűjtőszintű hozzáféréssel egységesítse és egyszerűsítse a Cloud Storage-erőforrásokhoz való hozzáférést. A Cloud Storage két rendszert kínál arra, hogy engedélyt adjon a felhasználóknak a gyűjtők és objektumok eléréséhez: a Cloud Identity and Access Management (Cloud IAM) és a Hozzáférés-vezérlési listák (ACL-ek) eléréséhez.
Ezek a rendszerek párhuzamosan működnek – ahhoz, hogy egy felhasználó hozzáférjen egy Cloud Storage-erőforráshoz, csak az egyik rendszernek kell megadnia a felhasználói engedélyt. A felhőbeli IAM-t a Google Cloudban használják, és lehetővé teszi, hogy különböző engedélyeket biztosítson a gyűjtő és a projekt szintjén. Az ACL-eket csak a Cloud Storage használja, és korlátozott engedélylehetőségekkel rendelkezik, de lehetővé teszik az engedélyek objektumonkénti megadását.

Az egységes engedélyezési rendszer támogatásához a Cloud Storage egységes gyűjtőszintű hozzáféréssel rendelkezik. Ennek a funkciónak a használata letiltja az ACL-eket az összes Cloud Storage-erőforrás esetében: a Cloud Storage-erőforrásokhoz való hozzáférés kizárólag a felhőbeli IAM-ben érhető el. Az egységes gyűjtőszintű hozzáférés engedélyezése garantálja, hogy ha egy tárológyűjtő nem érhető el nyilvánosan, a gyűjtőben lévő objektumok sem érhetők el nyilvánosan.

Súlyosság: Közepes

Győződjön meg arról, hogy a számítási példányokon engedélyezve van a bizalmas számítástechnika

Leírás: A Google Cloud titkosítja az inaktív és az átvitel közbeni adatokat, de az ügyféladatokat vissza kell fejteni feldolgozás céljából. A bizalmas számítástechnika egy áttörést jelentő technológia, amely titkosítja a használatban lévő adatokat a feldolgozás során. A bizalmas számítástechnikai környezetek titkosítva tartják az adatokat a memóriában és máshol a központi feldolgozóegységen (CPU- n) kívül. A bizalmas virtuális gépek az AMD EPYC CPU-k biztonságos titkosított virtualizálási (Standard kiadás V) funkcióját használják. Az ügyféladatok titkosítva maradnak, amíg használatban, indexelt, lekérdezett vagy betanított. A titkosítási kulcsok hardveren, virtuális gépenként jönnek létre, és nem exportálhatók. A teljesítmény és a biztonság beépített hardveroptimalizálásának köszönhetően a bizalmas számítási feladatokra nincs jelentős teljesítménybírság. A bizalmas számítástechnika lehetővé teszi az ügyfelek bizalmas kódjának és a memóriában titkosított egyéb adatoknak a feldolgozását. A Google nem rendelkezik hozzáféréssel a titkosítási kulcsokhoz. A bizalmas virtuális gépek segíthetnek enyhíteni a Google-infrastruktúrától való függőséggel vagy a Google insider-résztvevőknek az ügyféladatokhoz való egyértelmű hozzáférésével kapcsolatos kockázatokkal kapcsolatos aggodalmakat.

Súlyosság: Magas

Győződjön meg arról, hogy a naplógyűjtők adatmegőrzési szabályzatai a Gyűjtőzár használatával vannak konfigurálva

Leírás: A naplógyűjtők adatmegőrzési szabályzatainak engedélyezése megvédi a felhőbeli tárolókban tárolt naplókat a felülírástól vagy a véletlen törléstől. Ajánlott megőrzési szabályzatokat beállítani, és konfigurálni a gyűjtőzárat minden olyan tárológyűjtőn, amelyet naplógyűjtőként használnak. A naplók egy vagy több fogadó létrehozásával exportálhatók, amelyek naplószűrőt és célhelyet tartalmaznak. Mivel a Stackdriver-naplózás új naplóbejegyzéseket kap, a rendszer összehasonlítja őket az egyes fogadókkal. Ha egy naplóbejegyzés megfelel egy fogadó szűrőjének, a rendszer a naplóbejegyzés egy példányát a célhelyre írja. A fogadók konfigurálhatók a naplók tárolókban való exportálására. Ajánlott adatmegőrzési szabályzatot konfigurálni ezekhez a felhőbeli tárolókhoz, és zárolni az adatmegőrzési szabályzatot; ezáltal véglegesen megakadályozza a szabályzat csökkentését vagy eltávolítását. Így, ha a rendszert egy támadó vagy egy rosszindulatú bennfentes feltöri, aki el akarja fedni a nyomait, a tevékenységnaplók biztosan megmaradnak a kriminalisztikai és biztonsági vizsgálatokhoz.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL-adatbázispéldányhoz minden bejövő kapcsolatnak SSL-t kell használnia

Leírás: Javasoljuk, hogy az SQL Database-példányhoz érkező összes bejövő kapcsolatot SSL-kapcsolat használatára kényszerítse. AZ SQL-adatbázis kapcsolatai, ha sikeresen csapdába estek (MITM); bizalmas adatokat jeleníthet meg, például hitelesítő adatokat, adatbázis-lekérdezéseket, lekérdezési kimeneteket stb. A biztonság érdekében ajánlott mindig SSL-titkosítást használni a példányhoz való csatlakozáskor. Ez a javaslat a Postgresql, az 1. generációs MySql és a 2. generációs MySql-példányokra vonatkozik.

Súlyosság: Magas

Győződjön meg arról, hogy a Cloud SQL "tartalmazott adatbázis-hitelesítés" adatbázis-jelzője az SQL Server-példányon ki van kapcsolva

Leírás: A "tartalmazott adatbázis-hitelesítés" adatbázisjelző beállítása javasolt a Cloud SQL-hez az SQL Server-példányon a "kikapcsolva" értékre. A tartalmazott adatbázisok tartalmazzák az adatbázis meghatározásához szükséges összes adatbázis-beállítást és metaadatot, és nincsenek konfigurációs függőségek az adatbázismotor azon példányán, amelyen az adatbázis telepítve van. A felhasználók anélkül csatlakozhatnak az adatbázishoz, hogy hitelesítenének egy bejelentkezést az adatbázismotor szintjén. Ha elkülöníti az adatbázist az adatbázismotortól, egyszerűen áthelyezheti az adatbázist az SQL Server egy másik példányára. A tartalmazott adatbázisok egyedi fenyegetésekkel rendelkeznek, amelyeket az SQL Server adatbázismotor-rendszergazdáinak kell értelmezniük és enyhítenie. A fenyegetések többsége az U Standard kiadás R WITH PASSWORD hitelesítési folyamattal kapcsolatos, amely a hitelesítési határt az adatbázismotor szintjéről az adatbázis szintjére helyezi át, ezért ajánlott letiltani ezt a jelzőt. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a Felhőalapú SQL SQL Server-példány "tulajdonosközi láncolás" adatbázis-jelzője ki van kapcsolva

Leírás: Javasoljuk, hogy a Cloud SQL Sql Server-példányhoz a "tulajdonosközi láncolás" adatbázis-jelzőt állítsa "ki" értékre. A láncoláshoz használja a "keresztadatbázis tulajdonjoga" lehetőséget az adatbázisok közötti tulajdonjogi láncolás konfigurálásához a Microsoft SQL Server egy példányához. Ez a kiszolgálói beállítás lehetővé teszi az adatbázisok közötti tulajdonjog-láncolás szabályozását az adatbázis szintjén, vagy lehetővé teszi az adatbázisok közötti tulajdonjog-láncolást az összes adatbázis esetében. A "több adatbázis tulajdonjogának" engedélyezése csak akkor ajánlott, ha az SQL Server példánya által üzemeltetett összes adatbázisnak részt kell vennie az adatbázisok közötti tulajdonjog-láncolásban, és tisztában van a beállítás biztonsági következményeivel. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a Cloud SQL Mysql-példány "local_infile" adatbázisjelzője ki van kapcsolva

Leírás: Javasoljuk, hogy állítsa be a local_infile adatbázis-jelzőt egy Cloud SQL MySQL-példányhoz. A local_infile jelző szabályozza a LOAD DATA utasítások kiszolgálóoldali LOCAL képességét. A local_infile beállítástól függően a kiszolgáló elutasítja vagy engedélyezi a helyi adatok betöltését olyan ügyfelek számára, amelyeknél a LOCAL engedélyezve van az ügyféloldalon. Ha azt szeretné, hogy a kiszolgáló kifejezetten elutasítsa a LOAD DATA LOCAL utasításokat (függetlenül attól, hogy az ügyfélprogramok és a tárak hogyan vannak konfigurálva a buildeléskor vagy a futtatókörnyezetben), indítsa el a mysqldet a local_infile letiltva. local_infile futásidőben is beállítható. A local_infile jelzővel kapcsolatos biztonsági problémák miatt javasoljuk, hogy tiltsa le. Ez a javaslat a MySQL-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek a Cloud Storage IAM engedélymódosításaihoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a Cloud Storage-tároló IAM-módosításaihoz. A felhőalapú tároló gyűjtő engedélyeinek változásainak figyelése csökkentheti a gyűjtőn belüli bizalmas felhőalapú tárolók és objektumok engedélyeinek észleléséhez és javításához szükséges időt.

Súlyosság: Alacsony

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek az SQL-példány konfigurációjának változásaihoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az SQL-példány konfigurációjának változásaihoz. Az SQL-példány konfigurációjának változásainak figyelése csökkentheti az SQL Serveren végzett helytelen konfigurációk észleléséhez és javításához szükséges időt. Az alábbiakban néhány olyan konfigurálható beállítást talál, amely befolyásolhatja egy SQL-példány biztonsági helyzetét:

• Automatikus biztonsági mentések és magas rendelkezésre állás engedélyezése: A helytelen konfiguráció hátrányosan befolyásolhatja az üzletmenet folytonosságát, a vészhelyreállítást és a magas rendelkezésre állást
• Hálózatok engedélyezése: A helytelen konfiguráció növelheti a nem megbízható hálózatoknak való kitettséget

Súlyosság: Alacsony

Győződjön meg arról, hogy minden egyes szolgáltatásfiókhoz csak GCP által felügyelt szolgáltatásfiókkulcsok tartoznak

Leírás: A felhasználó által felügyelt szolgáltatásfiókoknak nem szabad felhasználó által felügyelt kulcsokkal rendelkezniük. Bárki, aki hozzáfér a kulcsokhoz, a szolgáltatásfiókon keresztül hozzáférhet az erőforrásokhoz. A GCP által felügyelt kulcsokat olyan felhőplatform-szolgáltatások használják, mint az App Engine és a Compute Engine. Ezek a kulcsok nem tölthetők le. A Google megtartja a kulcsokat, és automatikusan elforgatja őket körülbelül heti rendszerességgel. A felhasználó által felügyelt kulcsokat a felhasználók hozzák létre, tölthetik le és felügyelik. A létrehozástól számított 10 év elteltével lejárnak. A felhasználó által felügyelt kulcsok esetében a felhasználónak át kell vennie a kulcskezelési tevékenységek tulajdonjogát, amelyek a következők:

• Kulcstároló
• Kulcsterjesztés
• Kulcs visszavonása
• Kulcsrotálás
• A kulcsok védelme jogosulatlan felhasználókkal szemben
• Kulcs helyreállítása

Még a kulcstulajdonosi óvintézkedések mellett is könnyen kiszivároghatnak a kulcsok olyan gyakori fejlesztési hibák, mint például a kulcsok ellenőrzése a forráskódba, vagy a Letöltések könyvtárban hagyva őket, vagy véletlenül a támogatási blogokon/csatornákon hagyva őket. Javasoljuk, hogy megakadályozza a felhasználó által felügyelt szolgáltatásfiók kulcsait.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL Server-példány "felhasználói kapcsolatok" adatbázisjelzője a megfelelő módon van beállítva

Leírás: Ajánlott a "felhasználói kapcsolatok" adatbázis-jelző beállítása a Cloud SQL Server-példányhoz a szervezet által meghatározott érték szerint. A "felhasználói kapcsolatok" beállítás az SQL Server egy példányán engedélyezett egyidejű felhasználói kapcsolatok maximális számát határozza meg. Az engedélyezett felhasználói kapcsolatok tényleges száma az SQL Server használt verziójától, valamint az alkalmazás vagy alkalmazások és hardver korlátaitól is függ. Az SQL Server legfeljebb 32 767 felhasználói kapcsolatot tesz lehetővé. Mivel a felhasználói kapcsolatok dinamikus (önkonfigurálási) lehetőségnek minősülnek, az SQL Server szükség szerint automatikusan beállítja a felhasználói kapcsolatok maximális számát a megengedett maximális értékig. Ha például csak 10 felhasználó van bejelentkezve, a rendszer 10 felhasználói kapcsolati objektumot foglal le. A legtöbb esetben nem kell módosítania ennek a beállításnak az értékét. Az alapértelmezett érték 0, ami azt jelenti, hogy a maximális (32 767) felhasználói kapcsolat engedélyezett. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a "felhasználói beállítások" adatbázisjelző nincs konfigurálva a Cloud SQL Sql Server-példányhoz

Leírás: Javasoljuk, hogy a Cloud SQL Sql Server-példány "felhasználói beállítások" adatbázisjelzőjét ne konfigurálja. A "felhasználói beállítások" beállítás az összes felhasználó globális alapértelmezett beállításait adja meg. A rendszer létrehoz egy listát az alapértelmezett lekérdezésfeldolgozási lehetőségekről a felhasználó munka munkamenetének időtartamára vonatkozóan. A felhasználói beállítás lehetővé teszi a Standard kiadás T-beállítások alapértelmezett értékeinek módosítását (ha a kiszolgáló alapértelmezett beállításai nem megfelelőek). A felhasználó az Standard kiadás T utasítással felülbírálhatja ezeket az alapértelmezett értékeket. Az új bejelentkezésekhez dinamikusan konfigurálhatja a felhasználói beállításokat. A felhasználói beállítások módosítása után az új bejelentkezési munkamenetek az új beállítást használják; az aktuális bejelentkezési munkamenetekre nincs hatással. Ez a javaslat az SQL Server-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Engedélyezni kell a GKE-fürtök naplózását

Leírás: Ez a javaslat kiértékeli, hogy egy fürt loggingService tulajdonsága tartalmazza-e azt a helyet, amelyet a felhőnaplózásnak használnia kell a naplók írásához.

Súlyosság: Magas

Az objektumok verziószámozását engedélyezni kell olyan tárolókban, ahol a fogadók konfigurálva vannak

Leírás: Ez a javaslat kiértékeli, hogy a gyűjtő verziószámozási tulajdonságának engedélyezett mezője igaz-e.

Súlyosság: Magas

A projektek túlzottan kiosztott identitásainak vizsgálata a jogosultsági kúszóindex (PCI) csökkentése érdekében

Leírás: A projektek túlzottan kiosztott identitásait meg kell vizsgálni a jogosultsági kúszóindex (PCI) csökkentése és az infrastruktúra védelme érdekében. Csökkentse a PCI-t a nem használt magas kockázatú engedélyhozzárendelések eltávolításával. A magas PCI a normál vagy a szükséges használatot meghaladó engedélyekkel rendelkező identitásokhoz kapcsolódó kockázatokat tükrözi.

Súlyosság: Közepes

A titkosítási kulcsokkal rendelkező projekteknek nem szabad tulajdonosi engedélyekkel rendelkező felhasználókkal rendelkezniük

Leírás: Ez a javaslat kiértékeli az IAM engedélyezési szabályzatát a projekt metaadataiban a hozzárendelt szerepkörökhöz/tulajdonoshoz.

Súlyosság: Közepes

A naplógyűjtőként használt tárológyűjtők nem lehetnek nyilvánosan hozzáférhetők

Leírás: Ez a javaslat kiértékeli egy gyűjtő IAM-szabályzatát az egyszerű allUsers vagy az allAuthenticatedUsers rendszer számára, amely nyilvános hozzáférést biztosít.

Súlyosság: Magas

GCP IdentityAndAccess-javaslatok

A titkosítási kulcsoknak legfeljebb három felhasználójuk lehet

Leírás: Ez a javaslat kiértékeli a kulcskörök IAM-szabályzatait, projekteket és szervezeteket, valamint olyan szerepkörökkel rendelkező tagokat kér le, amelyek lehetővé teszik az adatok titkosítását, visszafejtétét vagy aláírását a cloud KMS-kulcsok használatával: szerepkörök/tulajdonos, szerepkörök/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer és roles/cloudkms.signerVerifier.

Súlyosság: Közepes

Győződjön meg arról, hogy az API-kulcsok nincsenek projekthez létrehozva

Leírás: A kulcsok nem biztonságosak, mert nyilvánosan megtekinthetők, például böngészőből, vagy olyan eszközön is elérhetők, ahol a kulcs található. Javasoljuk, hogy inkább standard hitelesítési folyamatot használjon.

Az API-kulcsok használatával járó biztonsági kockázatok az alábbiakban jelennek meg:

1. Az API-kulcsok egyszerű titkosított sztringek
2. Az API-kulcsok nem azonosítják az API-kérést küldő felhasználót vagy alkalmazást
3. Az API-kulcsok általában elérhetők az ügyfelek számára, így könnyen felderíthetők és ellophatóak az API-kulcsok

Az API-kulcsok használata során jelentkező biztonsági kockázat elkerülése érdekében ajánlott inkább standard hitelesítési folyamatot használni.

Súlyosság: Magas

Győződjön meg arról, hogy az API-kulcsok csak olyan API-kra korlátozódnak, amelyekhez az alkalmazásnak hozzáférésre van szüksége

Leírás: Az API-kulcsok nem biztonságosak, mert nyilvánosan megtekinthetők, például egy böngészőből, vagy olyan eszközön érhetők el, ahol a kulcs található. Javasoljuk, hogy az API-kulcsokat csak az alkalmazás által igényelt API-k használatára (hívására) korlátozza.

Az API-kulcsok használatával kapcsolatos biztonsági kockázatok az alábbiak:

1. Az API-kulcsok egyszerű titkosított sztringek
2. Az API-kulcsok nem azonosítják az API-kérést küldő felhasználót vagy alkalmazást
3. Az API-kulcsok általában elérhetők az ügyfelek számára, így könnyen felderíthetők és ellophatóak az API-kulcsok

A lehetséges kockázatok fényében a Google az API-Kulcsok helyett a standard hitelesítési folyamatot javasolja. Vannak azonban olyan esetek, amikor az API-kulcsok megfelelőbbek. Ha például van egy mobilalkalmazás, amely a Google Cloud Translation API-t használja, de egyébként nincs szüksége háttérkiszolgálóra, akkor az API-kulcsok a legegyszerűbben hitelesíthetők az adott API-val.

A támadási felületek minimális jogosultságokkal való csökkentése érdekében az API-kulcsok csak az alkalmazás által igényelt API-k használatára (hívására) korlátozhatók.

Súlyosság: Magas

Győződjön meg arról, hogy az API-kulcsokat csak a megadott gazdagépek és alkalmazások használhatják

Leírás: A nem korlátozott kulcsok nem biztonságosak, mert nyilvánosan megtekinthetők, például böngészőből, vagy olyan eszközön is elérhetők, ahol a kulcs található. Javasoljuk, hogy korlátozza az API-kulcsok használatát megbízható gazdagépekre, HTTP-hivatkozókra és alkalmazásokra.

Az API-kulcsok használatával járó biztonsági kockázatok az alábbiakban jelennek meg:

1. Az API-kulcsok egyszerű titkosított sztringek
2. Az API-kulcsok nem azonosítják az API-kérést küldő felhasználót vagy alkalmazást
3. Az API-kulcsok általában elérhetők az ügyfelek számára, így könnyen felderíthetők és ellophatóak az API-kulcsok

A lehetséges kockázatok fényében a Google az API-kulcsok helyett a standard hitelesítési folyamatot javasolja. Vannak azonban olyan esetek, amikor az API-kulcsok megfelelőbbek. Ha például van egy mobilalkalmazás, amely a Google Cloud Translation API-t használja, de egyébként nincs szüksége háttérkiszolgálóra, akkor az API-kulcsok a legegyszerűbben hitelesíthetők az adott API-val.

A támadási vektorok csökkentése érdekében az API-kulcsok csak megbízható gazdagépekre, HTTP-hivatkozókra és alkalmazásokra korlátozhatók.

Súlyosság: Magas

Győződjön meg arról, hogy az API-kulcsok 90 naponta el vannak forgatva

Leírás: Javasoljuk, hogy 90 naponta forgassa el az API-kulcsokat.

Az API-kulcsok használatával járó biztonsági kockázatok az alábbiak:

1. Az API-kulcsok egyszerű titkosított sztringek
2. Az API-kulcsok nem azonosítják az API-kérést küldő felhasználót vagy alkalmazást
3. Az API-kulcsok általában elérhetők az ügyfelek számára, így könnyen felderíthetők és ellophatóak az API-kulcsok

A lehetséges kockázatok miatt a Google az API-kulcsok helyett a standard hitelesítési folyamatot javasolja. Vannak azonban olyan esetek, amikor az API-kulcsok megfelelőbbek. Ha például van egy mobilalkalmazás, amely a Google Cloud Translation API-t használja, de egyébként nincs szüksége háttérkiszolgálóra, akkor az API-kulcsok a legegyszerűbben hitelesíthetők az adott API-val.

A kulcs ellopása után nincs lejárata, ami azt jelenti, hogy határozatlan ideig használható, kivéve, ha a projekt tulajdonosa visszavonja vagy újra létrehozza a kulcsot. Az API-kulcsok elforgatása csökkenti a használandó feltört vagy leállított fiókhoz társított hozzáférési kulcsok lehetőségét.

Az API-kulcsokat el kell forgatni, hogy az adatok ne férhessenek hozzá olyan régi kulccsal, amely esetleg elveszett, feltört vagy ellopott volt.

Súlyosság: Magas

Győződjön meg arról, hogy a KMS-titkosítási kulcsok 90 napon belül el vannak forgatva

Leírás: A Google Cloud kulcskezelő szolgáltatás a titkosítási kulcsokat egy hierarchikus struktúrában tárolja, amely a hasznos és elegáns hozzáférés-vezérlés kezelésére lett kialakítva. A rotációs ütemezés formátuma a használt ügyfélkódtártól függ. A gcloud parancssori eszköz esetében a következő forgási időnek "ISO" vagy "RFC3339" formátumban kell lennie, a forgatási időszaknak pedig "EGÉSZ SZÁM[EGYSÉG]" formában kell lennie, ahol az egységek lehetnek másodpercek, percek (m), órák (h) vagy napok (d). Állítson be egy kulcsforgatási időszakot és kezdési időpontot. A kulcsok létrehozhatók egy megadott "rotációs időszakkal", amely az új kulcsverziók automatikus létrehozása közötti idő. A kulcsok a megadott következő forgatási idővel is létrehozhatók. A kulcs egy elnevezett objektum, amely egy adott célra használt "titkosítási kulcsot" jelöl. A kulcsanyag, a "titkosításhoz" használt tényleges bitek idővel változhatnak az új kulcsverziók létrehozásakor. A kulcs az "adatok korpuszának" védelmére szolgál. A fájlgyűjtemények titkosíthatók ugyanazzal a kulccsal, és a kulcsra vonatkozó "visszafejtési" engedélyekkel rendelkező személyek visszafejthetik ezeket a fájlokat. Ezért meg kell győződni arról, hogy a "forgatási időszak" egy adott időpontra van állítva.

Súlyosság: Közepes

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek a projekt tulajdonjogi hozzárendeléseihez/változásaihoz

Leírás: Annak érdekében, hogy megelőzhető legyen a felhasználók/szolgáltatásfiókok szükségtelen projekttulajdon-hozzárendelése, valamint a projektek és erőforrások további visszaélése, minden "szerepkör/tulajdonos" hozzárendelést figyelni kell. A "szerepkörök/tulajdonos" primitív szerepkörhöz szerepkör-hozzárendeléssel rendelkező tagok (felhasználók/szolgáltatásfiókok) projekttulajdonosok. A projekttulajdonos rendelkezik az összes jogosultsággal azon a projekten, amelyhez a szerepkör tartozik. Ezeket az alábbiakban foglaljuk össze:

• A projekten belüli összes GCP-szolgáltatás összes megtekintői engedélye
• Engedélyek a projekt összes GCP-szolgáltatásának állapotát módosító műveletekhez
• Egy projekt szerepköreinek és engedélyeinek, valamint a projekten belüli összes erőforrásnak a kezelése
• Ha olyan projekt számlázását állítja be, amely tulajdonosi szerepkört ad egy tagnak (felhasználó/szolgáltatásfiók) lehetővé teszi, hogy a tag módosítsa az Identitás- és hozzáférés-kezelési (IAM) szabályzatot. Ezért csak akkor adja meg a tulajdonosi szerepkört, ha a tagnak jogos célja van az IAM-szabályzat kezelésére. Ennek az az oka, hogy a projekt IAM-szabályzata bizalmas hozzáférés-vezérlési adatokat tartalmaz. Az IAM-házirendek kezeléséhez minimálisan engedélyezett felhasználók száma leegyszerűsíti az esetlegesen szükséges naplózást. A projekt tulajdonjoga a legmagasabb szintű jogosultságokkal rendelkezik egy projekten. A projekterőforrásokkal való visszaélés elkerülése érdekében a fent említett projekttulajdon-hozzárendelési/változási műveleteket figyelni kell, és értesíteni kell az érintett címzetteket.
• Projekt tulajdonjogi meghívásainak küldése
• Projekttulajdonosi meghívás elfogadása/elutasítása felhasználó által
• Hozzáadás role\Owner felhasználóhoz/szolgáltatásfiókhoz
• Felhasználó/szolgáltatásfiók eltávolítása role\Owner

Súlyosság: Alacsony

Győződjön meg arról, hogy az oslogin engedélyezve van egy projekthez

Leírás: Az operációs rendszer bejelentkezésének engedélyezése SSH-tanúsítványokat köt az IAM-felhasználókhoz, és elősegíti a hatékony SSH-tanúsítványkezelést. Az osLogin engedélyezése biztosítja, hogy a példányokhoz való csatlakozáshoz használt SSH-kulcsok le vannak képezve az IAM-felhasználókkal. Az IAM-felhasználó hozzáférésének visszavonása visszavonja az adott felhasználóhoz társított összes SSH-kulcsot. Lehetővé teszi a központosított és automatizált SSH-kulcspárok kezelését, ami olyan esetekben hasznos, mint a feltört SSH-kulcspárokra adott válasz és/vagy a külső/külső/szállítói felhasználók visszavonása. Annak kiderítéséhez, hogy melyik példány okozza a projekt nem megfelelő állapotát, olvassa el az "Oslogin minden példányhoz engedélyezve van" című javaslatot.

Súlyosság: Közepes

Győződjön meg arról, hogy az oslogin engedélyezve van minden példányhoz

Leírás: Az operációs rendszer bejelentkezésének engedélyezése SSH-tanúsítványokat köt az IAM-felhasználókhoz, és elősegíti a hatékony SSH-tanúsítványkezelést. Az osLogin engedélyezése biztosítja, hogy a példányokhoz való csatlakozáshoz használt SSH-kulcsok le vannak képezve az IAM-felhasználókkal. Az IAM-felhasználó hozzáférésének visszavonása visszavonja az adott felhasználóhoz társított összes SSH-kulcsot. Lehetővé teszi a központosított és automatizált SSH-kulcspárok kezelését, ami olyan esetekben hasznos, mint a feltört SSH-kulcspárokra adott válasz és/vagy a külső/külső/szállítói felhasználók visszavonása.

Súlyosság: Közepes

Győződjön meg arról, hogy a felhőnaplózás megfelelően van konfigurálva az összes szolgáltatásban és a projekt összes felhasználója között

Leírás: Javasoljuk, hogy a cloud auditnaplózás úgy legyen konfigurálva, hogy nyomon kövesse az összes rendszergazdai tevékenységet, és olvasási és írási hozzáférést biztosítson a felhasználói adatokhoz.

A felhőalapú naplózás két naplózási naplót tart fenn minden projekthez, mappához és szervezethez: Rendszergazda tevékenységhez és adathozzáféréshez.

1. Rendszergazda tevékenységnaplók api-hívásokhoz vagy más olyan felügyeleti műveletekhez tartozó naplóbejegyzéseket tartalmaznak, amelyek módosítják az erőforrások konfigurációját vagy metaadatait. Rendszergazda tevékenységnaplók minden szolgáltatáshoz engedélyezve vannak, és nem konfigurálhatók.
2. Az Adathozzáférés naplózása rögzíti a felhasználó által megadott adatokat létrehozó, módosító vagy olvasó API-hívásokat. Ezek alapértelmezés szerint le vannak tiltva, és engedélyezni kell őket. A Data Access naplózási naplójának három típusa létezik:

• Rendszergazda olvasás: Metaadatokat vagy konfigurációs adatokat olvasó műveleteket rögzít. Rendszergazda tevékenységnaplók olyan metaadatok és konfigurációs információk írását rögzítik, amelyek nem tilthatók le.
• Olvasási adatok: A felhasználó által megadott adatokat olvasó műveleteket rögzíti.
• Adatírás: A felhasználó által megadott adatokat író műveleteket rögzíti.

Javasoljuk, hogy egy érvényes alapértelmezett naplózási konfigurációt konfiguráljon úgy, hogy a következő módon legyen konfigurálva:

1. A logtype értéke DATA_READ (a felhasználói tevékenységek nyomon követésének naplózása) és DATA_WRITES (a felhasználói adatok módosításainak naplózásához/módosításához).
2. az auditkonfiguráció engedélyezve van az Adatelérési naplók funkció által támogatott összes szolgáltatáshoz.
3. A naplókat minden felhasználó számára rögzíteni kell, vagyis a naplózási konfigurációs szakaszok egyikében sem szerepel kivételt élvező felhasználó. Ez biztosítja, hogy az auditkonfiguráció felülírása ne álljon ellentmondani a követelménynek.

Súlyosság: Közepes

Győződjön meg arról, hogy a felhőalapú KMS-titkosítási kulcsok névtelenül vagy nyilvánosan nem érhetők el

Leírás: Javasoljuk, hogy a cloud KMS "cryptokeys" IAM-szabályzata korlátozza a névtelen és/vagy nyilvános hozzáférést. Az "allUsers" vagy az "allAuthenticatedUsers" engedélyekkel bárki hozzáférhet az adathalmazhoz. Előfordulhat, hogy az ilyen hozzáférés nem kívánatos, ha a bizalmas adatokat a helyszínen tárolják. Ebben az esetben győződjön meg arról, hogy a felhőalapú KMS "cryptokey" névtelen és/vagy nyilvános hozzáférése nem engedélyezett.

Súlyosság: Magas

Győződjön meg arról, hogy a vállalati bejelentkezési hitelesítő adatok használhatók

Leírás: Személyes fiókok, például Gmail-fiókok helyett vállalati bejelentkezési hitelesítő adatokat használjon. Javasoljuk, hogy teljes mértékben felügyelt vállalati Google-fiókokat használjon a felhőplatform-erőforrások jobb láthatóságához, naplózásához és hozzáférésének szabályozásához. A felhasználó szervezetén kívüli Gmail-fiókokat, például személyes fiókokat nem szabad üzleti célokra használni.

Súlyosság: Magas

Győződjön meg arról, hogy az IAM-felhasználók nincsenek hozzárendelve a szolgáltatásfiók felhasználói vagy szolgáltatásfiók-jogkivonat-létrehozói szerepköreihez projektszinten

Leírás: Javasoljuk, hogy a "Service Account User (iam.serviceAccountUser)" és a "Service Account Token Creator (iam.serviceAccountTokenCreator)" szerepköröket egy adott szolgáltatásfiókhoz rendelje hozzá egy felhasználóhoz ahelyett, hogy projektszinten rendeli hozzá a szerepkört egy felhasználóhoz. A szolgáltatásfiókok egy speciális Google-fiók, amely egy alkalmazáshoz vagy egy virtuális géphez (VM) tartozik, nem pedig egy egyéni végfelhasználóhoz. Az Application/VM-Instance a szolgáltatásfiók használatával hívja meg a szolgáltatás Google API-ját, hogy a felhasználók ne vegyenek részt közvetlenül a használatban. Az identitás mellett a szolgáltatásfiókok olyan erőforrások, amelyekhez IAM-szabályzatok vannak csatolva. Ezek a szabályzatok határozzák meg, hogy ki használhatja a szolgáltatásfiókot. Az alkalmazásmotor- és számításimotor-példányok (például az App Engine Deployer vagy a Számítási példány Rendszergazda) frissítéséhez IAM-szerepkörrel rendelkező felhasználók hatékonyan futtathatnak kódot a példányok futtatásához használt szolgáltatásfiókokként, és közvetett módon hozzáférhetnek az összes olyan erőforráshoz, amelyhez a szolgáltatásfiókok hozzáféréssel rendelkeznek. Hasonlóképpen, a számításimotor-példányokhoz való SSH-hozzáférés is lehetővé teheti a kód futtatását, mint az adott példány/szolgáltatásfiók. Az üzleti igények alapján több felhasználó által felügyelt szolgáltatásfiók is konfigurálható egy projekthez. Ha az "iam.serviceAccountUser" vagy az "iam.serviceAserviceAccountTokenCreatorccountUser" szerepkört ad egy felhasználónak egy projekthez, hozzáférést biztosít a felhasználónak a projekt összes szolgáltatásfiókja számára, beleértve a jövőben létrehozható szolgáltatásfiókokat is. Ez a szolgáltatásfiókok és a megfelelő "Számítási motor-példányok" használatával emelheti a jogosultságokat. A "minimális jogosultságok" ajánlott eljárásainak megvalósítása érdekében az IAM-felhasználók nem rendelhetők hozzá a "Szolgáltatásfiók felhasználója" vagy a "Szolgáltatásfiók-jogkivonat létrehozója" szerepkörhöz a projekt szintjén. Ehelyett ezeket a szerepköröket egy adott szolgáltatásfiókhoz kell hozzárendelni egy felhasználóhoz, amely hozzáférést biztosít a felhasználónak a szolgáltatásfiókhoz. A "Szolgáltatásfiók felhasználója" lehetővé teszi a felhasználó számára, hogy egy szolgáltatásfiókot egy hosszú ideig futó feladatszolgáltatáshoz kössön, míg a "Szolgáltatásfiók-jogkivonat létrehozója" szerepkör lehetővé teszi a felhasználó számára, hogy közvetlenül megszemélyesítse (vagy érvényesítse) egy szolgáltatásfiók identitását.

Súlyosság: Közepes

A KMS-hez kapcsolódó szerepkörök felhasználókhoz való hozzárendelése során győződjön meg arról, hogy a feladatok elkülönítése kényszerítve van

Leírás: Javasoljuk, hogy a KMS-hez kapcsolódó szerepkörök felhasználókhoz való hozzárendelése során érvényesítse a "Vámok elkülönítése" elvét. A beépített/előre definiált "Cloud KMS Rendszergazda" IAM-szerepkör lehetővé teszi a felhasználó/identitás számára a szolgáltatásfiók(ok) létrehozását, törlését és kezelését. A beépített/előre definiált "Cloud KMS CryptoKey Encryptioner/Decrypter" IAM szerepkör lehetővé teszi, hogy a felhasználó/identitás (az érintett erőforrásokra vonatkozó megfelelő jogosultságokkal) titkosítsa és visszafejtse az inaktív adatokat egy titkosítási kulcs(ok) használatával. A beépített/előre definiált IAM-szerepkör, a Cloud KMS CryptoKey Encryptioner lehetővé teszi, hogy a felhasználó/identitás (megfelelő jogosultságokkal az érintett erőforrásokon) titkosítsa az inaktív adatokat egy titkosítási kulcs(ok) használatával. A beépített/előre definiált "Cloud KMS CryptoKey Decrypter" IAM szerepkör lehetővé teszi, hogy a felhasználó/identitás (megfelelő jogosultságokkal az érintett erőforrásokon) titkosítási kulccsal visszafejtse az inaktív adatokat. A feladatok elkülönítése annak biztosítása, hogy egy személy ne rendelkezzen minden szükséges engedéllyel ahhoz, hogy rosszindulatú műveletet hajthasson végre. A Cloud KMS-ben ez olyan művelet lehet, mint például egy kulcs használata olyan adatok eléréséhez és visszafejtéséhez, amelyekhez a felhasználónak általában nincs hozzáférése. A feladatok elkülönítése általában a nagyobb szervezeteknél alkalmazott üzleti ellenőrzés, amely segít elkerülni a biztonsági vagy adatvédelmi incidenseket és hibákat. Ez az ajánlott eljárás. Egyetlen felhasználó sem rendelkezhet cloud KMS Rendszergazda és a "Cloud KMS CryptoKey Encrypter/Decrypter", a "Cloud KMS CryptoKey Encrypter", a "Cloud KMS CryptoKey Decrypter" szerepkörök egyikével.

Súlyosság: Magas

Győződjön meg arról, hogy a feladatok elkülönítése kényszerítve van a szolgáltatásfiókhoz kapcsolódó szerepkörök felhasználókhoz való hozzárendelése során

Leírás: Javasoljuk, hogy a szolgáltatásfiókhoz kapcsolódó szerepkörök felhasználókhoz való hozzárendelése során érvényesítse a "Feladatok elkülönítése" elvét. A beépített/előre definiált "Szolgáltatásfiók-rendszergazda" IAM-szerepkör lehetővé teszi a felhasználó/identitás számára a szolgáltatásfiók(ok) létrehozását, törlését és kezelését. A beépített/előre definiált "Szolgáltatásfiók-felhasználó" IAM-szerepkör lehetővé teszi, hogy a felhasználó/identitás (a Compute és az App Engine megfelelő jogosultságaival) szolgáltatási fiók(ok)t rendeljen az alkalmazásokhoz/számítási példányokhoz. A feladatok elkülönítése annak biztosítása, hogy egy személy ne rendelkezzen minden szükséges engedéllyel ahhoz, hogy rosszindulatú műveletet hajthasson végre. A felhőbeli IAM -szolgáltatásfiókokban ez olyan művelet lehet, mint például szolgáltatásfiók használata olyan erőforrások eléréséhez, amelyekhez a felhasználónak általában nincs hozzáférése. A feladatok elkülönítése általában a nagyobb szervezeteknél alkalmazott üzleti ellenőrzés, amely segít elkerülni a biztonsági vagy adatvédelmi incidenseket és hibákat. Ez az ajánlott eljárás. Egyetlen felhasználó sem rendelkezhet egyszerre hozzárendelt "Service Account Rendszergazda" és "Service Account User" szerepkörökmel.

Súlyosság: Közepes

Győződjön meg arról, hogy a szolgáltatásfiók nem rendelkezik Rendszergazda jogosultságokkal

Leírás: A szolgáltatásfiók egy speciális Google-fiók, amely egy alkalmazáshoz vagy egy virtuális géphez tartozik, nem pedig egy egyéni végfelhasználóhoz. Az alkalmazás a szolgáltatásfiók használatával hívja meg a szolgáltatás Google API-ját, hogy a felhasználók ne vegyenek részt közvetlenül a használatban. Javasoljuk, hogy ne használja a ServiceAccount rendszergazdai hozzáférését. A szolgáltatásfiókok az erőforrások (alkalmazások vagy virtuális gépek) szolgáltatásszintű biztonságát képviselik, amelyet a hozzá rendelt szerepkörök határoznak meg. A ServiceAccount Rendszergazda jogosultságokkal való regisztrálása teljes hozzáférést biztosít egy hozzárendelt alkalmazáshoz vagy virtuális géphez. A ServiceAccount-hozzáférés-jogosult felhasználói beavatkozás nélkül végrehajthat olyan kritikus műveleteket, mint a törlés, a módosítási beállítások frissítése stb. Ezért ajánlott, hogy a szolgáltatásfiókok ne rendelkezzenek Rendszergazda jogosultságokkal.

Súlyosság: Közepes

Győződjön meg arról, hogy a fogadók minden naplóbejegyzéshez konfigurálva vannak

Leírás: Javasoljuk, hogy hozzon létre egy fogadót, amely exportálja az összes naplóbejegyzés másolatát. Ez segíthet a naplók több projektből való összesítésében, és a biztonsági információk és események kezelése (SIEM) szolgáltatásba való exportálásban. A naplóbejegyzések a Stackdriver-naplózásban vannak tárolva. A naplók összesítéséhez exportálja őket egy SIEM-be. Ha hosszabb ideig szeretné tartani őket, ajánlott beállítani egy naplós fogadót. Az exportálás során meg kell írni egy szűrőt, amely kiválasztja az exportálni kívánt naplóbejegyzéseket, és kiválaszt egy célhelyet a Cloud Storage-ban, a BigQueryben vagy a Cloud Pub/Sub-ban. A szűrő és a cél egy fogadó nevű objektumban van tárolva. Annak érdekében, hogy az összes naplóbejegyzést exportálja a fogadókba, győződjön meg arról, hogy nincs konfigurálva szűrő a fogadóhoz. Fogadók projektekben, szervezetekben, mappákban és számlázási fiókokban hozhatók létre.

Súlyosság: Alacsony

Győződjön meg arról, hogy a naplómetrika szűrője és a riasztások léteznek az auditkonfiguráció változásaihoz

Leírás: A Google Cloud Platform (GCP) szolgáltatásai naplóbejegyzéseket írnak a Rendszergazda tevékenység- és adathozzáférési naplókba, hogy megválaszolják a GCP-projekteken belüli "ki mit, hol és mikor?" kérdéseket. A felhőalapú naplózási naplózási adatok tartalmazzák az API-hívó identitását, az API-hívás időpontját, az API-hívó forrás IP-címét, a kérelem paramétereit és a GCP-szolgáltatások által visszaadott válaszelemeket. A felhőalapú naplózás egy fiókhoz tartozó GCP API-hívások előzményeit tartalmazza, beleértve a konzolon, SDK-kkal, parancssori eszközökkel és más GCP-szolgáltatásokkal indított API-hívásokat. Rendszergazda felhőalapú naplózás által létrehozott tevékenység- és adathozzáférési naplók biztonsági elemzést, erőforrás-változáskövetést és megfelelőségi naplózást tesznek lehetővé. A metrikaszűrő és az auditkonfiguráció változásaira vonatkozó riasztások konfigurálása biztosítja az auditkonfiguráció javasolt állapotát, hogy a projekt összes tevékenysége bármikor naplózható legyen.

Súlyosság: Alacsony

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek az egyéni szerepkör-módosításokhoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az Identitás- és hozzáférés-kezelés (IAM) szerepkör-létrehozási, -törlési és -frissítési tevékenységek változásaihoz. A Google Cloud IAM előre definiált szerepköröket biztosít, amelyek részletes hozzáférést biztosítanak bizonyos Google Cloud Platform-erőforrásokhoz, és megakadályozzák a nem kívánt hozzáférést más erőforrásokhoz. A szervezetspecifikus igények kielégítése érdekében azonban a felhőalapú IAM egyéni szerepkörök létrehozását is lehetővé teszi. A szervezeti szerepkörrel Rendszergazda istrator szerepkörrel vagy az IAM-szerepkörrel Rendszergazda istrator szerepkörrel rendelkező projekttulajdonosok és rendszergazdák egyéni szerepköröket hozhatnak létre. A szerepkör-létrehozási, törlési és frissítési tevékenységek monitorozása segít azonosítani a túljogosított szerepköröket a korai szakaszban.

Súlyosság: Alacsony

Győződjön meg arról, hogy a szolgáltatásfiókok felhasználó által felügyelt/külső kulcsai 90 naponta vagy annál rövidebb ideig vannak elforgatva

Leírás: A szolgáltatásfiók kulcsai egy kulcsazonosítóból (Private_key_Id) és egy titkos kulcsból állnak, amelyek arra szolgálnak, hogy a felhasználók programozott kéréseket írjanak alá a Google felhőszolgáltatásai számára, amelyek elérhetők az adott szolgáltatásfiók számára. Javasoljuk, hogy minden szolgáltatásfiókkulcsot rendszeresen forgassa el. A szolgáltatásfiók kulcsainak elforgatása csökkenti a használandó feltört vagy leállított fiókhoz társított hozzáférési kulcsok lehetőségét. A szolgáltatásfiók kulcsait úgy kell elforgatni, hogy az adatok ne férhessenek hozzá olyan régi kulccsal, amely esetleg elveszett, feltört vagy ellopott volt. Minden szolgáltatásfiók a Google Cloud Platform (GCP) által felügyelt kulcspárhoz van társítva. Szolgáltatásközi hitelesítéshez használatos a GCP-ben. A Google naponta elforgatja a kulcsokat. A GCP lehetővé teszi egy vagy több felhasználó által felügyelt (más néven külső kulcspár) kulcspár létrehozását a külső GCP-ből való használatra (például az alkalmazás alapértelmezett hitelesítő adataival való használathoz). Új kulcspár létrehozásakor a felhasználónak le kell töltenie a titkos kulcsot (amelyet a Google nem őriz meg).

A külső kulcsok esetében a felhasználók felelősek a titkos kulcs biztonságáért és más felügyeleti műveletekért, például a kulcsváltásért. A külső kulcsokat az IAM API, a gcloud parancssori eszköz vagy a Google Felhőplatform konzol Szolgáltatásfiókok lapja kezelheti.

A GCP szolgáltatásfiókonként legfeljebb 10 külső szolgáltatásfiókkulcsot tesz lehetővé a kulcsváltás megkönnyítése érdekében.

Súlyosság: Közepes

A GKE webes irányítópultját le kell tiltani

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság kubernetesDashboard mezőjét a "disabled" (letiltva) kulcs-érték párhoz: false.

Súlyosság: Magas

Az örökölt hitelesítést le kell tiltani a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt legacyAbac tulajdonságát az "enabled" kulcs-érték párhoz: igaz.

Súlyosság: Magas

A Redis IAM-szerepkör nem rendelhető hozzá a szervezet vagy a mappa szintjén

Leírás: Ez a javaslat kiértékeli az IAM engedélyezési szabályzatát az erőforrás-metaadatokban a hozzárendelt tagok szerepkörei/redis.admin, roles/redis.editor, roles/redis.viewer a szervezet vagy mappa szintjén.

Súlyosság: Magas

A szolgáltatásfiókoknak korlátozott projekthozzáféréssel kell rendelkezniük egy fürtben

Leírás: Ez a javaslat kiértékeli egy csomópontkészlet konfigurációs tulajdonságát annak ellenőrzéséhez, hogy nincs-e megadva szolgáltatásfiók, vagy hogy az alapértelmezett szolgáltatásfiók van-e használatban.

Súlyosság: Magas

A felhasználóknak a minimális jogosultsági hozzáféréssel kell rendelkezniük részletes IAM-szerepkörökkel

Leírás: Ez a javaslat kiértékeli az erőforrás metaadataiban szereplő IAM-szabályzatot a hozzárendelt szerepkörök/Tulajdonos, szerepkörök/Író vagy szerepkörök/Olvasó esetében.

Súlyosság: Magas

A GCP-környezetben lévő szuper identitásokat el kell távolítani (előzetes verzió)

Leírás: A szuper identitások hatékony engedélykészlettel rendelkeznek. A felügyelő rendszergazdák olyan emberi vagy számítási feladatok identitásai, amelyek minden engedélyhez és minden erőforráshoz hozzáférnek. Létrehozhatnak és módosíthatnak konfigurációs beállításokat egy szolgáltatásban, identitásokat adhatnak hozzá vagy távolíthatnak el, valamint hozzáférhetnek vagy akár adatokat is törölhetnek. A felügyelet nélkül hagyott identitások jelentős kockázatot jelentenek az engedélyekkel való visszaélésre, ha megsértik őket.

Súlyosság: Magas

A GCP-környezetben nem használt identitásokat el kell távolítani (előzetes verzió)

Leírás: Elengedhetetlen a fel nem használt identitások azonosítása, mivel jelentős biztonsági kockázatot jelentenek. Ezek az identitások gyakran helytelen eljárásokat tartalmaznak, például túlzott engedélyeket és helytelenül kezelt kulcsokat, amelyek nyitva hagyják a szervezeteket a hitelesítő adatokkal való visszaélés vagy a kizsákmányolás előtt, és növelik az erőforrás támadási felületét. Az inaktív identitások olyan emberi és nem emberi entitások, amelyek az elmúlt 90 napban egyetlen erőforráson sem hajtottak végre semmilyen műveletet. A szolgáltatásfiókkulcsok biztonsági kockázatot jelenthetnek, ha nem kezelik körültekintően.

Súlyosság: Közepes

A GCP túlterjedt identitásainak csak a szükséges engedélyekkel kell rendelkezniük (előzetes verzió)

Leírás: A túlkiosztott aktív identitás olyan identitás, amely hozzáfér a nem használt jogosultságokhoz. A túlkiosztott aktív identitások, különösen a nagyon meghatározott műveletekkel és felelősségekkel rendelkező, embertelen fiókok esetében, növelhetik a robbanás sugarát abban az esetben, ha egy felhasználó, kulcs vagy erőforrás veszélyeztetné A minimális jogosultság elve azt állítja, hogy egy erőforrásnak csak a működéséhez szükséges erőforrásokhoz kell hozzáférnie. Ezt az alapelvet annak a kockázatnak a kezelésére fejlesztették ki, hogy a feltört identitások hozzáférést biztosítanak a támadóknak az erőforrások széles köréhez.

Súlyosság: Közepes

GCP hálózatkezelési javaslatok

A fürt gazdagépeit úgy kell konfigurálni, hogy csak privát, belső IP-címeket használjanak a Google API-k eléréséhez

Leírás: Ez a javaslat kiértékeli, hogy egy alhálózat privateIpGoogleAccess tulajdonsága hamis-e.

Súlyosság: Magas

A számítási példányoknak egy cél HTTPS-proxy használatára konfigurált terheléselosztót kell használniuk

Leírás: Ez a javaslat kiértékeli, hogy a célHttpProxy-erőforrás selfLink tulajdonsága megegyezik-e a továbbítási szabály célattribútumával, és hogy a továbbítási szabály tartalmaz-e külsőre beállított loadBalancingScheme mezőt.

Súlyosság: Közepes

A vezérlősík által engedélyezett hálózatokat engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli egy fürt masterAuthorizedNetworksConfig tulajdonságát az "enabled" kulcs-érték párhoz: hamis.

Súlyosság: Magas

A kimenő forgalom letiltására vonatkozó szabályt tűzfalon kell beállítani a nem kívánt kimenő forgalom blokkolásához

Leírás: Ez a javaslat kiértékeli, hogy a tűzfal destinationRanges tulajdonsága 0.0.0.0/0 értékre van-e állítva, és a megtagadott tulajdonság tartalmazza-e az "IPProtocol" kulcs-érték párot: "mind".

Súlyosság: Alacsony

Győződjön meg arról, hogy az Identity Aware Proxy (IAP) mögötti példányokra vonatkozó tűzfalszabályok csak a Google Cloud Loadbalancer (GCLB) állapotellenőrzési és proxycímeiből érkező forgalmat engedélyezik

Leírás: A virtuális gépekhez való hozzáférést olyan tűzfalszabályoknak kell korlátozniuk, amelyek csak az IAP-forgalmat teszik lehetővé, mivel csak az IAP által létrehozott kapcsolatok engedélyezettek. Annak érdekében, hogy a terheléselosztás megfelelően működjön, az állapotellenőrzéseket is engedélyezni kell. Az IAP biztosítja, hogy a virtuális gépekhez való hozzáférés a bejövő kérések hitelesítésével legyen szabályozva. Ha azonban a virtuális gép továbbra is elérhető az IAP-től eltérő IP-címekről, lehetséges, hogy továbbra is lehet hitelesítetlen kéréseket küldeni a példánynak. Ügyelni kell arra, hogy a loadblancer állapotellenőrzései ne legyenek blokkolva, mivel ez megakadályozza, hogy a terheléselosztó megfelelően tudja a virtuális gép állapotát és a terheléselosztást.

Súlyosság: Közepes

Győződjön meg arról, hogy az örökölt hálózatok nem léteznek projekthez

Leírás: Az örökölt hálózatok használatának megakadályozása érdekében a projektek nem konfigurálhatók örökölt hálózattal. Az örökölt hálózatok egyetlen hálózati IPv4 előtagtartománysal és egyetlen átjáró IP-címmel rendelkeznek a teljes hálózathoz. A hálózat globális hatókörű, és az összes felhőrégióra kiterjed. Az alhálózatok nem hozhatók létre örökölt hálózaton, és nem tudnak váltani az örökölt hálózatról az automatikus vagy egyéni alhálózati hálózatokra. Az örökölt hálózatok hatással lehetnek a nagy hálózati forgalommal kapcsolatos projektekre, és egyetlen versengés vagy meghibásodási pont alá tartozhatnak.

Súlyosság: Közepes

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_hostname" adatbázisjelzője megfelelően van beállítva

Leírás: A PostgreSQL csak a csatlakozó gazdagépek IP-címét naplózza. A "log_hostname" jelző a naplózott IP-címek mellett a "gazdagépnevek" naplózását is szabályozza. A teljesítménybeli találat a környezet konfigurációján és az állomásnévfeloldás beállításán múlik. Ez a paraméter csak a "postgresql.conf" fájlban vagy a kiszolgáló parancssorában állítható be. A naplózási gazdagépnevek többletterhelést okozhatnak a kiszolgáló teljesítményén, mivel minden naplózott utasítás esetében DNS-feloldás szükséges az IP-cím gazdagépnévvé alakításához. A beállítástól függően ez nem elhanyagolható lehet. Emellett a naplózott IP-címek később feloldhatók a DNS-neveikre, amikor áttekintik a naplókat, kivéve azokat az eseteket, amikor dinamikus gazdagépneveket használnak. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Alacsony

Győződjön meg arról, hogy a HTTPS- vagy SSL-proxybetöltés-kiegyensúlyozók nem engedélyezik a gyenge titkosítási csomagokkal rendelkező SSL-szabályzatokat

Leírás: A Secure Sockets Layer (SSL) szabályzatok határozzák meg, hogy a port Transport Layer Security (TLS) mely funkcióit használhatják az ügyfelek a terheléselosztókhoz való csatlakozáskor. A nem biztonságos funkciók használatának megakadályozása érdekében az SSL-házirendeknek legalább TLS 1.2-t kell használniuk a MODERN profillal; vagy (b) a KORLÁTOZOTT profilt, mivel hatékonyan megköveteli az ügyfelektől, hogy a TLS 1.2-t használják a választott minimális TLS-verziótól függetlenül; vagy (3) olyan EGYÉNI profilt, amely nem támogatja az alábbi funkciók egyikét sem: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

A terheléselosztók segítségével hatékonyan oszthatja el a forgalmat több kiszolgáló között. Az SSL-proxy és a HTTPS terheléselosztó egyaránt külső terheléselosztó, ami azt jelenti, hogy az internetről egy GCP-hálózatra osztja a forgalmat. A GCP-ügyfelek a terheléselosztó SSL-szabályzatait olyan minimális TLS-verzióval (1.0, 1.1 vagy 1.2) konfigurálhatják, amellyel az ügyfelek kapcsolatot létesíthetnek egy olyan profillal (kompatibilis, modern, korlátozott vagy egyéni), amely a megengedett titkosítási csomagokat határozza meg. Az elavult protokollokat használó felhasználókkal való megfelelés érdekében a GCP-terheléselosztók konfigurálhatók a nem biztonságos titkosítási csomagok engedélyezésére. A GCP alapértelmezett SSL-szabályzata az 1.0-s minimális TLS-verziót és egy kompatibilis profilt használ, amely lehetővé teszi a nem biztonságos titkosítási csomagok legszélesebb körét. Ennek eredményeképpen az ügyfelek egyszerűen konfigurálhatnak terheléselosztót anélkül, hogy tudnák, hogy elavult titkosítási csomagokat engedélyeznek.

Súlyosság: Közepes

Győződjön meg arról, hogy a felhőalapú DNS-naplózás engedélyezve van az összes VPC-hálózat esetében

Leírás: A felhőalapú DNS-naplózás rögzíti a lekérdezéseket a VPC névkiszolgálóiról a Stackdriver-ba. A naplózott lekérdezések a számítási motor virtuális gépeiből, GKE-tárolóiból vagy a VPC-ben kiépített egyéb GCP-erőforrásokból származhatnak. A biztonsági monitorozás és a kriminalisztika nem függhet kizárólag a VPC-folyamatok naplóiból származó IP-címektől, különösen akkor, ha figyelembe vesszük a felhőerőforrások dinamikus IP-használatát, a HTTP virtuális gazdagépek útválasztását és más olyan technológiát, amely elhomályosítja az ügyfél által használt DNS-nevet az IP-címről. A felhőalapú DNS-naplók monitorozása a VPC-n belüli ügyfelek által kért DNS-nevek láthatóságát biztosítja. Ezek a naplók figyelhetők a rendellenes tartománynevekre, kiértékelhetők a fenyegetésintelligencia alapján, és megjegyzés: A DNS teljes rögzítéséhez a tűzfalnak blokkolnia kell az UDP/53 (DNS) és a TCP/443 (HTTPS-en keresztüli DNS) kimenő forgalmat, hogy az ügyfél ne használjon külső DNS-névkiszolgálót a megoldáshoz.

Súlyosság: Magas

Győződjön meg arról, hogy a DNS Standard kiadás C engedélyezve van a felhőbeli DNS-hez

Leírás: A Cloud Domain Name System (DNS) egy gyors, megbízható és költséghatékony tartománynévrendszer, amely több millió tartományt működtet az interneten. A tartománynévrendszer biztonsági bővítményei (DNS Standard kiadás C) a felhőbeli DNS-ben lehetővé teszik a tartománytulajdonosok számára, hogy egyszerű lépéseket tegyenek a tartományaik védelmére a DNS-eltérítés, valamint a középen belüli és egyéb támadások ellen. A tartománynévrendszer biztonsági bővítményei (DNS Standard kiadás C) a DNS-válaszok érvényesítésének engedélyezésével növelik a DNS-protokoll biztonságát. A mai webalapú alkalmazások egyre fontosabb építőeleme, hogy megbízható DNS-sel rendelkezik, amely a tartománynevet a hozzá tartozó IP-címhez hasonlóan www.example.com fordítja le. A támadók eltéríthetik a tartomány-/IP-keresés ezen folyamatát, és DNS-eltérítéssel és emberközi támadásokkal átirányíthatják a felhasználókat egy rosszindulatú webhelyre. A DNS Standard kiadás C a DNS-rekordok kriptográfiai aláírásával segít csökkenteni az ilyen támadások kockázatát. Ennek eredményeképpen megakadályozza, hogy a támadók hamis DNS-válaszokat adjanak ki, amelyek félrevezethetik a böngészőket az aljas webhelyekre.

Súlyosság: Közepes

Győződjön meg arról, hogy az RDP-hozzáférés korlátozva van az internetről

Leírás: A GCP tűzfalszabályok egy VPC-hálózatra vonatkoznak. Minden szabály engedélyezi vagy tagadja a forgalmat a feltételek teljesülése esetén. A feltételek lehetővé teszik a felhasználók számára, hogy meghatározzák a forgalom típusát, például a portokat és protokollokat, valamint a forgalom forrását vagy célját, beleértve az IP-címeket, alhálózatokat és példányokat. A tűzfalszabályok a VPC hálózati szintjén vannak definiálva, és a definiált hálózatra vonatkoznak. Maguk a szabályok nem oszthatók meg a hálózatok között. A tűzfalszabályok csak az IPv4-forgalmat támogatják. A kimenő szabály forrásának vagy a kimenő szabály célhelyének cím szerinti megadásakor a CIDR-jelölés egy IPv4-címe vagy IPv4-blokkja használható. Az általános (0.0.0.0/0) bejövő forgalom az internetről egy VPC- vagy VM-példányra a 3389-ben lévő RDP használatával elkerülhető. GCP-tűzfalszabályok egy VPC-hálózaton belül. Ezek a szabályok a példányok kimenő (kimenő) forgalmára, valamint a hálózati példányokra irányuló bejövő (bejövő) forgalomra vonatkoznak. A kimenő és bejövő forgalom akkor is szabályozható, ha a forgalom a hálózaton belül marad (például példányok közötti kommunikáció). Ahhoz, hogy egy példány kimenő internet-hozzáféréssel rendelkezzen, a hálózatnak érvényes internetes átjáróútvonalsal vagy egyéni útvonalsal kell rendelkeznie, amelynek a cél IP-címe meg van adva. Ez az útvonal egyszerűen meghatározza az internet elérési útját, hogy elkerülje az internetről az alapértelmezett 3389-es porton keresztül megadott általános (0.0.0.0/0) cél IP-tartományt. Az internetről egy adott IP-tartományhoz való általános hozzáférést korlátozni kell.

Súlyosság: Magas

Győződjön meg arról, hogy a RSASHA1 nincs használva a kulcs-aláíró kulcshoz a Cloud DNS DNS-ben Standard kiadás C

Leírás: A beállításjegyzék DNS Standard kiadás C algoritmusszámai használhatók a CERT RR-ekben. A zónaaláírás (DNS Standard kiadás C) és a tranzakciók biztonsági mechanizmusai (SIG(0) és TSIG) ezen algoritmusok bizonyos részhalmazait használják. A kulcsaláíráshoz használt algoritmusnak ajánlottnak kell lennie, és erősnek kell lennie. A beállításjegyzékben található tartománynévrendszer-biztonsági bővítmények (DNS Standard kiadás C) algoritmusszámai a TANÚSÍTVÁNY-kérelemegységekben használhatók. A zóna-hozzárendelés (DNS Standard kiadás C) és a tranzakciók biztonsági mechanizmusai (SIG(0) és TSIG) ezen algoritmusok bizonyos részhalmazait használják. A kulcsaláíráshoz használt algoritmusnak ajánlottnak kell lennie, és erősnek kell lennie. Ha engedélyezi a DNS Standard kiadás C-t egy felügyelt zónához, vagy dns-sel hoz létre felügyelt zónát Standard kiadás C használatával, a felhasználó kiválaszthatja a DNS Standard kiadás C aláíró algoritmusokat és a létezés megtagadásának típusát. A DNS Standard kiadás C-beállítások módosítása csak akkor érvényes a felügyelt zónákra, ha a DNS Standard kiadás C még nincs engedélyezve. Ha módosítani kell egy olyan felügyelt zóna beállításait, ahol engedélyezve van, kapcsolja ki a DNS Standard kiadás C-t, majd engedélyezze újra a különböző beállításokkal.

Súlyosság: Közepes

Győződjön meg arról, hogy a RSASHA1 nem használja a zónaaláíró kulcsot a Cloud DNS DNS-ben Standard kiadás C

Leírás: A beállításjegyzék DNS Standard kiadás C algoritmusszámai használhatók a CERT RR-ekben. A zónaaláírás (DNS Standard kiadás C) és a tranzakciók biztonsági mechanizmusai (SIG(0) és TSIG) ezen algoritmusok bizonyos részhalmazait használják. A kulcsaláíráshoz használt algoritmusnak ajánlottnak kell lennie, és erősnek kell lennie. A beállításjegyzék DNS Standard kiadás C-algoritmusszámai használhatók a CERT RR-ekben. A zóna-hozzárendelés (DNS Standard kiadás C) és a tranzakciók biztonsági mechanizmusai (SIG(0) és TSIG) ezen algoritmusok bizonyos részhalmazait használják. A kulcsaláíráshoz használt algoritmusnak ajánlottnak kell lennie, és erősnek kell lennie. Ha engedélyezi a DNS Standard kiadás C-t egy felügyelt zónához, vagy létrehoz egy felügyelt zónát a DNS Standard kiadás C használatával, kiválasztható a DNS Standard kiadás C aláíró algoritmusok és a létezésmegtagadás típusa. A DNS Standard kiadás C-beállítások módosítása csak akkor érvényes a felügyelt zónákra, ha a DNS Standard kiadás C még nincs engedélyezve. Ha szükség van egy olyan felügyelt zóna beállításainak módosítására, ahol engedélyezve van, kapcsolja ki a DNS Standard kiadás C-t, majd engedélyezze újra a különböző beállításokkal.

Súlyosság: Közepes

Győződjön meg arról, hogy az SSH-hozzáférés korlátozva van az internetről

Leírás: A GCP tűzfalszabályok egy VPC-hálózatra vonatkoznak. Minden szabály engedélyezi vagy tagadja a forgalmat a feltételek teljesülése esetén. A feltételek lehetővé teszik a felhasználó számára a forgalom típusát, például a portokat és protokollokat, valamint a forgalom forrását vagy célját, beleértve az IP-címeket, alhálózatokat és példányokat. A tűzfalszabályok a VPC hálózati szintjén vannak definiálva, és a definiált hálózatra vonatkoznak. Maguk a szabályok nem oszthatók meg a hálózatok között. A tűzfalszabályok csak az IPv4-forgalmat támogatják. A kimenő szabály forrásának vagy a kimenő szabály célhelyének cím szerinti megadásakor csak egy IPv4-cím vagy A CIDR-jelölés IPv4-blokkja használható. Az általános (0.0.0.0/0) bejövő forgalom az internetről a VPC- vagy VM-példányba A 22-s porton futó SSH használatával elkerülhető. A VPC-hálózaton belüli GCP-tűzfalszabályok a példányok kimenő (kimenő) forgalmára és a bejövő (bejövő) forgalomra vonatkoznak a hálózat példányai felé. A kimenő és bejövő forgalom akkor is szabályozható, ha a forgalom a hálózaton belül marad (például példányok közötti kommunikáció). Ahhoz, hogy egy példány kimenő internet-hozzáféréssel rendelkezzen, a hálózatnak érvényes internetes átjáróútvonalsal vagy egyéni útvonalsal kell rendelkeznie, amelynek a cél IP-címe meg van adva. Ez az útvonal egyszerűen meghatározza az internet elérési útját, hogy elkerülje az internetről az alapértelmezett 22-es porton keresztül megadott általános (0.0.0.0/0) cél IP-tartományt. Az internetről egy adott IP-tartományhoz való általános hozzáférést korlátozni kell.

Súlyosság: Magas

Győződjön meg arról, hogy az alapértelmezett hálózat nem létezik egy projektben

Leírás: Az "alapértelmezett" hálózat használatának megakadályozása érdekében egy projektnek nem szabad "alapértelmezett" hálózatával rendelkeznie. Az alapértelmezett hálózat előre konfigurált hálózati konfigurációval rendelkezik, és automatikusan létrehozza a következő nem biztonságos tűzfalszabályokat:

• default-allow-internal: Engedélyezi a bejövő kapcsolatokat a hálózati példányok között az összes protokollhoz és porthoz.
• default-allow-ssh: Engedélyezi a bejövő kapcsolatokat a 22(SSH) TCP-porton bármely forrásból a hálózat bármely példányára.
• default-allow-rdp: Engedélyezi a bejövő kapcsolatokat a 3389(RDP) TCP-porton bármely forrásból a hálózat bármely példányára.
• default-allow-icmp: Engedélyezi a bejövő ICMP-forgalmat bármely forrásból a hálózat bármely példányára.

Ezek az automatikusan létrehozott tűzfalszabályok nem naplózhatók, és nem konfigurálhatók a tűzfalszabály-naplózás engedélyezésére. Ezenkívül az alapértelmezett hálózat egy automatikus módú hálózat, ami azt jelenti, hogy alhálózatai ugyanazt az előre definiált IP-címtartományt használják, ezért nem lehet felhőalapú VPN- vagy VPC-hálózati társviszonyt használni az alapértelmezett hálózattal. A szervezet biztonsági és hálózatkezelési követelményei alapján a szervezetnek létre kell hoznia egy új hálózatot, és törölnie kell az alapértelmezett hálózatot.

Súlyosság: Közepes

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek a VPC-hálózat változásaihoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a virtuális magánfelhő (VPC) hálózati változásaihoz. Egy projekten belül több VPC is lehet. Emellett létrehozhat egy társkapcsolatot is két VPN között, amely lehetővé teszi a hálózati forgalom irányítását a VPN-ek között. A VPC módosításainak monitorozása segít biztosítani, hogy a VPC-forgalom ne legyen hatással.

Súlyosság: Alacsony

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek a VPC hálózati tűzfalszabályainak módosításaihoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a virtuális magánfelhő (VPC) hálózati tűzfalszabályainak változásaihoz. A tűzfalszabály-események létrehozásának vagy frissítésének figyelése betekintést nyújt a hálózati hozzáférés változásaiba, és csökkentheti a gyanús tevékenységek észleléséhez szükséges időt.

Súlyosság: Alacsony

Győződjön meg arról, hogy a naplómetrika szűrője és riasztásai léteznek a VPC hálózati útvonalának változásaihoz

Leírás: Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a virtuális magánfelhő (VPC) hálózati útvonalváltozásaihoz. A Google Cloud Platform (GCP) útvonalai határozzák meg, hogy a hálózati forgalom milyen útvonalakat vesz igénybe egy virtuálisgép-példányból egy másik célhelyre. A másik cél lehet a szervezeti VPC-hálózaton belül (például egy másik virtuális gépen) vagy azon kívül. Minden útvonal egy célhelyből és egy következő ugrásból áll. Az a forgalom, amelynek a cél IP-címe a céltartományon belül van, a rendszer a következő ugrásra küldi a kézbesítéshez. Az útvonaltáblák változásainak monitorozása segít biztosítani, hogy a VPC-forgalom egy várt útvonalon haladjon keresztül.

Súlyosság: Alacsony

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_connections" adatbázisjelzője be van kapcsolva

Leírás: A log_connections beállítás engedélyezésével a rendszer naplózza a kiszolgálóhoz való minden egyes csatlakozási kísérletet, valamint az ügyfélhitelesítés sikeres befejezését. Ez a paraméter a munkamenet indítása után nem módosítható. A PostgreSQL alapértelmezés szerint nem naplózza a megkísérelt kapcsolatokat. A log_connections beállítás engedélyezésével naplóbejegyzések hozhatók létre az egyes megkísérelt kapcsolatokhoz, valamint az ügyfélhitelesítés sikeres befejezéséhez, ami hasznos lehet a problémák elhárításához és a kiszolgálóhoz való szokatlan kapcsolódási kísérletek meghatározásához. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a Cloud SQL PostgreSQL-példány "log_disconnections" adatbázisjelzője be van kapcsolva

Leírás: A log_disconnections beállítás engedélyezése minden munkamenet végét naplózza, beleértve a munkamenet időtartamát is. A PostgreSQL alapértelmezés szerint nem naplózza a munkamenet részleteit, például az időtartamot és a munkamenet végét. A log_disconnections beállítás engedélyezésével minden munkamenet végén naplóbejegyzések hozhatók létre, amelyek hasznosak lehetnek a problémák elhárításában és az adott időszakban végzett szokatlan tevékenységek meghatározásában. A log_disconnections és a log_connections kéz a kézben dolgoznak, és általában a pár együtt engedélyezve/letiltva lesz. Ez a javaslat a PostgreSQL-adatbázispéldányokra vonatkozik.

Súlyosság: Közepes

Győződjön meg arról, hogy a VPC-folyamatnaplók engedélyezve van a VPC-hálózat minden alhálózatához

Leírás: A folyamatnaplók egy olyan funkció, amely lehetővé teszi a felhasználók számára, hogy a szervezet VPC-alhálózatainak hálózati adaptereiről érkező és onnan érkező IP-forgalomra vonatkozó információkat rögzítsenek. A folyamatnapló létrehozása után a felhasználó megtekintheti és lekérheti az adatait a Stackdriver-naplózásban. Javasoljuk, hogy minden üzleti szempontból kritikus VPC-alhálózat esetében engedélyezze a folyamatnaplókat. A VPC-hálózatok és alhálózatok logikailag elkülönített és biztonságos hálózati partíciókat biztosítanak, ahol GCP-erőforrások indíthatók. Ha a folyamatnaplók engedélyezve van egy alhálózaton, az alhálózaton belüli virtuális gépek elkezdenek jelentést tenni az összes Átviteli vezérlési protokoll (TCP) és a User Datagram Protocol (UDP) folyamatról. Minden virtuális gép mintát vesz az általa látott TCP- és UDP-folyamatokból, bejövő és kimenő folyamatokból, függetlenül attól, hogy a folyamat egy másik virtuális gépre vagy egy másik virtuális gépről, egy helyszíni adatközpontban lévő gazdagépre, egy Google-szolgáltatásra vagy egy internetes gazdagépre irányul-e. Ha két GCP virtuális gép kommunikál, és mindkettő olyan alhálózatokban található, amelyeken engedélyezve vannak a VPC-folyamatnaplók, mindkét virtuális gép jelenti a folyamatokat. A folyamatnaplók a következő használati eseteket támogatják: 1. Hálózatfigyelés. 2. A hálózathasználat és a hálózati forgalom költségeinek optimalizálása. 3. Hálózati kriminalisztika. 4. A valós idejű biztonsági elemzési folyamatnaplók az alhálózaton belüli virtuális gépek hálózati forgalmának láthatóságát biztosítják, és a biztonsági munkafolyamatok során a rendellenes forgalom vagy megállapítások észlelésére használhatók.

Súlyosság: Alacsony

Engedélyezni kell a tűzfalszabály-naplózást

Leírás: Ez a javaslat kiértékeli a logConfig tulajdonságot a tűzfal metaadataiban, és ellenőrzi, hogy üres-e, vagy tartalmazza-e az "enable" kulcs-érték párt: hamis.

Súlyosság: Közepes

A tűzfalat nem szabad úgy konfigurálni, hogy nyilvánosan elérhető legyen

Leírás: Ez a javaslat kiértékeli a forrásrangokat és az engedélyezett tulajdonságokat két konfiguráció egyikéhez:

A sourceRanges tulajdonság 0.0.0.0/0-t tartalmaz, az engedélyezett tulajdonság pedig olyan szabályok kombinációját tartalmazza, amelyek bármilyen protokollt vagy protokollt:portot tartalmaznak, kivéve a következőket: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22

A sourceRanges tulajdonság olyan IP-tartományok kombinációját tartalmazza, amelyek bármilyen nemprivate IP-címet tartalmaznak, és az engedélyezett tulajdonság olyan szabályok kombinációját tartalmazza, amelyek lehetővé teszik az összes TCP-portot vagy az összes udp-portot.

Súlyosság: Magas

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt CASSANDRA-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt CISCO Standard kiadás CURE_WEBSM port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollhoz és porthoz: TCP:9090.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt DIRECTORY_Standard kiadás RVICES-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:445 és UDP:445.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt DNS-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:53 és UDP:53.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt ELASTIC Standard kiadás ARCH-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:9200, 9300.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt FTP-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollhoz és porthoz: TCP:21.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt HTTP-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:80.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt LDAP-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:389, 636 és UDP:389.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt MEMCACHED-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:11211, 11214-11215 és UDP:11211, 11214-11215.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt MONGODB-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:27017-27019.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt MYSQL-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollhoz és porthoz: TCP:3306.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt NETBIOS-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:137-139 és UDP:137-139.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt ORACLEDB-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:1521, 2483-2484 és UDP:2483-2484.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt POP3-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollhoz és porthoz: TCP:110.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt PostgreSQL-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli a tűzfal metaadatainak engedélyezett tulajdonságát a következő protokollok és portok esetében: TCP:5432 és UDP:5432.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt REDIS-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli, hogy a tűzfal metaadatainak engedélyezett tulajdonsága tartalmazza-e a következő protokollt és portot: TCP:6379.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt SMTP-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli, hogy a tűzfal metaadatainak engedélyezett tulajdonsága tartalmazza-e a következő protokollt és portot: TCP:25.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt SSH-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli, hogy a tűzfal metaadatainak engedélyezett tulajdonsága tartalmazza-e a következő protokollokat és portokat: TCP:22 és SCTP:22.

Súlyosság: Alacsony

A tűzfalat nem szabad úgy konfigurálni, hogy nyílt TELNET-port legyen, amely általános hozzáférést tesz lehetővé

Leírás: Ez a javaslat kiértékeli, hogy a tűzfal metaadatainak engedélyezett tulajdonsága tartalmazza-e a következő protokollt és portot: TCP:23.

Súlyosság: Alacsony

A GKE-fürtöknek engedélyezniük kell az alias IP-tartományokat

Leírás: Ez a javaslat kiértékeli, hogy a fürtön lévő ipAllocationPolicy ipAllocationPolicy useIPAliases mezője hamis-e.

Súlyosság: Alacsony

A GKE-fürtöknek engedélyezniük kell a privát fürtöket

Leírás: Ez a javaslat kiértékeli, hogy a privateClusterConfig tulajdonság enablePrivateNodes mezője hamisra van-e állítva.

Súlyosság: Magas

A hálózati házirendet engedélyezni kell a GKE-fürtökön

Leírás: Ez a javaslat kiértékeli az addonsConfig tulajdonság networkPolicy mezőjét a "letiltva" kulcs-érték párhoz: igaz.

Súlyosság: Közepes

Kapcsolódó tartalom

• GCP-projektek Csatlakozás Felhőhöz készült Microsoft Defender
• Mik azok a biztonsági szabályzatok, kezdeményezések és javaslatok?
• A biztonsági javaslatok áttekintése