Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencobamasuk ataumengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencobamengubah direktori.
Artikel ini mencantumkan semua rekomendasi keamanan komputasi multicloud yang mungkin Anda lihat di Microsoft Defender untuk Cloud.
Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan. Anda dapat melihat rekomendasi di portal yang berlaku untuk sumber daya Anda.
Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.
Tip
Jika deskripsi rekomendasi mengatakan Tidak ada kebijakan terkait, biasanya itu karena rekomendasi tersebut tergantung pada rekomendasi yang berbeda.
Misalnya, rekomendasi Kegagalan kesehatan perlindungan titik akhir harus diperbaiki bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir diinstal (Solusi perlindungan titik akhir harus diinstal). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar yang menyederhanakan manajemen kebijakan.
Rekomendasi komputasi Azure
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan)
Deskripsi: Komputer Anda kehilangan pembaruan sistem, keamanan, dan kritis. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi.
Tingkat keparahan: Rendah
Mesin harus dikonfigurasi secara berkala untuk memeriksa pembaruan sistem yang tidak ada
Deskripsi: Untuk memastikan penilaian berkala untuk pembaruan sistem yang hilang dipicu secara otomatis setiap 24 jam, properti AssessmentMode harus diatur ke 'AutomaticByPlatform'. Pelajari selengkapnya tentang properti AssessmentMode untuk Windows: https://aka.ms/computevm-windowspatchassessmentmode, untuk Linux: https://aka.ms/computevm-linuxpatchassessmentmode.
Tingkat keparahan: Rendah
Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda
Deskripsi: Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang berjalan di komputer Anda, dan beri tahu Anda saat aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses dalam mengonfigurasi dan memelihara aturan Anda, Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap mesin dan menyarankan daftar aplikasi yang dikenal aman. (Kebijakan terkait: Kontrol aplikasi adaptif untuk menentukan aplikasi yang aman harus diaktifkan pada komputer Anda).
Tingkat keparahan: Tinggi
Aturan daftar yang diizinkan pada kebijakan kontrol aplikasi adaptif Anda harus diperbarui
Deskripsi: Pantau perubahan perilaku pada grup komputer yang dikonfigurasi untuk audit dengan kontrol aplikasi adaptif Defender untuk Cloud. Defender untuk Cloud menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif. (Kebijakan terkait: Aturan daftar izin dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui).
Tingkat keparahan: Tinggi
Autentikasi ke komputer Linux memerlukan kunci SSH
Deskripsi: Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute-force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya di Langkah mendetail: Membuat dan mengelola kunci SSH untuk autentikasi ke Mesin Virtual Linux di Azure. (Kebijakan terkait: Audit komputer Linux yang tidak menggunakan kunci SSH untuk autentikasi).
Tingkat keparahan: Sedang
Variabel akun Automation harus dienkripsi
Deskripsi: Penting untuk mengaktifkan enkripsi aset variabel akun Automation saat menyimpan data sensitif. (Kebijakan terkait: Variabel akun Automation harus dienkripsi).
Tingkat keparahan: Tinggi
Azure Backup harus diaktifkan untuk komputer virtual
Deskripsi: Lindungi data di komputer virtual Azure Anda dengan Azure Backup. Azure Backup adalah solusi perlindungan data asli Azure yang hemat biaya. Hal ini menciptakan titik pemulihan yang disimpan dalam vault pemulihan geo-redundan Saat memulihkan dari titik pemulihan, Anda dapat memulihkan seluruh komputer virtual atau file tertentu. (Kebijakan terkait: Azure Backup harus diaktifkan untuk Komputer Virtual).
Tingkat keparahan: Rendah
(Pratinjau) Komputer Azure Local harus memenuhi persyaratan Secured-core
Deskripsi: Pastikan bahwa semua komputer Azure Local memenuhi persyaratan Secured-core. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Rendah
(Pratinjau) Komputer Azure Local harus memiliki kebijakan kontrol aplikasi yang diberlakukan secara konsisten
Deskripsi: Minimal, terapkan kebijakan dasar Microsoft WDAC dalam mode yang diberlakukan pada semua komputer Lokal Azure. Kebijakan Kontrol Aplikasi Pertahanan Windows (WDAC) yang diterapkan harus konsisten di seluruh server dalam kluster yang sama. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Tinggi
(Pratinjau) Sistem Azure Local harus memiliki volume terenkripsi
Deskripsi: Gunakan BitLocker untuk mengenkripsi OS dan volume data pada sistem Azure Local. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Tinggi
Host kontainer harus dikonfigurasi dengan aman
Deskripsi: Memulihkan kerentanan dalam pengaturan konfigurasi keamanan pada komputer dengan Docker yang diinstal untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan kontainer harus diperbaiki).
Tingkat keparahan: Tinggi
Log diagnostik di Azure Stream Analytics harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Stream Analytics harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di akun Batch harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di akun Batch harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Azure Event Hubs harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Azure Event Hubs harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Logic Apps harus diaktifkan
Deskripsi: Untuk memastikan Anda dapat membuat ulang jejak aktivitas untuk tujuan penyelidikan saat insiden keamanan terjadi atau jaringan Anda disusupi, aktifkan pengelogan. Jika log diagnostik Anda tidak dikirim ke ruang kerja Log Analytics, akun Azure Storage, atau Azure Event Hubs, pastikan Anda telah mengonfigurasi pengaturan diagnostik untuk mengirim metrik platform dan log platform ke tujuan yang relevan. Pelajari lebih lanjut di Membuat pengaturan diagnostik untuk mengirim log dan metrik platform ke tujuan yang berbeda. (Kebijakan terkait: Log diagnostik di Logic Apps harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Bus Layanan harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Bus Layanan harus diaktifkan).
Tingkat keparahan: Rendah
Log diagnostik di Microsoft Azure Virtual Machine Scale Sets harus diaktifkan
Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: Log diagnostik di Virtual Machine Scale Sets harus diaktifkan).
Tingkat keparahan: Tinggi
Masalah konfigurasi EDR harus diselesaikan pada komputer virtual
Deskripsi: Untuk melindungi komputer virtual dari ancaman dan kerentanan terbaru, atasi semua masalah konfigurasi yang diidentifikasi dengan solusi Deteksi dan Respons Titik Akhir (EDR) yang diinstal. Saat ini, rekomendasi ini hanya berlaku untuk sumber daya dengan Microsoft Defender untuk Titik Akhir diaktifkan.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Rendah
Solusi EDR harus diinstal pada Komputer Virtual
Deskripsi: Menginstal solusi Deteksi dan Respons Titik Akhir (EDR) pada komputer virtual penting untuk perlindungan terhadap ancaman tingkat lanjut. EDR membantu dalam mencegah, mendeteksi, menyelidiki, dan menanggapi ancaman ini. Pertahanan Microsoft untuk Server dapat digunakan untuk menyebarkan Microsoft Defender untuk Titik Akhir.
- Jika sumber daya diklasifikasikan sebagai "Tidak Sehat", sumber daya menunjukkan tidak adanya solusi EDR yang didukung.
- Jika solusi EDR diinstal tetapi tidak dapat ditemukan oleh rekomendasi ini, solusi dapat dikecualikan
- Tanpa solusi EDR, komputer virtual berisiko terhadap ancaman tingkat lanjut.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Tinggi
Masalah kesehatan perlindungan titik akhir pada virtual machine scale sets harus diselesaikan
Deskripsi: Pada set skala komputer virtual, pulihkan kegagalan kesehatan perlindungan titik akhir untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada set skala komputer virtual).
Tingkat keparahan: Rendah
Perlindungan titik akhir harus diinstal pada virtual machine scale sets
Deskripsi: Instal solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Solusi perlindungan titik akhir harus diinstal pada set skala komputer virtual).
Tingkat keparahan: Tinggi
Pemantauan integritas file harus diaktifkan di komputer
Deskripsi: Defender untuk Cloud telah mengidentifikasi mesin yang kehilangan solusi pemantauan integritas file. Untuk memantau perubahan pada file penting, kunci registri, dan lainnya di server Anda, aktifkan pemantauan integritas file. Saat solusi pemantauan integritas file diaktifkan, buat aturan pengumpulan data untuk menentukan file yang akan dipantau. Untuk menentukan aturan, atau lihat file yang diubah pada komputer dengan aturan yang ada, buka halaman manajemen pemantauan integritas file. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Ekstensi Attestation tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Linux
Deskripsi: Instal ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual Linux yang diaktifkan peluncuran tepercaya.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus dipasang pada komputer virtual Linux yang didukung
Deskripsi: Instal ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk peluncuran tepercaya yang diaktifkan pada komputer virtual Linux.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus diinstal pada kumpulan skala komputer virtual yang didukung Windows
Deskripsi: Instal ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk set skala komputer virtual yang diaktifkan peluncuran tepercaya.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Pengesahan Tamu harus diinstal pada komputer virtual yang didukung Windows
Deskripsi: Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung untuk memungkinkan Microsoft Defender untuk Cloud secara proaktif membuktikan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Ekstensi Konfigurasi Tamu harus diinstal pada komputer
Deskripsi: Untuk memastikan konfigurasi aman pengaturan dalam tamu komputer Anda, instal ekstensi Konfigurasi Tamu. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan dalam tamu akan tersedia seperti penjaga Eksploitasi Windows harus diaktifkan. (Kebijakan terkait: Komputer virtual harus memiliki ekstensi Konfigurasi Tamu).
Tingkat keparahan: Sedang
(Pratinjau) Jaringan host dan VM harus dilindungi pada sistem Lokal Azure
Deskripsi: Lindungi data di jaringan host Lokal Azure dan pada koneksi jaringan komputer virtual. (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus diinstal pada komputer - Microsoft Azure).
Tingkat keparahan: Rendah
Instal solusi perlindungan titik akhir pada komputer virtual
Deskripsi: Instal solusi perlindungan titik akhir pada komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. (Kebijakan terkait: Pantau Perlindungan Titik Akhir yang hilang di Azure Security Center).
Tingkat keparahan: Tinggi
Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk mengenkripsi semua data ini. Kunjungi Gambaran Umum opsi enkripsi disk terkelola untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi Memahami Konfigurasi Komputer Azure. (Kebijakan terkait: Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost).
Menggantikan rekomendasi komputer virtual yang lebih lama harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Komputasi dan Penyimpanan. Rekomendasi ini memungkinkan Anda untuk mengaudit kepatuhan enkripsi VM.
Tingkat keparahan: Tinggi
Komputer virtual Linux harus menerapkan validasi tanda tangan modul kernel
Deskripsi: Untuk membantu mengurangi eksekusi kode berbahaya atau tidak sah dalam mode kernel, terapkan validasi tanda tangan modul kernel pada komputer virtual Linux yang didukung. Validasi tanda tangan modul kernel memastikan bahwa hanya modul kernel tepercaya yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Komputer virtual Linux hanya harus menggunakan komponen boot yang ditandatangani dan tepercaya
Deskripsi: Dengan Boot Aman diaktifkan, semua komponen boot OS (boot loader, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi komputer Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar izin Anda atau hapus komponen yang diidentifikasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Komputer virtual Linux harus menggunakan Boot Aman
Deskripsi: Untuk melindungi dari penginstalan rootkit berbasis malware dan kit boot, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Agen Analitik Log harus diinstal di mesin yang didukung Azure Arc berbasis Linux
Deskripsi: Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai OMS) untuk mengumpulkan peristiwa keamanan dari komputer Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Karena penggunaan AMA dan MMA ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024
Agen Analitik Log harus diinstal pada virtual machine scale sets
Deskripsi: Defender untuk Cloud mengumpulkan data dari komputer virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Anda untuk analisis. Anda juga harus mengikuti prosedur tersebut jika komputer virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Anda tidak dapat mengonfigurasi ketentuan otomatis agen untuk Microsoft Azure Virtual Machine Scale Sets. Untuk menyebarkan agen pada Microsoft Azure Virtual Machine Scale Sets (termasuk yang digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service dan Azure Service Fabric), ikuti prosedur dalam langkah-langkah remediasi. (Kebijakan terkait: Agen Analitik Log harus diinstal pada set skala komputer virtual Anda untuk pemantauan Azure Security Center).
Karena penggunaan AMA dan MMA ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024
Tingkat keparahan: Tinggi
Agen Analitik Log harus diinstal di mesin virtual
Deskripsi: Defender untuk Cloud mengumpulkan data dari komputer virtual (VM) Azure Anda untuk memantau kerentanan dan ancaman keamanan. Data dikumpulkan menggunakan agen Analitik Log, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Analitik Log Anda untuk analisis. Agen ini juga diperlukan jika Mesin Virtual Anda digunakan oleh layanan terkelola Azure seperti Azure Kubernetes Service atau Azure Service Fabric. Sebaiknya konfigurasikan provisi otomatis untuk menyebarkan agen secara otomatis. Jika memilih untuk tidak menggunakan penyediaan otomatis, terapkan agen secara manual ke komputer virtual Anda menggunakan petunjuk dalam langkah-langkah remediasi. (Kebijakan terkait: Agen Analitik Log harus diinstal pada komputer virtual Anda untuk pemantauan Azure Security Center).
Karena penggunaan AMA dan MMA ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024
Tingkat keparahan: Tinggi
Agen Analitik Log harus diinstal pada mesin yang didukung Azure Arc berbasis Windows
Deskripsi: Defender untuk Cloud menggunakan agen Analitik Log (juga dikenal sebagai MMA) untuk mengumpulkan peristiwa keamanan dari komputer Azure Arc Anda. Untuk menyebarkan agen di semua komputer Azure Arc Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Karena penggunaan AMA dan MMA ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024
Mesin harus dikonfigurasi dengan aman
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Anda untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan pada komputer Anda harus diperbaiki).
Rekomendasi ini membantu Anda meningkatkan postur keamanan server. Defender untuk Cloud meningkatkan tolok ukur Center for Internet Security (CIS) dengan menyediakan garis besar keamanan yang didukung oleh Pengelolaan Kerentanan Microsoft Defender.
Tingkat keparahan: Rendah
Komputer harus dimulai ulang untuk menerapkan pembaruan konfigurasi keamanan
Deskripsi: Untuk menerapkan pembaruan konfigurasi keamanan dan melindungi dari kerentanan, mulai ulang komputer Anda. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Mesin harus memiliki solusi penilaian kerentanan
Deskripsi: Defender untuk Cloud secara teratur memeriksa komputer anda yang terhubung untuk memastikan mesin tersebut menjalankan alat penilaian kerentanan. Gunakan rekomendasi ini untuk menyebarkan solusi penilaian kerentanan. (Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda).
Tingkat keparahan: Sedang
Mesin harus menyelesaikan temuan kerentanan
Deskripsi: Atasi temuan dari solusi penilaian kerentanan pada komputer virtual Anda. (Kebijakan terkait: Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda).
Tingkat keparahan: Rendah
Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time
Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Grup Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT). (Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time).
Tingkat keparahan: Tinggi
Microsoft Defender untuk Server harus diaktifkan
Deskripsi: Pertahanan Microsoft untuk server memberikan perlindungan ancaman real time untuk beban kerja server Anda dan menghasilkan rekomendasi penguatan serta pemberitahuan tentang aktivitas yang mencurigakan. Anda dapat menggunakan informasi ini untuk meremediasi masalah keamanan dengan cepat dan meningkatkan keamanan server Anda.
Memulihkan rekomendasi ini akan mengakibatkan biaya untuk melindungi server Anda. Jika Anda tidak memiliki server apa pun dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat server apa pun pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selengkapnya di Pengantar Microsoft Defender untuk server. (Kebijakan terkait: Azure Defender untuk server harus diaktifkan).
Tingkat keparahan: Tinggi
Boot aman harus diaktifkan pada komputer virtual Windows yang didukung
Deskripsi: Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel, dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Windows yang diaktifkan dengan peluncuran tepercaya.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign
Deskripsi: Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Tetapkan tingkat perlindungan untuk memastikan bahwa semua pesan antar node dienkripsi dan ditandatangani secara digital. (Kebijakan terkait: Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang diatur ke EncryptAndSign).
Tingkat keparahan: Tinggi
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien
Deskripsi: Lakukan autentikasi Klien hanya melalui Azure Active Directory di Service Fabric (Kebijakan terkait: Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien).
Tingkat keparahan: Tinggi
Pembaruan sistem pada set skala komputer virtual harus diinstal
Deskripsi: Instal keamanan sistem yang hilang dan pembaruan penting untuk mengamankan set skala komputer virtual Windows dan Linux Anda. (Kebijakan terkait: Pembaruan sistem pada set skala komputer virtual harus diinstal).
Karena penggunaan Agen Azure Monitor (AMA) dan agen Analitik Log (juga dikenal sebagai Microsoft Monitoring Agent (MMA)) ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024. Rekomendasi ini digantikan oleh yang baru.
Tingkat keparahan: Tinggi
Pembaruan sistem harus dipasang di komputer Anda
Deskripsi: Instal keamanan sistem yang hilang dan pembaruan penting untuk mengamankan komputer dan komputer virtual Windows dan Linux Anda (Kebijakan terkait: Pembaruan sistem harus diinstal pada komputer Anda).
Karena penggunaan Agen Azure Monitor (AMA) dan agen Analitik Log (juga dikenal sebagai Microsoft Monitoring Agent (MMA)) ditahapkan di Defender untuk Server, rekomendasi yang mengandalkan agen tersebut, seperti ini, akan dihapus. Sebagai gantinya, fitur Defender for Servers akan menggunakan agen Microsoft Defender untuk Titik Akhir, atau pemindaian tanpa agen, tanpa mengandalkan MMA atau AMA.
Perkiraan penghentian: Juli 2024. Rekomendasi ini digantikan oleh yang baru.
Tingkat keparahan: Tinggi
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan)
Deskripsi: Komputer Anda kehilangan pembaruan sistem, keamanan, dan kritis. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. (Tidak ada kebijakan terkait)
Tingkat keparahan: Tinggi
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host
Deskripsi: Gunakan enkripsi di host untuk mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual Anda. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari selengkapnya di Menggunakan portal Azure untuk mengaktifkan enkripsi end-to-end menggunakan enkripsi di host. (Kebijakan terkait: Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi di host).
Tingkat keparahan: Sedang
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru
Deskripsi: Komputer virtual (klasik) tidak digunakan lagi dan VM ini harus dimigrasikan ke Azure Resource Manager. Karena Azure Resource Manager sekarang memiliki kemampuan IaaS penuh dan kemajuan lainnya, kami menghentikan pengelolaan komputer virtual (VM) IaaS melalui Azure Service Manager (ASM) pada 28 Februari 2020. Fungsi ini akan sepenuhnya dihentikan pada 1 Maret 2023.
Untuk melihat semua Mesin Virtual klasik yang terpengaruh, pastikan untuk memilih semua langganan Azure Anda di bawah tab 'direktori + langganan'.
Sumber daya dan informasi yang tersedia tentang alat ini & migrasi: Gambaran umum penghentian Komputer virtual (klasik), proses langkah demi langkah untuk migrasi & sumber daya Microsoft yang tersedia.Detail tentang Migrasi ke alat migrasi Azure Resource Manager.Migrasi ke alat migrasi Azure Resource Manager menggunakan PowerShell. (Kebijakan terkait: Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru).
Tingkat keparahan: Tinggi
Status pengesahan tamu komputer virtual harus dalam keadaan sehat
Deskripsi: Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi kompromi rantai boot, yang mungkin merupakan hasil dari bootkit infeksi atau rootkit .
Penilaian ini hanya berlaku untuk Peluncuran Tepercaya yang diaktifkan pada komputer virtual dengan ekstensi Pengesahan Tamu terinstal.
(Tidak ada kebijakan terkait)
Tingkat keparahan: Sedang
Ekstensi Konfigurasi Tamu di komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem
Deskripsi: Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut (Kebijakan terkait: Ekstensi Konfigurasi Tamu harus disebarkan ke komputer virtual Azure dengan identitas terkelola yang ditetapkan sistem).
Tingkat keparahan: Sedang
Virtual machine scale sets harus dikonfigurasi dengan aman
Deskripsi: Pada set skala komputer virtual, remediasi kerentanan untuk melindunginya dari serangan. (Kebijakan terkait: Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki).
Tingkat keparahan: Tinggi
Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Compute dan Storage
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Untuk perbandingan berbagai teknologi enkripsi disk di Azure, lihat Ringkasan opsi enkripsi disk terkelola. Gunakan Azure Disk Encryption untuk mengenkripsi semua data ini. Abaikan rekomendasi ini jika:
Anda menggunakan fitur enkripsi-di-host, atau enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari selengkapnya di enkripsi sisi server Azure Disk Storage.
(Kebijakan terkait: Enkripsi disk harus diterapkan pada komputer virtual)
Tingkat keparahan: Tinggi
vTPM harus diaktifkan pada komputer virtual yang didukung
Deskripsi: Aktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya.
- Peluncuran terpercaya membutuhkan pembuatan komputer virtual baru.
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada komputer virtual yang ada dan awalnya dibuat tanpanya.
Pelajari selengkapnya tentang Peluncuran tepercaya untuk mesin virtual Azure. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Kerentanan dalam konfigurasi keamanan pada mesin Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Linux Anda untuk melindunginya dari serangan. (Kebijakan terkait: Komputer Linux harus memenuhi persyaratan untuk garis besar keamanan Azure).
Tingkat keparahan: Rendah
Kerentanan dalam konfigurasi keamanan pada mesin Windows Anda harus diperbaiki (didukung oleh Konfigurasi Tamu)
Deskripsi: Memulihkan kerentanan dalam konfigurasi keamanan pada komputer Windows Anda untuk melindunginya dari serangan. (Tidak ada kebijakan terkait)
Tingkat keparahan: Rendah
Windows Defender Exploit Guard harus diaktifkan pada mesin
Deskripsi: Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). (Kebijakan terkait: Mengaudit komputer Windows tempat Windows Defender Exploit Guard tidak diaktifkan).
Tingkat keparahan: Sedang
Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost
Deskripsi: Secara default, OS komputer virtual dan disk data dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform; disk sementara dan cache data tidak dienkripsi, dan data tidak dienkripsi saat mengalir antara sumber daya komputasi dan penyimpanan. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk mengenkripsi semua data ini. Kunjungi Gambaran Umum opsi enkripsi disk terkelola untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi Memahami Konfigurasi Komputer Azure. (Kebijakan terkait: Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost).
Menggantikan rekomendasi komputer virtual yang lebih lama harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Komputasi dan Penyimpanan. Rekomendasi ini memungkinkan Anda untuk mengaudit kepatuhan enkripsi VM.
Tingkat keparahan: Tinggi
Server web Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman
Deskripsi: Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, server web Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan menggunakan sertifikat keamanan untuk mengenkripsi koneksi antar komputer. (Kebijakan terkait: Mengaudit server web Windows yang tidak menggunakan protokol komunikasi yang aman).
Tingkat keparahan: Tinggi
Rekomendasi KOMPutasi AWS
Instans Amazon EC2 yang dikelola oleh Manajer Sistem harus memiliki status kepatuhan patch COMPLIANT setelah pemasangan patch
Deskripsi: Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Manajer Sistem Amazon EC2 PATLIANT atau NON_COMPLIANT setelah penginstalan patch pada instans. Ini hanya memeriksa instans yang dikelola oleh AWS Systems Manager Patch Manager. Ini tidak memeriksa apakah patch diterapkan dalam batas 30 hari yang ditentukan oleh persyaratan PCI DSS '6.2'. Ini juga tidak memvalidasi apakah patch yang diterapkan diklasifikasikan sebagai patch keamanan. Anda harus membuat grup patch dengan pengaturan dasar yang sesuai dan memastikan sistem dalam cakupan dikelola oleh grup patch tersebut di Manajer Sistem. Untuk informasi selengkapnya tentang grup patch, lihat Panduan Pengguna AWS Systems Manager.
Tingkat keparahan: Sedang
Amazon EFS harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
Deskripsi: Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file menggunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut: *"Terenkripsi" diatur ke "false" dalam respons DescribeFileSystems. Kunci "KmsKeyId" dalam respons DescribeFileSystems tidak cocok dengan parameter KmsKeyId untuk pemeriksaan terenkripsi efs. Perhatikan bahwa kontrol ini tidak menggunakan parameter "KmsKeyId" untuk pemeriksaan terenkripsi efs. Itu hanya memeriksa nilai "Terenkripsi". Untuk lapisan keamanan tambahan bagi data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file yang tidak aktif. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat Enkripsi data di Amazon EFS di Panduan Pengguna Amazon Elastic File System.
Tingkat keparahan: Sedang
Volume EFS Amazon harus ada dalam paket cadangan
Deskripsi: Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan di AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam rencana pencadangan. Menyertakan sistem file EFS dalam rencana pencadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.
Tingkat keparahan: Sedang
Perlindungan penghapusan Application Load Balancer harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah Application Load Balancer mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan tidak dikonfigurasi. Aktifkan perlindungan penghapusan untuk melindungi Application Load Balancer Anda dari penghapusan.
Tingkat keparahan: Sedang
Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan health check
Deskripsi: Grup Penskalaan Otomatis yang terkait dengan load balancer menggunakan pemeriksaan kesehatan Elastic Load Balancing. PCI DSS tidak memerlukan penyeimbangan beban atau konfigurasi yang sangat tersedia. Ini direkomendasikan oleh praktik terbaik AWS.
Tingkat keparahan: Rendah
Akun AWS harus mengaktifkan penyediaan otomatis Azure Arc
Deskripsi: Untuk visibilitas penuh konten keamanan dari Pertahanan Microsoft untuk server, instans EC2 harus terhubung ke Azure Arc. Untuk memastikan bahwa semua instans EC2 yang memenuhi syarat secara otomatis menerima Azure Arc, aktifkan provisi otomatis dari Defender untuk Cloud di tingkat akun AWS. Pelajari lebih lanjut tentang Azure Arc, dan Microsoft Defender untuk Server.
Tingkat keparahan: Tinggi
Distribusi CloudFront harus memiliki failover asal yang dikonfigurasi
Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront dikonfigurasi dengan grup asal yang memiliki dua asal atau lebih. Kegagalan asal CloudFront dapat meningkatkan ketersediaan. Kegagalan asal secara otomatis mengalihkan lalu lintas ke asal sekunder jika asal utama tidak tersedia atau jika mengembalikan kode status respons HTTP tertentu.
Tingkat keparahan: Sedang
CodeBuild GitHub atau URL repositori sumber Bitbucket harus menggunakan OAuth
Deskripsi: Kontrol ini memeriksa apakah URL repositori sumber GitHub atau Bitbucket berisi token akses pribadi atau nama pengguna dan kata sandi. Kredensial otentikasi tidak boleh disimpan atau dikirimkan dalam teks yang jelas atau muncul di URL repositori. Alih-alih token akses pribadi atau nama pengguna dan sandi, Anda harus menggunakan OAuth untuk memberikan otorisasi untuk mengakses repositori GitHub atau Bitbucket. Menggunakan token akses pribadi atau nama pengguna dan kata sandi dapat mengekspos kredensial Anda ke paparan data yang tidak diinginkan dan akses tidak sah.
Tingkat keparahan: Tinggi
Variabel lingkungan proyek CodeBuild tidak boleh berisi kredensial
Deskripsi: Kontrol ini memeriksa apakah proyek berisi variabel AWS_ACCESS_KEY_ID lingkungan dan AWS_SECRET_ACCESS_KEY.
Kredensial autentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak boleh disimpan dalam teks yang jelas, karena hal ini dapat menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
Tingkat keparahan: Tinggi
Kluster DynamoDB Accelerator (DAX) harus dienkripsi saat diam
Deskripsi: Kontrol ini memeriksa apakah kluster DAX dienkripsi saat tidak aktif. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Enkripsi menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.
Tingkat keparahan: Sedang
Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan
Deskripsi: Kontrol ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulis sesuai kebutuhan. Kontrol ini lolos jika tabel menggunakan mode kapasitas sesuai permintaan atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Penskalaan kapasitas dengan permintaan menghindari pengecualian pelambatan, yang membantu menjaga ketersediaan aplikasi Anda.
Tingkat keparahan: Sedang
Instans EC2 harus terhubung ke Azure Arc
Deskripsi: Sambungkan instans EC2 Anda ke Azure Arc untuk memiliki visibilitas penuh ke konten keamanan Pertahanan Microsoft untuk Server. Pelajari lebih lanjut tentang Azure Arc, dan tentang Microsoft Defender untuk Server di lingkungan hybrid-cloud.
Tingkat keparahan: Tinggi
Instans EC2 harus dikelola oleh AWS Systems Manager
Deskripsi: Status kepatuhan patch Manajer Sistem Amazon EC2 adalah 'COMPLIANT' atau 'NON_COMPLIANT' setelah penginstalan patch pada instans. Hanya instans yang dikelola oleh AWS Systems Manager Patch Manager yang diperiksa. Patch yang diterapkan dalam batas 30 hari yang ditentukan oleh persyaratan PCI DSS '6' tidak diperiksa.
Tingkat keparahan: Sedang
Masalah konfigurasi EDR harus diselesaikan pada EC2s
Deskripsi: Untuk melindungi komputer virtual dari ancaman dan kerentanan terbaru, atasi semua masalah konfigurasi yang diidentifikasi dengan solusi Deteksi dan Respons Titik Akhir (EDR) yang diinstal. Saat ini, rekomendasi ini hanya berlaku untuk sumber daya dengan Microsoft Defender untuk Titik Akhir diaktifkan.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Tinggi
Solusi EDR harus diinstal pada EC2s
Deskripsi: Untuk melindungi EC2s, instal solusi Deteksi dan Respons Titik Akhir (EDR). EDR membantu mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Gunakan Pertahanan Microsoft untuk Server untuk menyebarkan Microsoft Defender untuk Titik Akhir. Jika sumber daya diklasifikasikan sebagai "Tidak Sehat", sumber daya tidak memiliki solusi EDR yang didukung yang diinstal. Jika Anda memiliki solusi EDR yang terinstal yang tidak dapat ditemukan oleh rekomendasi ini, Anda dapat mengecualikannya.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Tinggi
Instans yang dikelola oleh Manajer Sistem harus memiliki status kepatuhan asosiasi COMPLIANT
Deskripsi: Kontrol ini memeriksa apakah status kepatuhan asosiasi AWS Systems Manager SESUAI atau NON_COMPLIANT setelah asosiasi dijalankan pada instans. Kontrol lolos jika status kepatuhan asosiasi adalah COMPLIANT. Asosiasi State Manager adalah konfigurasi yang ditetapkan ke instans terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan dijalankan pada instans Anda, atau port tertentu harus ditutup. Setelah Anda membuat satu atau beberapa asosiasi State Manager, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai respons terhadap perintah AWS CLI atau operasi Systems Manager API yang sesuai. Untuk asosiasi, Kepatuhan "Konfigurasi" menunjukkan status Patuh atau Tidak patuh dan tingkat keparahan yang ditetapkan ke asosiasi, seperti Kritis atau Sedang. Untuk mempelajari selengkapnya tentang kepatuhan asosiasi State Manager, lihat Tentang kepatuhan asosiasi State Manager di Panduan Pengguna AWS Systems Manager. Anda harus mengonfigurasi instans EC2 dalam cakupan Anda untuk asosiasi Manajer Sistem. Anda juga harus mengonfigurasi garis besar patch untuk peringkat keamanan vendor patch, dan mengatur tanggal autoapproval untuk memenuhi persyaratan PCI DSS 3.2.1 6.2. Untuk panduan selengkapnya tentang cara Membuat asosiasi, lihat Membuat asosiasi di Panduan Pengguna AWS Systems Manager. Untuk informasi selengkapnya tentang bekerja dengan patching di Systems Manager, lihat AWS Systems Manager Patch Manager di Panduan Pengguna AWS Systems Manager.
Tingkat keparahan: Rendah
Fungsi Lambda harus memiliki antrean huruf mati yang dikonfigurasi
Deskripsi: Kontrol ini memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean surat mati. Kontrol gagal jika fungsi Lambda tidak dikonfigurasi dengan antrean dead-letter. Sebagai alternatif untuk tujuan yang gagal, Anda dapat mengonfigurasi fungsi Anda dengan antrean dead-letter untuk menyimpan peristiwa yang dibuang untuk diproses lebih lanjut. Antrian dead-letter bertindak sama dengan tujuan pada kegagalan. Ini digunakan ketika peristiwa gagal semua upaya pemrosesan atau kedaluwarsa tanpa diproses. Antrean dead-letter memungkinkan Anda melihat kembali kesalahan atau permintaan yang gagal ke fungsi Lambda Anda untuk men-debug atau mengidentifikasi perilaku yang tidak biasa. Dari perspektif keamanan, penting untuk memahami mengapa fungsi Anda gagal dan memastikan bahwa fungsi Anda tidak menghilangkan data atau membahayakan keamanan data sebagai hasilnya. Misalnya, jika fungsi Anda tidak dapat berkomunikasi ke sumber daya yang mendasar, itu bisa menjadi gejala serangan penolakan layanan (DoS) di tempat lain dalam jaringan.
Tingkat keparahan: Sedang
Fungsi Lambda harus menggunakan waktu proses yang didukung
Deskripsi: Kontrol ini memeriksa bahwa pengaturan fungsi Lambda untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung untuk setiap bahasa. Kontrol ini memeriksa runtime berikut: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Runtime Lambda dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pembaruan pemeliharaan dan keamanan. Saat komponen waktu proses tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan waktu proses. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi ini masih tersedia untuk memproses peristiwa pemanggilan. Pastikan fungsi Lambda Anda saat ini dan tidak menggunakan lingkungan runtime yang kedaluarsa. Untuk mempelajari lebih lanjut tentang waktu proses yang didukung yang diperiksa kontrol ini untuk bahasa yang didukung, lihat Waktu proses AWS Lambda di Panduan Pengembang AWS Lambda.
Tingkat keparahan: Sedang
Port manajemen instans EC2 harus dilindungi dengan kontrol akses jaringan tepat waktu
Deskripsi: Microsoft Defender untuk Cloud mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di jaringan Anda. Aktifkan kontrol akses tepat waktu untuk melindungi Instans Anda dari serangan brute force berbasis internet. Pelajari lebih lanjut.
Tingkat keparahan: Tinggi
Grup keamanan EC2 yang tidak digunakan harus dihapus
Deskripsi: Grup keamanan harus dilampirkan ke instans Amazon EC2 atau ke ENI. Temuan sehat dapat menunjukkan ada kelompok keamanan Amazon EC2 yang tidak digunakan.
Tingkat keparahan: Rendah
Rekomendasi Komputasi GCP
VM Mesin Komputasi harus menggunakan OS yang Dioptimalkan Kontainer
Deskripsi: Rekomendasi ini mengevaluasi properti konfigurasi kumpulan simpul untuk pasangan kunci-nilai, 'imageType': 'COS.'
Tingkat keparahan: Rendah
Masalah konfigurasi EDR harus diselesaikan pada komputer virtual GCP
Deskripsi: Untuk melindungi komputer virtual dari ancaman dan kerentanan terbaru, atasi semua masalah konfigurasi yang diidentifikasi dengan solusi Deteksi dan Respons Titik Akhir (EDR) yang diinstal. Saat ini, rekomendasi ini hanya berlaku untuk sumber daya dengan Microsoft Defender untuk Titik Akhir diaktifkan.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Tinggi
Solusi EDR harus diinstal pada Komputer Virtual GCP
Deskripsi: Untuk melindungi komputer virtual, instal solusi Deteksi dan Respons Titik Akhir (EDR). EDR membantu mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Gunakan Pertahanan Microsoft untuk Server untuk menyebarkan Microsoft Defender untuk Titik Akhir. Jika sumber daya diklasifikasikan sebagai "Tidak Sehat", sumber daya tidak memiliki solusi EDR yang didukung yang diinstal. Jika Anda memiliki solusi EDR yang terinstal yang tidak dapat ditemukan oleh rekomendasi ini, Anda dapat mengecualikannya.
Rekomendasi titik akhir tanpa agen ini tersedia jika Anda memiliki paket Defender for Servers Paket 2 atau Defender CSPM. Pelajari selengkapnya tentang rekomendasi perlindungan titik akhir tanpa agen.
- Rekomendasi titik akhir tanpa agen baru ini mendukung mesin Azure dan multicloud. Server lokal tidak didukung.
- Rekomendasi titik akhir tanpa agen baru ini menggantikan rekomendasi yang ada Perlindungan titik akhir harus diinstal pada komputer Anda dan masalah kesehatan perlindungan titik akhir harus diselesaikan pada komputer Anda.
- Rekomendasi lama ini menggunakan agen MMA/AMA dan akan diganti karena agen ditahapkan di Defender untuk Server.
Tingkat keparahan: Tinggi
Pastikan 'Blokir kunci SSH di seluruh proyek' diaktifkan untuk instans VM
Deskripsi: Disarankan untuk menggunakan kunci SSH spesifik Instans alih-alih menggunakan kunci SSH umum/bersama di seluruh proyek untuk mengakses Instans. Kunci SSH di seluruh proyek disimpan dalam Komputasi/Project-meta-data. Kunci SSH lebar proyek dapat digunakan untuk masuk ke semua instans dalam proyek. Menggunakan kunci SSH di seluruh proyek memudahkan manajemen kunci SSH tetapi jika disusupi, menimbulkan risiko keamanan yang dapat memengaruhi semua instans dalam proyek. Disarankan untuk menggunakan kunci SSH spesifik Instans yang dapat membatasi permukaan serangan jika kunci SSH disusupi.
Tingkat keparahan: Sedang
Pastikan instans Komputasi diluncurkan dengan VM Terlindungi diaktifkan
Deskripsi: Untuk melindungi dari ancaman tingkat lanjut dan memastikan bahwa pemuat boot dan firmware pada VM Anda ditandatangani dan tidak dirusak, disarankan agar instans Komputasi diluncurkan dengan Shielded VM diaktifkan.
VM terlindungi adalah VM di Google Cloud Platform yang diperkuat oleh serangkaian kontrol keamanan yang membantu melindungi dan rootkitsbootkits.
Shielded VM menawarkan integritas instans VM Mesin Komputasi yang dapat diverifikasi, sehingga Anda dapat yakin instans Anda belum disusupi oleh malware atau rootkit tingkat boot atau kernel.
Integritas yang dapat diverifikasi VM Terlindungi dicapai melalui penggunaan Boot Aman, modul platform tepercaya virtual (vTPM)-enabled Measured Boot, dan pemantauan integritas.
Instans VM Terlindungi menjalankan firmware yang ditandatangani dan diverifikasi menggunakan Otoritas Sertifikat Google, memastikan bahwa firmware instans tidak dimodifikasi dan menetapkan akar kepercayaan untuk Boot Aman.
Pemantauan integritas membantu Anda memahami dan membuat keputusan tentang status instans VM Anda dan VM Terlindungi vTPM memungkinkan Boot Terukur dengan melakukan pengukuran yang diperlukan untuk membuat garis besar boot yang dikenal baik, yang disebut garis besar kebijakan integritas.
Garis besar kebijakan integritas digunakan untuk perbandingan dengan pengukuran dari boot VM berikutnya untuk menentukan apakah ada yang berubah.
Boot Aman membantu memastikan bahwa sistem hanya menjalankan perangkat lunak autentik dengan memverifikasi tanda tangan digital semua komponen boot, dan menghentikan proses boot jika verifikasi tanda tangan gagal.
Tingkat keparahan: Tinggi
Pastikan 'Aktifkan menyambungkan ke port serial' tidak diaktifkan untuk Instans VM
Deskripsi: Berinteraksi dengan port serial sering disebut sebagai konsol serial, yang mirip dengan menggunakan jendela terminal, dalam input dan output tersebut sepenuhnya dalam mode teks dan tidak ada antarmuka grafis atau dukungan mouse. Jika Anda mengaktifkan konsol serial interaktif pada instans, klien dapat mencoba menyambungkan ke instans tersebut dari alamat IP apa pun. Oleh karena itu, dukungan konsol serial interaktif harus dinonaktifkan. Instans komputer virtual memiliki empat port serial virtual. Berinteraksi dengan port serial mirip dengan menggunakan jendela terminal, dalam input dan output tersebut sepenuhnya dalam mode teks dan tidak ada antarmuka grafis atau dukungan mouse. Sistem operasi instans, BIOS, dan entitas tingkat sistem lainnya sering menulis output ke port serial, dan dapat menerima input seperti perintah atau jawaban atas perintah. Biasanya, entitas tingkat sistem ini menggunakan port serial pertama (port 1) dan port serial 1 sering disebut sebagai konsol serial. Konsol serial interaktif tidak mendukung pembatasan akses berbasis IP seperti daftar yang diizinkan IP. Jika Anda mengaktifkan konsol serial interaktif pada instans, klien dapat mencoba menyambungkan ke instans tersebut dari alamat IP apa pun. Ini memungkinkan siapa pun untuk terhubung ke instans tersebut jika mereka mengetahui kunci SSH, nama pengguna, ID proyek, zona, dan nama instans yang benar. Oleh karena itu, dukungan konsol serial interaktif harus dinonaktifkan.
Tingkat keparahan: Sedang
Pastikan bendera database 'log_duration' untuk instans Cloud SQL PostgreSQL diatur ke 'aktif'
Deskripsi: Mengaktifkan pengaturan log_hostname menyebabkan durasi setiap pernyataan yang selesai dicatat. Ini tidak mencatat teks kueri dan dengan demikian berperilaku berbeda dari bendera log_min_duration_statement. Parameter ini tidak dapat diubah setelah sesi dimulai. Memantau waktu yang diperlukan untuk menjalankan kueri dapat sangat penting dalam mengidentifikasi kueri hogging sumber daya apa pun dan menilai performa server. Langkah-langkah lebih lanjut seperti penyeimbangan beban dan penggunaan kueri yang dioptimalkan dapat diambil untuk memastikan performa dan stabilitas server. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bendera database 'log_executor_stats' untuk instans Cloud SQL PostgreSQL diatur ke 'nonaktif'
Deskripsi: Eksekutor PostgreSQL bertanggung jawab untuk menjalankan rencana yang diserahkan oleh perencana PostgreSQL. Pelaksana memproses rencana secara rekursif untuk mengekstrak kumpulan baris yang diperlukan. Bendera "log_executor_stats" mengontrol penyertaan statistik performa pelaksana PostgreSQL di log PostgreSQL untuk setiap kueri. Bendera "log_executor_stats" memungkinkan metode pembuatan profil mentah untuk mencatat statistik performa pelaksana PostgreSQL, yang meskipun dapat berguna untuk pemecahan masalah, itu dapat meningkatkan jumlah log secara signifikan dan memiliki overhead performa. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bendera database 'log_min_error_statement' untuk instans Cloud SQL PostgreSQL diatur ke 'Kesalahan' atau lebih ketat
Deskripsi: Bendera "log_min_error_statement" menentukan tingkat keparahan pesan minimum yang dianggap sebagai pernyataan kesalahan. Pesan untuk pernyataan kesalahan dicatat dengan pernyataan SQL. Nilai yang valid termasuk "DEBUG5," "DEBUG4," "DEBUG3," "DEBUG2," "DEBUG1," "INFO," "NOTICE," "WARNING," "ERROR," "LOG," "FATAL," dan "PANIC." Setiap tingkat keparahan mencakup tingkat berikutnya yang disebutkan di atas. Pastikan nilai ERROR atau stricter diatur. Audit membantu dalam memecahkan masalah operasional dan juga mengizinkan analisis forensik. Jika "log_min_error_statement" tidak diatur ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan kesalahan dengan tepat. Mempertimbangkan pesan log umum karena pesan kesalahan akan membuat sulit untuk menemukan kesalahan aktual dan hanya mempertimbangkan tingkat keparahan yang lebih ketat karena pesan kesalahan mungkin melewati kesalahan aktual untuk mencatat pernyataan SQL mereka. Bendera "log_min_error_statement" harus diatur ke "ERROR" atau lebih ketat. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bendera database 'log_parser_stats' untuk instans Cloud SQL PostgreSQL diatur ke 'nonaktif'
Deskripsi: Perencana/pengoptimal PostgreSQL bertanggung jawab untuk mengurai dan memverifikasi sintaks setiap kueri yang diterima oleh server. Jika sintaksnya benar, "pohon urai" dibangun jika tidak, kesalahan akan dihasilkan. Bendera "log_parser_stats" mengontrol penyertaan statistik performa pengurai dalam log PostgreSQL untuk setiap kueri. Bendera "log_parser_stats" memungkinkan metode pembuatan profil kasar untuk mencatat statistik performa pengurai, yang meskipun dapat berguna untuk pemecahan masalah, itu dapat meningkatkan jumlah log secara signifikan dan memiliki overhead performa. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bendera database 'log_planner_stats' untuk instans Cloud SQL PostgreSQL diatur ke 'nonaktif'
Deskripsi: Kueri SQL yang sama dapat dijalankan dengan berbagai cara dan masih menghasilkan hasil yang berbeda. Perencana/pengoptimal PostgreSQL bertanggung jawab untuk membuat rencana eksekusi yang optimal untuk setiap kueri. Bendera "log_planner_stats" mengontrol penyertaan statistik performa perencana PostgreSQL dalam log PostgreSQL untuk setiap kueri. Bendera "log_planner_stats" memungkinkan metode pembuatan profil mentah untuk mencatat statistik performa perencana PostgreSQL, yang meskipun dapat berguna untuk pemecahan masalah, itu dapat meningkatkan jumlah log secara signifikan dan memiliki overhead performa. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bendera database 'log_statement_stats' untuk instans Cloud SQL PostgreSQL diatur ke 'nonaktif'
Deskripsi: Bendera "log_statement_stats" mengontrol penyertaan statistik performa ujung ke ujung kueri SQL di log PostgreSQL untuk setiap kueri. Ini tidak dapat diaktifkan dengan statistik modul lain (log_parser_stats, log_planner_stats, log_executor_stats). Bendera "log_statement_stats" memungkinkan metode pembuatan profil mentah untuk mencatat statistik performa end to end dari kueri SQL. Ini dapat berguna untuk pemecahan masalah tetapi dapat meningkatkan jumlah log secara signifikan dan memiliki overhead performa. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan instans Komputasi tidak memiliki alamat IP publik
Deskripsi: Instans komputasi tidak boleh dikonfigurasi untuk memiliki alamat IP eksternal.
Untuk mengurangi permukaan serangan Anda, instans Komputasi tidak boleh memiliki alamat IP publik. Sebagai gantinya, instans harus dikonfigurasi di belakang load balancer, untuk meminimalkan paparan instans ke internet.
Instans yang dibuat oleh GKE harus dikecualikan karena beberapa di antaranya memiliki alamat IP eksternal dan tidak dapat diubah dengan mengedit pengaturan instans.
VM ini memiliki nama yang dimulai dengan gke- dan diberi goog-gke-nodelabel .
Tingkat keparahan: Tinggi
Pastikan instans tidak dikonfigurasi untuk menggunakan akun layanan default
Deskripsi: Disarankan untuk mengonfigurasi instans Anda agar tidak menggunakan akun layanan Compute Engine default karena memiliki peran Editor pada proyek.
Akun layanan Compute Engine default memiliki peran Editor pada proyek, yang memungkinkan akses baca dan tulis ke sebagian besar Google Cloud Services.
Untuk mempertahankan diri dari eskalasi hak istimewa jika VM Anda disusupi, dan untuk mencegah penyerang mendapatkan akses ke semua proyek Anda, disarankan untuk tidak menggunakan akun layanan Compute Engine default.
Sebagai gantinya, Anda harus membuat akun layanan baru dan hanya menetapkan izin yang diperlukan oleh instans Anda.
Akun layanan Compute Engine default diberi nama [PROJECT_NUMBER]- compute@developer.gserviceaccount.com.
VM yang dibuat oleh GKE harus dikecualikan. VM ini memiliki nama yang dimulai dengan gke- dan diberi goog-gke-nodelabel .
Tingkat keparahan: Tinggi
Pastikan bahwa instans tidak dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua API Cloud
Deskripsi: Untuk mendukung prinsip hak istimewa paling sedikit dan mencegah potensi eskalasi hak istimewa, disarankan agar instans tidak ditetapkan ke akun layanan default "Akun layanan default Mesin Komputasi" dengan Cakupan "Izinkan akses penuh ke semua API Cloud." Seiring dengan kemampuan untuk membuat, mengelola, dan menggunakan akun layanan kustom terkelola pengguna secara opsional, Google Compute Engine menyediakan akun layanan default "akun layanan default Compute Engine" untuk instans guna mengakses layanan cloud yang diperlukan.
Peran "Editor Proyek" ditetapkan ke "Akun layanan default Mesin Komputasi" oleh karena itu, Akun layanan ini memiliki hampir semua kemampuan di semua layanan cloud kecuali penagihan. Namun, ketika "Akun layanan default Compute Engine" yang ditetapkan ke instans, akun tersebut dapat beroperasi dalam tiga cakupan.
- Izinkan akses default: Hanya mengizinkan akses minimum yang diperlukan untuk menjalankan Instans (Hak Istimewa Terkecil).
- Izinkan akses penuh ke semua API Cloud: Izinkan akses penuh ke semua API/Layanan cloud (Terlalu banyak akses).
- Atur akses untuk setiap API: Memungkinkan administrator Instans untuk memilih hanya API yang diperlukan untuk melakukan fungsionalitas bisnis tertentu yang diharapkan oleh instans.
Saat instans dikonfigurasi dengan "Akun layanan default Mesin Komputasi" dengan Cakupan "Izinkan akses penuh ke semua API Cloud," berdasarkan peran IAM yang ditetapkan ke pengguna yang mengakses Instans, hal ini mungkin memungkinkan pengguna untuk melakukan operasi cloud/panggilan API yang seharusnya tidak dilakukan pengguna yang mengarah ke eskalasi hak istimewa yang berhasil.
VM yang dibuat oleh GKE harus dikecualikan. VM ini memiliki nama yang dimulai dengan gke- dan diberi goog-gke-nodelabel .
Tingkat keparahan: Sedang
Pastikan penerusan IP tidak diaktifkan pada Instans
Deskripsi: Instans Mesin Komputasi tidak dapat meneruskan paket kecuali alamat IP sumber paket cocok dengan alamat IP instans. Demikian pula, GCP tidak akan mengirimkan paket yang alamat IP tujuannya berbeda dari alamat IP instans yang menerima paket. Namun, kedua kemampuan diperlukan jika Anda ingin menggunakan instans untuk membantu merutekan paket. Penerusan paket data harus dinonaktifkan untuk mencegah kehilangan data atau pengungkapan informasi. Instans Mesin Komputasi tidak dapat meneruskan paket kecuali alamat IP sumber paket cocok dengan alamat IP instans. Demikian pula, GCP tidak akan mengirimkan paket yang alamat IP tujuannya berbeda dari alamat IP instans yang menerima paket. Namun, kedua kemampuan diperlukan jika Anda ingin menggunakan instans untuk membantu merutekan paket. Untuk mengaktifkan pemeriksaan IP sumber dan tujuan ini, nonaktifkan bidang canIpForward, yang memungkinkan instans mengirim dan menerima paket dengan TUJUAN atau IP sumber yang tidak cocok.
Tingkat keparahan: Sedang
Pastikan bahwa bendera database 'log_checkpoints' untuk instans Cloud SQL PostgreSQL diatur ke 'aktif'
Deskripsi: Pastikan bahwa bendera database log_checkpoints untuk instans Cloud SQL PostgreSQL diatur ke aktif. Mengaktifkan log_checkpoints menyebabkan titik pemeriksaan dan titik mulai ulang dicatat di log server. Beberapa statistik disertakan dalam pesan log, termasuk jumlah buffer yang ditulis dan waktu yang dihabiskan untuk menulisnya. Parameter ini hanya dapat diatur dalam file postgresql.conf atau di baris perintah server. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bahwa bendera database 'log_lock_waits' untuk instans Cloud SQL PostgreSQL diatur ke 'aktif'
Deskripsi: Mengaktifkan bendera "log_lock_waits" untuk instans PostgreSQL membuat log untuk setiap sesi menunggu yang memakan waktu lebih lama dari waktu "deadlock_timeout" yang dialokasikan untuk memperoleh kunci. Batas waktu kebuntuan menentukan waktu untuk menunggu pada kunci sebelum memeriksa kondisi apa pun. Eksekusi yang sering terjadi pada batas waktu kebuntuan dapat menjadi indikasi masalah yang mendasarinya. Pencatatan seperti menunggu kunci dengan mengaktifkan bendera log_lock_waits dapat digunakan untuk mengidentifikasi performa yang buruk karena penundaan penguncian atau jika SQL yang dibuat khusus mencoba kelaparan sumber daya melalui menahan kunci untuk jumlah waktu yang berlebihan. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bahwa bendera database 'log_min_duration_statement' untuk instans Cloud SQL PostgreSQL diatur ke '-1'
Deskripsi: Bendera "log_min_duration_statement" menentukan jumlah minimum waktu eksekusi pernyataan dalam milidetik di mana total durasi pernyataan dicatat. Pastikan bahwa "log_min_duration_statement" dinonaktifkan, yaitu, nilai -1 diatur. Pernyataan SQL pengelogan mungkin menyertakan informasi sensitif yang seharusnya tidak direkam dalam log. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bahwa bendera database 'log_min_messages' untuk instans Cloud SQL PostgreSQL diatur dengan tepat
Deskripsi: Bendera "log_min_error_statement" menentukan tingkat keparahan pesan minimum yang dianggap sebagai pernyataan kesalahan. Pesan untuk pernyataan kesalahan dicatat dengan pernyataan SQL. Nilai yang valid termasuk "DEBUG5," "DEBUG4," "DEBUG3," "DEBUG2," "DEBUG1," "INFO," "NOTICE," "WARNING," "ERROR," "LOG," "FATAL," dan "PANIC." Setiap tingkat keparahan mencakup tingkat berikutnya yang disebutkan di atas. Untuk menonaktifkan pernyataan gagal pengelogan secara efektif, atur parameter ini ke PANIC. KESALAHAN dianggap sebagai pengaturan praktik terbaik. Perubahan hanya boleh dilakukan sesuai dengan kebijakan pengelogan organisasi. Audit membantu dalam memecahkan masalah operasional dan juga mengizinkan analisis forensik. Jika "log_min_error_statement" tidak diatur ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan kesalahan dengan tepat. Mempertimbangkan pesan log umum karena pesan kesalahan akan menyulitkan untuk menemukan kesalahan aktual, sementara hanya mempertimbangkan tingkat keparahan yang lebih ketat karena pesan kesalahan mungkin melewati kesalahan aktual untuk mencatat pernyataan SQL mereka. Bendera "log_min_error_statement" harus ditetapkan sesuai dengan kebijakan pengelogan organisasi. Rekomendasi ini berlaku untuk instans database PostgreSQL.
Tingkat keparahan: Rendah
Pastikan bahwa bendera database 'log_temp_files' untuk instans Cloud SQL PostgreSQL diatur ke '0'
Deskripsi: PostgreSQL dapat membuat file sementara untuk tindakan seperti pengurutan, hash, dan hasil kueri sementara ketika operasi ini melebihi "work_mem." Bendera "log_temp_files" mengontrol nama pengelogan dan ukuran file saat dihapus. Mengonfigurasi "log_temp_files" ke 0 menyebabkan semua informasi file sementara dicatat, sementara file log nilai positif hanya yang ukurannya lebih besar dari atau sama dengan jumlah kilobyte yang ditentukan. Nilai "-1" menonaktifkan pengelogan informasi file sementara. Jika semua file sementara tidak dicatat, mungkin lebih sulit untuk mengidentifikasi potensi masalah performa yang mungkin disebabkan oleh pengodean aplikasi yang buruk atau upaya kelaparan sumber daya yang disyaratkan.
Tingkat keparahan: Rendah
Pastikan disk VM untuk VM penting dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan
Deskripsi: Kunci Enkripsi yang Disediakan Pelanggan (CSEK) adalah fitur di Google Cloud Storage dan Google Compute Engine. Jika Anda menyediakan kunci enkripsi Anda sendiri, Google menggunakan kunci Anda untuk melindungi kunci yang dihasilkan Google yang digunakan untuk mengenkripsi dan mendekripsi data Anda. Secara default, Google Compute Engine mengenkripsi semua data tidak aktif. Mesin Komputasi menangani dan mengelola enkripsi ini untuk Anda tanpa tindakan tambahan apa pun di bagian Anda. Namun, jika Anda ingin mengontrol dan mengelola enkripsi ini sendiri, Anda dapat menyediakan kunci enkripsi Anda sendiri. Secara default, Google Compute Engine mengenkripsi semua data tidak aktif. Mesin Komputasi menangani dan mengelola enkripsi ini untuk Anda tanpa tindakan tambahan apa pun di bagian Anda. Namun, jika Anda ingin mengontrol dan mengelola enkripsi ini sendiri, Anda dapat menyediakan kunci enkripsi Anda sendiri. Jika Anda menyediakan kunci enkripsi Anda sendiri, Compute Engine menggunakan kunci Anda untuk melindungi kunci yang dihasilkan Google yang digunakan untuk mengenkripsi dan mendekripsi data Anda. Hanya pengguna yang dapat memberikan kunci yang benar yang dapat menggunakan sumber daya yang dilindungi oleh kunci enkripsi yang disediakan pelanggan. Google tidak menyimpan kunci Anda di servernya dan tidak dapat mengakses data yang dilindungi kecuali Anda memberikan kuncinya. Ini juga berarti bahwa jika Anda lupa atau kehilangan kunci Anda, tidak ada cara bagi Google untuk memulihkan kunci atau memulihkan data apa pun yang dienkripsi dengan kunci yang hilang. Setidaknya VM penting bisnis harus memiliki disk VM yang dienkripsi dengan CSEK.
Tingkat keparahan: Sedang
Proyek GCP harus mengaktifkan provisi otomatis Azure Arc
Deskripsi: Untuk visibilitas penuh konten keamanan dari Pertahanan Microsoft untuk server, instans VM GCP harus terhubung ke Azure Arc. Untuk memastikan bahwa semua instans VM yang memenuhi syarat secara otomatis menerima Azure Arc, aktifkan provisi otomatis dari Defender untuk Cloud di tingkat proyek GCP. Pelajari lebih lanjut tentang Azure Arc, dan Microsoft Defender untuk Server.
Tingkat keparahan: Tinggi
Instans VM GCP harus terhubung ke Azure Arc
Deskripsi: Sambungkan Komputer Virtual GCP Anda ke Azure Arc untuk memiliki visibilitas penuh ke konten keamanan Pertahanan Microsoft untuk Server. Pelajari lebih lanjut tentang Azure Arc, dan tentang Microsoft Defender untuk Server di lingkungan hybrid-cloud.
Tingkat keparahan: Tinggi
Instans VM GCP harus menginstal agen konfigurasi OS
Deskripsi: Untuk menerima kemampuan Defender for Servers lengkap menggunakan provisi otomatis Azure Arc, VM GCP harus mengaktifkan agen konfigurasi OS.
Tingkat keparahan: Tinggi
Fitur perbaikan otomatis kluster GKE harus diaktifkan
Deskripsi: Rekomendasi ini mengevaluasi properti manajemen kumpulan simpul untuk pasangan kunci-nilai, 'key': 'autoRepair,' 'value': true.
Tingkat keparahan: Sedang
Fitur peningkatan otomatis kluster GKE harus diaktifkan
Deskripsi: Rekomendasi ini mengevaluasi properti manajemen kumpulan simpul untuk pasangan kunci-nilai, 'kunci': 'autoUpgrade,' 'value': true.
Tingkat keparahan: Tinggi
Pemantauan pada kluster GKE harus diaktifkan
Deskripsi: Rekomendasi ini mengevaluasi apakah properti monitoringService kluster berisi lokasi yang harus digunakan Cloud Monitoring untuk menulis metrik.
Tingkat keparahan: Sedang