Rekomendasi keamanan data

Artikel ini mencantumkan semua rekomendasi keamanan data yang mungkin Anda lihat di Microsoft Defender untuk Cloud.

Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan. Anda dapat melihat rekomendasi di portal yang berlaku untuk sumber daya Anda.

Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat rekomendasi Remediate di Defender untuk Cloud.

Tip

Jika deskripsi rekomendasi mengatakan Tidak ada kebijakan terkait, biasanya itu karena rekomendasi tersebut tergantung pada rekomendasi yang berbeda.

Misalnya, rekomendasi Kegagalan kesehatan perlindungan titik akhir harus diperbaiki bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir diinstal (Solusi perlindungan titik akhir harus diinstal). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar yang menyederhanakan manajemen kebijakan.

rekomendasi data Azure

Azure Cosmos DB harus menonaktifkan akses jaringan publik

Deskripsi: Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun Cosmos DB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun Cosmos DB Anda. Pelajari selengkapnya. (Kebijakan terkait: Azure Cosmos DB harus menonaktifkan akses jaringan publik).

Tingkat keparahan: Sedang

(Aktifkan jika diperlukan) Azure Cosmos DB akun harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/cosmosdb-cmk. (Kebijakan terkait: akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Azure Machine Learning ruang kerja harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Kelola enkripsi di seluruh data ruang kerja Azure Machine Learning Anda dengan kunci yang dikelola pelanggan (CMK). Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi CMK umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/azureml-workspaces-cmk. (Kebijakan terkait: ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan (CMK)).

Tingkat keparahan: Rendah

Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru

Description: Mengatur versi TLS ke 1.2 atau yang lebih baru meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. (Kebijakan terkait: Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru).

Tingkat keparahan: Sedang

Azure SQL Instans Terkelola harus menonaktifkan akses jaringan publik

Description: Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instances meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Pelajari selengkapnya tentang akses jaringan publik. (Kebijakan terkait: Azure SQL Managed Instances harus menonaktifkan akses jaringan publik).

Tingkat keparahan: Sedang

Akun Cosmos DB harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Ketika titik akhir privat dipetakan ke akun Cosmos DB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat. (Kebijakan terkait: Akun Cosmos DB harus menggunakan tautan privat).

Tingkat keparahan: Sedang

(Aktifkan jika diperlukan) Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server MySQL).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan. Namun, kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. (Kebijakan terkait: Bawa perlindungan data kunci Anda sendiri harus diaktifkan untuk server PostgreSQL).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Menerapkan Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberi Anda peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Instans terkelola SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Menerapkan Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan peningkatan transparansi dan kontrol atas Pelindung TDE, peningkatan keamanan dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. (Kebijakan terkait: Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif).

Tingkat keparahan: Rendah

(Aktifkan jika diperlukan) Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi

Deskripsi: Rekomendasi untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi data tidak aktif tidak dinilai secara default, tetapi tersedia untuk diaktifkan untuk skenario yang berlaku. Data dienkripsi secara otomatis menggunakan kunci yang dikelola platform, sehingga penggunaan kunci yang dikelola pelanggan hanya boleh diterapkan saat diwajibkan oleh persyaratan kebijakan kepatuhan pembatasan atau kepatuhan. Guna mengaktifkan rekomendasi ini, buka Kebijakan Keamanan Anda untuk lingkup yang berlaku dan perbarui parameter Efek untuk kebijakan yang sesuai guna mengaudit atau memberlakukan penggunaan kunci yang dikelola pelanggan. Pelajari selengkapnya di Mengelola kebijakan keamanan. Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan (CMK). Saat Anda menentukan CMK, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan CMK menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. (Kebijakan terkait: Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan (CMK) untuk enkripsi).

Tingkat keparahan: Rendah

Akses publik akun penyimpanan harus dilarang

Description: Akses baca publik anonim ke kontainer dan blob di Azure Storage adalah cara mudah untuk berbagi data, tetapi mungkin menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya.

Kebijakan terkait: Akses publik akun penyimpanan harus tidak diizinkan

Tingkat keparahan: Sedang

Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola Bahasa Permintaan Terstruktur

Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut pada instans terkelola SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Semua jenis perlindungan terhadap ancaman tingkat lanjut harus diatur dalam pengaturan keamanan data tingkat lanjut server SQL

Deskripsi: Disarankan untuk mengaktifkan semua jenis perlindungan ancaman tingkat lanjut di server SQL Anda. Mengaktifkan semua jenis melindungi terhadap injeksi SQL, kerentanan database, dan aktivitas anomali lainnya. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Layanan API Management harus menggunakan jaringan virtual

Description: penyebaran Microsoft Azure Virtual Network menyediakan keamanan yang ditingkatkan, isolasi, dan memungkinkan Anda menempatkan layanan API Management Anda di jaringan yang tidak dapat dirutekan internet yang dapat Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan je jaringan lokal Anda menggunakan berbagai teknologi VPN yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan API gateway dapat dikonfigurasi untuk dapat diakses baik dari Internet atau hanya di jaringan virtual. (Kebijakan terkait: Layanan API Management harus menggunakan jaringan virtual).

Tingkat keparahan: Sedang

Azure App Configuration harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. (Kebijakan terkait: App Configuration harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Retensi audit untuk server SQL harus diatur ke minimal 90 hari

Deskripsi: Mengaudit server SQL yang dikonfigurasi dengan periode retensi audit kurang dari 90 hari. (Kebijakan terkait: Server SQL harus dikonfigurasi dengan retensi audit 90 hari atau lebih tinggi.)

Tingkat keparahan: Rendah

Audit di server SQL harus diaktifkan

Description: Mengaktifkan audit pada SQL Server Anda untuk melacak aktivitas database di semua database di server dan menyimpannya dalam log audit. (Kebijakan terkait: Audit di server SQL harus diaktifkan).

Tingkat keparahan: Rendah

Provisi otomatis agen Log Analytics harus diaktifkan pada langganan

Description: Untuk memantau kerentanan dan ancaman keamanan, Microsoft Defender untuk Cloud mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari mesin dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan provisi otomatis untuk menyebarkan agen secara otomatis ke semua VM Azure yang didukung dan VM baru yang dibuat. (Kebijakan terkait: penyediaan Auto dari agen Log Analytics harus diaktifkan pada langganan Anda).

Tingkat keparahan: Rendah

Azure Cache for Redis harus berada dalam jaringan virtual

Description: penyebaran Microsoft Azure Virtual Network (VNet) memberikan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika instans Azure Cache for Redis dikonfigurasi dengan VNet, instans tersebut tidak dapat diatasi secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam VNet. (Kebijakan terkait: Azure Cache for Redis harus berada dalam jaringan virtual).

Tingkat keparahan: Sedang

Azure Database for MySQL harus memiliki administrator Microsoft Entra yang disediakan

Description: Menyediakan administrator Microsoft Entra agar Azure Database for MySQL Anda mengaktifkan autentikasi Microsoft Entra. autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya (Kebijakan terkait: a administrator Microsoft Entra harus disediakan untuk server MySQL).

Tingkat keparahan: Sedang

Azure Database for PostgreSQL harus memiliki administrator Microsoft Entra yang disediakan

Description: Menyediakan administrator Microsoft Entra bagi Azure Database for PostgreSQL Anda untuk mengaktifkan autentikasi Microsoft Entra. autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya
(Kebijakan terkait: administrator a Microsoft Entra harus disediakan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Azure Database for PostgreSQL server fleksibel harus mengaktifkan autentikasi Microsoft Entra saja

Description: Menonaktifkan metode autentikasi lokal dan memerlukan autentikasi Microsoft Entra meningkatkan keamanan dengan memastikan bahwa server Azure Database for PostgreSQL fleksibel hanya dapat diakses oleh identitas Microsoft Entra (Kebijakan terkait: Azure Server fleksibel PostgreSQL harus mengaktifkan Autentikasi Microsoft Entra Saja).

Tingkat keparahan: Sedang

akun Azure Cosmos DB harus memiliki aturan firewall

Description: Aturan firewall harus ditentukan pada akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. (Kebijakan terkait: akun Azure Cosmos DB harus memiliki aturan firewall).

Tingkat keparahan: Sedang

domain Azure Event Grid harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke domain Event Grid, bukan seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: domain Azure Event Grid harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Azure Event Grid topik harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke topik Anda, bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. (Kebijakan terkait: topik Azure Event Grid harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Azure Machine Learning ruang kerja harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azureml-workspaces-privatelink. (Kebijakan terkait: ruang kerja Azure Machine Learning harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Azure SignalR Service harus menggunakan tautan privat

Description: Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke sumber daya SignalR Anda daripada seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/asrs/privatelink. (Kebijakan terkait: Azure SignalR Service harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Azure Spring Cloud harus menggunakan injeksi jaringan

Description: Azure instans Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Isolasi Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Memberdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. (Kebijakan terkait: Azure Spring Cloud harus menggunakan injeksi jaringan).

Tingkat keparahan: Sedang

Server SQL harus memiliki administrator Microsoft Entra yang disediakan

Description: Menyediakan administrator Microsoft Entra untuk server SQL Anda untuk mengaktifkan autentikasi Microsoft Entra. autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya. (Kebijakan terkait: administrator a Microsoft Entra harus disediakan untuk server SQL).

Tingkat keparahan: Tinggi

mode autentikasi ruang kerja Azure Synapse harus Microsoft Entra ID Saja

Description: mode autentikasi ruang kerja Azure Synapse harus Microsoft Entra ID Hanya Microsoft Entra ID metode autentikasi yang meningkatkan keamanan dengan memastikan bahwa Ruang Kerja Synapse secara eksklusif memerlukan identitas Microsoft Entra ID untuk Otentikasi. Pelajari selengkapnya. (Kebijakan terkait: ruang kerja Synapse hanya boleh menggunakan identitas Microsoft Entra ID untuk autentikasi).

Tingkat keparahan: Sedang

Repositori kode harus memiliki temuan pemindaian kode yang diselesaikan

Description: Defender untuk DevOps telah menemukan kerentanan dalam repositori kode. Untuk meningkatkan postur keamanan repositori, sangat disarankan untuk meremediasi kerentanan ini. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian Dependabot

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian kode sebagai infrastruktur

Description: Defender untuk DevOps telah menemukan infrastruktur sebagai masalah konfigurasi keamanan kode di repositori. Masalah yang ditunjukkan di bawah ini telah terdeteksi di file templat. Untuk meningkatkan postur keamanan sumber daya cloud terkait, sangat disarankan untuk meremediasi masalah tersebut. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Repositori kode harus menyelesaikan temuan pemindaian rahasia

Description: Defender untuk DevOps telah menemukan rahasia dalam repositori kode. Hal ini harus segera diremediasi untuk mencegah pelanggaran keamanan. Rahasia yang ditemukan di repositori dapat bocor atau ditemukan oleh musuh, sehingga menyebabkan bahaya pada aplikasi atau layanan. Untuk Azure DevOps, alat Microsoft Security DevOps CredScan hanya memindai build yang telah dikonfigurasi untuk dijalankan. Oleh karena itu, hasil mungkin tidak mencerminkan status lengkap rahasia di repositori Anda. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Akun Cognitive Services harus mengaktifkan enkripsi data

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan enkripsi data. Untuk setiap akun dengan penyimpanan, Anda harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan atau Microsoft terkelola. (Kebijakan terkait: Akun Cognitive Services harus mengaktifkan enkripsi data).

Tingkat keparahan: Rendah

Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun yang tidak menggunakan penyimpanan milik pelanggan atau enkripsi data. Untuk setiap akun Azure Cognitive Services dengan penyimpanan, gunakan penyimpanan milik pelanggan atau aktifkan enkripsi data. Menyelaraskan dengan tolok Ukur Keamanan Microsoft Cloud. (Kebijakan terkait: Akun Cognitive Services harus menggunakan penyimpanan milik pelanggan atau mengaktifkan enkripsi data.)

Tingkat keparahan: Rendah

Log diagnostik di penyimpanan Azure Data Lake harus diaktifkan

Deskripsi: Aktifkan log dan pertahankan hingga satu tahun. Hal ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau jaringan Anda disusupi. (Kebijakan terkait: log Diagnostic di Azure Data Lake Store harus diaktifkan).

Tingkat keparahan: Rendah

Log diagnostik di Data Lake Analytics harus diaktifkan

Tingkat keparahan: Rendah

Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan

Description: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika ada potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).

Tingkat keparahan: Rendah

Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan

Description: Untuk memastikan pemilik langganan Anda diberi tahu ketika ada potensi pelanggaran keamanan dalam langganan mereka, atur pemberitahuan email ke pemilik langganan untuk pemberitahuan tingkat keparahan tinggi di Defender untuk Cloud. (Kebijakan terkait: Pemberitahuan email kepada pemilik langganan untuk pemberitahuan tingkat keparahan tinggi harus diaktifkan).

Tingkat keparahan: Sedang

Terapkan koneksi SSL harus diaktifkan untuk server database MySQL

Description: Azure Database for MySQL mendukung menghubungkan server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database MySQL).

Tingkat keparahan: Sedang

Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL

Description: Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. (Kebijakan terkait: Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL).

Tingkat keparahan: Sedang

Temuan kerentanan pada Aplikasi fungsi harus diselesaikan

Deskripsi: Pemindaian kerentanan runtime untuk fungsi memindai aplikasi fungsi Anda untuk kerentanan keamanan dan mengekspos temuan terperinci. Mengatasi masalah kerentanan dapat meningkatkan postur keamanan kontainer Anda secara signifikan dan melindunginya dari serangan. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL

Description: Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: pencadangan Geo-redundan harus diaktifkan untuk Azure Database for MySQL).

Tingkat keparahan: Rendah

Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL

Description: Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan di wilayah di mana server Anda dihosting, tetapi juga direplikasi ke wilayah yang dipasangkan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk cadangan hanya diperbolehkan saat membuat server. (Kebijakan terkait: pencadangan Geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL).

Tingkat keparahan: Rendah

repositori GitHub harus mengaktifkan pemindaian Kode

Description: GitHub menggunakan pemindaian kode untuk menganalisis kode untuk menemukan kerentanan dan kesalahan keamanan dalam kode. Pemindaian kode dapat digunakan untuk menemukan, melakukan triase, dan memprioritaskan perbaikan untuk masalah yang ada dalam kode Anda. Pemindaian kode juga mencegah pengembang menyebabkan masalah baru. Pemindaian dapat dijadwalkan untuk hari dan waktu tertentu, atau pemindaian dapat dipicu saat peristiwa tertentu terjadi di repositori, seperti pendorongan. Jika pemindaian kode menemukan potensi kerentanan atau kesalahan dalam kode, GitHub menampilkan pemberitahuan di repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

repositori GitHub harus mengaktifkan pemindaian Dependabot

Description: GitHub mengirim pemberitahuan Dependabot saat mendeteksi kerentanan dalam dependensi kode yang memengaruhi repositori. Kerentanan adalah masalah dalam kode proyek yang dapat dieksploitasi untuk merusak kerahasiaan, integritas, atau ketersediaan proyek atau proyek lain yang menggunakan kodenya. Kerentanan bervariasi menurut jenis, tingkat keparahan, dan metode serangan. Saat kode bergantung pada paket yang memiliki kerentanan keamanan, dependensi yang rentan ini dapat menyebabkan berbagai masalah. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

repositori GitHub harus mengaktifkan pemindaian Rahasia

Description: GitHub memindai repositori untuk jenis rahasia yang diketahui, untuk mencegah penggunaan rahasia penipuan yang secara tidak sengaja dilakukan untuk repositori. Pemindaian rahasia akan memindai seluruh riwayat Git pada semua cabang yang ada di repositori GitHub untuk rahasia apa pun. Contoh rahasia adalah token dan kunci privat yang dapat dikeluarkan penyedia layanan untuk autentikasi. Jika rahasia dimasukkan ke dalam repositori, siapa pun yang memiliki akses baca ke repositori dapat menggunakan rahasia untuk mengakses layanan eksternal dengan hak istimewa tersebut. Rahasia harus disimpan di lokasi khusus yang aman di luar repositori untuk proyek. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk server Azure SQL Database harus diaktifkan

Description: Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Azure Defender untuk SQL menyertakan fungsionalitas guna memunculkan dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas ganjil yang dapat mengindikasikan ancaman terhadap database Anda, dan menemukan serta mengklasifikasikan data sensitif.

Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman paket Defender. Jika Anda tidak memiliki server Azure SQL Database dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat server Azure SQL Database pada langganan ini, server tersebut akan secara otomatis dilindungi dan biaya akan dimulai. Pelajari tentang detail harga setiap wilayah.

Pelajari selengkapnya di Introduction untuk Microsoft Defender untuk SQL. (Kebijakan terkait: Azure Defender untuk server Azure SQL Database harus diaktifkan).

Tingkat keparahan: Tinggi

Microsoft Defender untuk DNS harus diaktifkan

Description: Microsoft Defender untuk DNS menyediakan lapisan perlindungan tambahan untuk sumber daya cloud Anda dengan terus memantau semua kueri DNS dari sumber daya Azure Anda. Defender untuk pemberitahuan DNS tentang aktivitas mencurigakan di lapisan DNS. Pelajari selengkapnya di Introduction ke Microsoft Defender untuk DNS. Mengaktifkan paket Defender ini akan dikenakan biaya. Pelajari tentang detail harga per wilayah di halaman harga Defender untuk Cloud: Defender untuk Cloud Harga. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk database relasional sumber terbuka harus diaktifkan

Description: Microsoft Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya di Introduction untuk Microsoft Defender database relasional sumber terbuka.

Mengaktifkan paket ini akan mengakibatkan biaya untuk melindungi database relasional sumber terbuka Anda. Jika Anda tidak memiliki database hubungan sumber terbuka dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat database hubungan sumber terbuka apa pun pada langganan ini di masa mendatang, database hubungan sumber terbuka tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk Resource Manager harus diaktifkan

Description: Microsoft Defender untuk Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Defender untuk Cloud mendeteksi ancaman dan memberi tahu Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya di Introduction untuk Microsoft Defender Resource Manager. Mengaktifkan paket Defender ini akan dikenakan biaya. Pelajari tentang detail harga per wilayah di halaman harga Defender untuk Cloud: Defender untuk Cloud Harga. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL pada komputer harus diaktifkan di ruang kerja

Description: Microsoft Defender untuk server menghadirkan deteksi ancaman dan pertahanan tingkat lanjut untuk komputer Windows dan Linux Anda. Dengan paket Defender ini diaktifkan pada langganan Anda tetapi tidak di ruang kerja Anda, Anda membayar kemampuan penuh Microsoft Defender untuk server tetapi kehilangan beberapa manfaatnya. Saat Anda mengaktifkan Microsoft Defender untuk server di ruang kerja, semua komputer yang melaporkan ke ruang kerja tersebut akan ditagih untuk Microsoft Defender untuk server - bahkan jika mereka berada dalam langganan tanpa paket Defender diaktifkan. Kecuali Anda juga mengaktifkan Microsoft Defender untuk server pada langganan, komputer tersebut tidak akan dapat memanfaatkan akses VM just-in-time, kontrol aplikasi adaptif, dan deteksi jaringan untuk sumber daya Azure. Pelajari selengkapnya di Introduction untuk Microsoft Defender untuk server. (Tidak ada kebijakan terkait)

Tingkat keparahan: Sedang

Microsoft Defender untuk server SQL pada komputer harus diaktifkan

Memulihkan rekomendasi ini akan mengakibatkan biaya untuk melindungi server SQL Anda pada komputer. Jika Anda tidak memiliki server SQL apa pun di komputer dalam langganan ini, tidak ada biaya yang akan dikenakan. Jika Anda membuat server SQL apa pun di komputer pada langganan ini di masa mendatang, server tersebut akan secara otomatis dilindungi dan tagihan akan dimulai pada saat itu. Pelajari selengkapnya tentang Microsoft Defender untuk server SQL di komputer. (Kebijakan terkait: Azure Defender untuk server SQL pada komputer harus diaktifkan).

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak terlindungi

Description: Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail pricing per wilayah. (Kebijakan terkait: Keamanan data tingkat lanjut harus diaktifkan di server SQL Anda).

Tingkat keparahan: Tinggi

Microsoft Defender untuk SQL harus diaktifkan untuk SQL Managed Instance yang tidak terlindungi

Description: Microsoft Defender untuk SQL adalah paket terpadu yang menyediakan kemampuan keamanan SQL tingkat lanjut. Ini muncul dan mengurangi potensi kerentanan database, dan mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database Anda. Microsoft Defender untuk SQL ditagih seperti yang ditunjukkan pada detail pricing per wilayah. (Kebijakan terkait: keamanan data Advanced harus diaktifkan pada SQL Managed Instance).

Tingkat keparahan: Tinggi

Microsoft Defender untuk Penyimpanan harus diaktifkan

Description: Microsoft Defender untuk penyimpanan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan.

Perlindungan dari paket ini dikenakan biaya seperti yang ditunjukkan pada halaman paket Defender. Jika Anda tidak memiliki akun Azure Storage dalam langganan ini, Anda tidak akan dikenakan biaya. Jika nanti Anda membuat akun Azure Storage pada langganan ini, akun tersebut akan secara otomatis dilindungi dan biaya akan dimulai. Pelajari tentang detail harga setiap wilayah. Pelajari selengkapnya di Introduction ke Microsoft Defender untuk Penyimpanan. (Kebijakan terkait: Azure Defender untuk Penyimpanan harus diaktifkan).

Tingkat keparahan: Tinggi

Network Watcher harus diaktifkan

Description: Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan end-to-end. Alat diagnostik dan visualisasi jaringan yang tersedia dengan Network Watcher membantu Anda memahami, mendiagnosis, dan mendapatkan wawasan ke jaringan Anda di Azure. (Kebijakan terkait: Network Watcher harus diaktifkan).

Tingkat keparahan: Rendah

Koneksi titik akhir privat pada Azure SQL Database harus diaktifkan

Description: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. (Kebijakan terkait: koneksi titik akhir Private pada Azure SQL Database harus diaktifkan).

Tingkat keparahan: Sedang

Titik akhir pribadi harus diaktifkan untuk server MySQL

Description: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for MySQL. Konfigurasikan koneksi titik akhir privat untuk mengaktifkan akses ke lalu lintas yang hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server MySQL).

Tingkat keparahan: Sedang

Titik akhir pribadi harus diaktifkan untuk server PostgreSQL

Description: Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Database for PostgreSQL. Konfigurasikan koneksi titik akhir privat untuk mengaktifkan akses ke lalu lintas yang hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk dalam Azure. (Kebijakan terkait: Titik akhir privat harus diaktifkan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Akses jaringan publik pada Azure SQL Database harus dinonaktifkan

Description: Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: akses jaringan Public pada Azure SQL Database harus dinonaktifkan).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk akun Azure Cognitive Services

Deskripsi: Kebijakan ini mengaudit akun Cognitive Services apa pun di lingkungan Anda dengan akses jaringan publik diaktifkan. Akses jaringan publik harus dinon-fungsikan agar hanya sambungan dari titik akhir privat yang diperbolehkan. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk akun Cognitive Services).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk server MySQL

Description: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server MySQL).

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL

Description: Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses dari ruang alamat publik di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. (Kebijakan terkait: Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL).

Tingkat keparahan: Sedang

Redis Cache harus mengizinkan akses hanya melalui SSL

Deskripsi: Aktifkan hanya koneksi melalui SSL ke Redis Cache. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data saat transit dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan sesi-pembajakan. (Kebijakan terkait: Koneksi aman ke Azure Cache for Redis Anda harus diaktifkan).

Tingkat keparahan: Tinggi

Database SQL harus memiliki temuan kerentanan yang diselesaikan

Deskripsi: Penilaian Kerentanan SQL memindai database Anda untuk kerentanan keamanan, dan mengekspos penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin berlebihan, dan data sensitif yang tidak terlindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. Pelajari lebih lanjut (Kebijakan terkait: Kerentanan pada database SQL Anda harus diperbaiki).

Tingkat keparahan: Tinggi

Instans terkelola SQL harus mengonfigurasi penilaian kerentanan

Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: penilaian Vulnerability harus diaktifkan pada SQL Managed Instance).

Tingkat keparahan: Tinggi

SQL Server pada komputer harus mengatasi temuan kerentanan

Tingkat keparahan: Tinggi

Server SQL harus memiliki administrator Microsoft Entra yang disediakan

Tingkat keparahan: Tinggi

SQL Server harus memiliki penilaian kerentanan yang dikonfigurasi

Deskripsi: Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda memulihkan potensi kerentanan database. (Kebijakan terkait: Penilaian kerentanan harus diaktifkan di server SQL Anda).

Tingkat keparahan: Tinggi

Akun penyimpanan harus menggunakan koneksi tautan privat

Deskripsi: Tautan privat memberlakukan komunikasi yang aman, dengan menyediakan konektivitas privat ke akun penyimpanan (Kebijakan terkait: Akun penyimpanan harus menggunakan koneksi tautan privat).

Tingkat keparahan: Sedang

Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru

Description: Untuk mendapatkan manfaat dari kemampuan baru di Azure Resource Manager, Anda dapat memigrasikan penyebaran yang ada dari model penyebaran Klasik. Resource Manager memungkinkan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis ARM, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, Azure autentikasi berbasis AD, dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah. Learn more (Kebijakan terkait: akun Storage harus dimigrasikan ke sumber daya Azure Resource Manager baru).

Tingkat keparahan: Rendah

Akun penyimpanan harus mencegah akses kunci secara bersama

Description: Persyaratan audit Microsoft Entra ID (Microsoft Entra ID) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Microsoft Entra ID, atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Microsoft Entra ID memberikan keamanan yang unggul dan kemudahan penggunaan melalui Kunci bersama, dan direkomendasikan oleh Microsoft. (Kebijakan terkait: kebijakan)

Nota

Beberapa layanan Azure masih memerlukan akses Kunci Bersama untuk berfungsi. Misalnya, Microsoft Configuration Manager (SCCM) Cloud Management Gateway (CMG) menggunakan otorisasi berbasis Kunci Bersama untuk akun penyimpanan yang mendasarnya. Menonaktifkan akses Kunci Bersama pada akun penyimpanan yang digunakan oleh CMG merusak fungsionalitas CMG. Jika Anda menggunakan CMG atau layanan lain yang bergantung pada akses Kunci Bersama, bebaskan akun penyimpanan tersebut dari rekomendasi ini daripada menerapkan remediasi. Pertahankan Azure Policy terkait dalam mode Audit alih-alih Deny untuk akun ini, dan dokumentasikan pertimbangan bisnis untuk pengecualian tersebut.

Tingkat keparahan: Sedang

Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual

Deskripsi: Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. (Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual).

Tingkat keparahan: Sedang

Langganan harus memiliki alamat email kontak untuk masalah keamanan

Description: Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Defender untuk Cloud. (Kebijakan terkait: Langganan harus memiliki alamat email kontak untuk masalah keamanan)

Tingkat keparahan: Rendah

Transparent Data Encryption pada database SQL harus diaktifkan

Description: Mengaktifkan transparent data encryption untuk melindungi data tidak aktif dan memenuhi persyaratan kepatuhan (Kebijakan terkait: Transparent Data Encryption pada database SQL harus diaktifkan).

Tingkat keparahan: Rendah

Template Pembuat Gambar VM harus menggunakan tautan pribadi

Deskripsi: Mengaudit templat VM Image Builder yang tidak memiliki jaringan virtual yang dikonfigurasi. Ketika jaringan virtual tidak dikonfigurasi, IP publik dibuat dan digunakan sebagai gantinya, yang mungkin langsung mengekspos sumber daya ke internet dan meningkatkan permukaan serangan potensial. (Kebijakan terkait: Templat VM Image Builder harus menggunakan tautan privat).

Tingkat keparahan: Sedang

Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway

Description: Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat terhadap aplikasi web Anda dari eksploitasi dan kerentanan umum seperti injeksi SQL, Skrip Lintas Situs, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Berdasarkan negara/wilayah, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. (Kebijakan terkait: Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway).

Tingkat keparahan: Rendah

Web Application Firewall (WAF) harus diaktifkan untuk layanan Azure Front Door Service

Tingkat keparahan: Rendah

Rekomendasi data AWS

Pengaturan 'Hapus saat penghentian' harus diaktifkan untuk instans terpasang volume EBS

Description: Defender untuk Cloud mengidentifikasi instans volume EBS 'Hapus pada pengaturan penghentian' yang hilang. Pengaturan ini secara otomatis menghapus penyimpanan utama instans setelah penghentian. Tanpa itu, volume yatim dapat menyimpan data sensitif, meningkatkan risiko masalah akses dan kepatuhan yang tidak sah.

Tingkat keparahan: Rendah

Enkripsi AWS Key Management Service harus dikonfigurasi untuk EventBridge Pipe

Deskripsi: Mengonfigurasi enkripsi AWS Key Management Service (KMS) untuk EventBridge Pipe memastikan bahwa data tidak aktif dienkripsi menggunakan kunci yang dikontrol pelanggan, memberikan kemampuan keamanan dan kepatuhan yang ditingkatkan. Langkah ini memungkinkan untuk mengelola dan memutar kunci enkripsi dengan lebih baik sesuai dengan kebijakan internal atau persyaratan peraturan. Jika ini tidak diterapkan, data akan dienkripsi menggunakan kunci yang dikelola AWS, yang mungkin tidak memenuhi standar keamanan atau kepatuhan yang ketat. Rekomendasi ini sangat penting bagi organisasi yang menangani data sensitif atau teregulasi, seperti informasi pengidentifikasi pribadi (PII), catatan keuangan, atau kekayaan intelektual. Untuk menerapkan ini, konfigurasikan EventBridge Pipe untuk menggunakan kunci KMS yang dikelola pelanggan di AWS Management Console atau melalui AWS CLI.

Tingkat keparahan: Rendah

Enkripsi AWS Key Management Service harus diaktifkan untuk domain SageMaker

Description: Defender untuk Cloud mengidentifikasi bahwa domain SageMaker Anda menggunakan kunci KMS yang dikelola AWS, bukan kunci yang dikelola pelanggan. Enkripsi AWS KMS melindungi data saat tidak aktif dengan memungkinkan Anda mengontrol manajemen kunci termasuk rotasi dan memastikan kepatuhan akses dengan persyaratan keamanan yang ketat. Tanpa kunci yang dikelola pelanggan, data sensitif mungkin berisiko lebih tinggi dari akses yang tidak sah dan ketidakpatuhan. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Enkripsi AWS Key Management Service harus diaktifkan di titik akhir SageMaker

Description: Defender untuk Cloud mengidentifikasi kurangnya enkripsi AWS Key Management Service (KMS) pada titik akhir Sagemaker. Enkripsi KMS mengamankan data sensitif dengan mengelola kunci enkripsi-termasuk aktivitas siklus hidupnya seperti pembuatan, rotasi, dan penghapusan. Tanpa KMS diaktifkan, titik akhir berisiko terpapar pelanggaran data dan akses yang tidak sah. Pelajari lebih lanjut.

Tingkat keparahan: Sedang

Pengelogan akses harus diaktifkan untuk wadah LightSail

Description: Defender untuk Cloud mengidentifikasi bahwa pengelogan akses tidak dikonfigurasi pada wadah LightSail Anda. Aktivitas rekaman pengelogan akses yang dilakukan pada wadah dan membantu memverifikasi bahwa hanya tindakan yang diotorisasi yang terjadi. Tanpa itu, akses yang tidak sah dapat tidak terdeteksi, mengurangi visibilitas keamanan dan mempersulit penyelidikan forensik dan respons insiden.

Tingkat keparahan: Rendah

Ekspor log audit harus diaktifkan pada kluster Amazon DocumentDB

Description: Defender untuk Cloud mengidentifikasi bahwa ekspor log audit ke CloudWatch dinonaktifkan di kluster Amazon DocumentDB. Log audit menangkap informasi penting tentang aktivitas pengguna dan sistem yang mendukung analisis forensik selama insiden keamanan. Tanpa informasi ini, ada peningkatan risiko bahwa tindakan yang tidak sah mungkin tidak terdeteksi, berpotensi menunda respons dan remediasi insiden.

Tingkat keparahan: Rendah

Peningkatan versi minor otomatis harus diaktifkan pada kluster MemoryDB

Description: Defender untuk Cloud kluster MemoryDB yang diidentifikasi tanpa peningkatan versi minor otomatis diaktifkan. Kluster MemoryDB mengandalkan peningkatan ini untuk menginstal patch keamanan penting dan peningkatan perangkat lunak kecil secara otomatis. Tanpa otomatisasi ini, kluster dapat tetap rentan terhadap masalah keamanan. Mengaktifkan proses peningkatan membantu mempertahankan postur keamanan yang kuat.

Tingkat keparahan: Rendah

Kebijakan pencadangan otomatis harus diaktifkan pada kluster AlloyDB

Description: Defender untuk Cloud mengidentifikasi bahwa kebijakan pencadangan otomatis dinonaktifkan untuk kluster AlloyDB, yang berarti rekam jepret harian untuk pemulihan tidak dibuat secara otomatis. Tanpa cadangan ini, kluster Anda terpapar risiko seperti kehilangan data dari penghapusan atau ransomware yang tidak disengaja, yang dapat membahayakan pemulihan bencana dan persyaratan kepatuhan.

Tingkat keparahan: Sedang

Retensi rekam jepret otomatis harus diaktifkan untuk kluster Redshift

Description: Defender untuk Cloud mengidentifikasi bahwa retensi rekam jepret otomatis tidak diaktifkan untuk kluster Amazon Redshift Anda. Rekam jepret otomatis menyediakan kemampuan pemulihan titik waktu untuk gudang data Anda. Tanpa retensi yang tepat, data pemulihan penting mungkin hilang, meningkatkan risiko kehilangan data dari penghapusan yang tidak disengaja, kerusakan, atau serangan ransomware, dan berpotensi melanggar persyaratan kepatuhan.

Tingkat keparahan: Rendah

Pencadangan otomatis harus diaktifkan untuk kluster Elasticache

Description: Defender untuk Cloud mengidentifikasi bahwa pencadangan otomatis tidak diaktifkan untuk kluster Elasticache Anda. Kluster Elasticache adalah sumber daya penembolokan penting yang, tanpa cadangan reguler, rentan terhadap kehilangan data dari penghapusan yang tidak disengaja atau berbahaya. Ini menimbulkan risiko waktu henti yang diperpanjang dan integritas data yang disusupi, berpotensi memengaruhi keandalan layanan secara keseluruhan. Sebaiknya aktifkan pencadangan otomatis untuk melindungi data Anda dan menjaga kelangsungan operasional.

Tingkat keparahan: Sedang

Pencadangan otomatis harus diaktifkan untuk Elasticache tanpa server

Description: Defender untuk Cloud mengidentifikasi bahwa pencadangan otomatis tidak diaktifkan untuk ElastiCache tanpa server Anda. Tanpa rekam jepret berkala, ElastiCache Anda tidak memiliki titik pemulihan untuk memulihkan data jika terjadi penghapusan yang tidak disengaja atau berbahaya, meningkatkan risiko kehilangan data yang tidak dapat dipulihkan. Mengaktifkan pencadangan otomatis meminimalkan potensi gangguan dan melindungi integritas data cache Anda.

Tingkat keparahan: Sedang

Pembaruan keamanan otomatis harus diaktifkan pada kluster RedisOSS ElastiCache

Description: Defender untuk Cloud mengidentifikasi bahwa peningkatan otomatis dinonaktifkan di kluster RedisOSS ElastiCache Anda. Peningkatan otomatis secara otomatis menginstal patch keamanan terbaru dan pembaruan perangkat lunak untuk melindungi node kluster dari kerentanan yang diketahui. Ini menimbulkan risiko dengan membiarkan kluster Anda terbuka untuk serangan cyber yang mengeksploitasi perangkat lunak yang kedaluwarsa. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Rekam jepret otomatis harus diaktifkan untuk kluster MemoryDB

Description: Defender untuk Cloud kluster MemoryDB yang diidentifikasi tanpa konfigurasi rekam jepret otomatis. Rekam jepret otomatis secara otomatis mempertahankan rekam jepret sumber daya selama durasi tertentu, memastikan data pemulihan penting tersedia setelah insiden. Tanpa itu, ada peningkatan risiko kehilangan data melalui penghapusan atau kerusakan yang tidak disengaja.

Tingkat keparahan: Sedang

Retensi cadangan harus diaktifkan untuk LightSail Relational Database Service

Description: Defender untuk Cloud mengidentifikasi bahwa retensi cadangan dinonaktifkan pada LightSail Relational Database Service Anda. Retensi cadangan secara otomatis menyimpan cadangan database Anda dari waktu ke waktu sehingga Anda dapat memulihkan data jika terjadi penghapusan yang tidak disengaja atau kerusakan berbahaya. Tanpa itu, pemulihan menjadi lebih sulit dan Anda berisiko kehilangan data tanggal up-tojika penyerang mengorbankan database Anda.

Tingkat keparahan: Sedang

Peran Pemilik atau Editor yang luas harus dihilangkan dari akun layanan pada himpunan data BigQuery

Description: Defender untuk Cloud akun layanan yang diidentifikasi dengan izin berlebihan pada himpunan data BigQuery. Akun layanan yang ditemukan evaluasi menetapkan peran luas seperti OWNER, WRITER, atau roles/bigquery.admin yang menyediakan akses lebih dari yang diperlukan. Ini menimbulkan risiko pergerakan lateral dan eksfiltrasi data jika kredensial ini disusupi. Sangat penting untuk membatasi izin ke peran yang selaras dengan persyaratan fungsional akun layanan, seperti 'BigQuery Data Viewer' atau 'Editor Data BigQuery'

Tingkat keparahan: Tinggi

Enkripsi titik akhir kluster harus diaktifkan untuk kluster DAX

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi titik akhir kluster tidak diaktifkan dalam kluster. Enkripsi titik akhir kluster melindungi data selama transmisi antara klien dan kluster. Tanpa itu, informasi sensitif dapat disadap atau diakses oleh pihak yang tidak berwenang, berpotensi mengorbankan kerahasiaan dan integritas data. Aktifkan enkripsi untuk mengamankan data saat transit dan mengurangi risiko serangan cyber.

Tingkat keparahan: Sedang

Description: Defender untuk Cloud mengidentifikasi bahwa topik Amazon SNS Anda dikonfigurasi untuk akses lintas akun, memungkinkan akun AWS eksternal berinteraksi dengannya. Akses lintas akun berarti bahwa pengguna di luar lingkungan tepercaya Anda dapat menerbitkan atau berlangganan topik Anda. Hal ini menimbulkan risiko dengan berpotensi mengekspos pemberitahuan sensitif kepada pihak yang tidak berwenang dan penyalahgunaan. Membatasi akses tersebut akan membantu mengamankan topik Anda dari ancaman eksternal.

Tingkat keparahan: Sedang

Enkripsi KMS yang dikelola pelanggan harus diaktifkan pada Amazon Bedrock Agents

Description: Defender untuk Cloud mengidentifikasi bahwa Amazon Bedrock Custom Model sedang disebarkan tanpa enkripsi KMS yang dikelola pelanggan. Model Kustom Amazon Bedrock dapat dibuat atau diimpor tanpa secara eksplisit memilih kunci yang dikelola pelanggan, yang menyebabkan artefak model dienkripsi dengan kunci yang dikelola AWS sebagai gantinya. Hal ini menimbulkan risiko dengan mengurangi kontrol atas rotasi kunci, kebijakan akses yang ketat, dan transparansi audit, yang berpotensi menyebabkan kerentanan kepatuhan dan keamanan.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk domain CodeArtifact

Description: Defender untuk Cloud mengidentifikasi bahwa kunci yang dikelola pelanggan (CMK) tidak diaktifkan di domain Anda. CMK adalah kunci enkripsi yang Anda kontrol, termasuk siklus hidup, rotasi, dan kebijakan aksesnya. Tanpa konfigurasi CMK, domain Anda hanya mengandalkan kunci yang dikelola penyedia, mengurangi pengawasan dan berpotensi membiarkan data sensitif lebih rentan terhadap akses yang tidak sah.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk aliran Datastream

Description: Defender untuk Cloud mengidentifikasi aliran Aliran Data yang tidak menggunakan Kunci Enkripsi Customer-Managed (CMEK). Penilaian ini mengevaluasi apakah aliran Aliran Data Anda mengaktifkan CMEK, kontrol yang memungkinkan rotasi kunci langsung dan manajemen kebijakan akses. Tanpa CMEK, enkripsi otomatis yang disediakan oleh Google Cloud mungkin tidak memenuhi persyaratan yang ketat untuk data sensitif, membuat beban kerja Anda lebih terpapar potensi penyusupan kunci atau akses yang tidak sah. Pelajari selengkapnya: https://cloud.google.com/datastream/docs

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk kluster ElastiCache

Description: Defender untuk Cloud mengidentifikasi kluster ElastiCache yang tidak memiliki enkripsi Customer Managed Key (CMK). Enkripsi CMK menggunakan kunci kustom yang memungkinkan rotasi terkontrol dan keamanan yang ditingkatkan dibandingkan dengan kunci default. Ini menimbulkan risiko dengan berpotensi mengekspos kluster Anda ke masalah akses data dan kepatuhan yang tidak sah. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk database GCP Spanner

Description: Defender untuk Cloud database yang diidentifikasi yang tidak dikonfigurasi dengan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK mengacu pada kunci enkripsi yang dibuat dan dikelola oleh organisasi Anda, dibandingkan dengan kunci yang dikelola platform. Tanpa CMEK, database mungkin tidak memenuhi persyaratan peraturan atau kebijakan, berpotensi mengekspos data Anda ke masalah akses atau kepatuhan yang tidak sah karena pengurangan kontrol atas manajemen siklus hidup utama.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk instans Memorystore for Redis

Description: Defender untuk Cloud mengidentifikasi bahwa kunci enkripsi yang dikelola pelanggan tidak diaktifkan untuk instans Memorystore for Redis. Evaluasi ini memeriksa apakah operasi enkripsi hanya dikelola oleh kunci yang dikelola Google secara default, yang membatasi rotasi kunci, pencatatan audit, dan peningkatan kontrol akses tepat waktu. Keterbatasan tersebut menimbulkan risiko dengan berpotensi membahayakan upaya perlindungan dan kepatuhan data, karena organisasi tidak memiliki kepemilikan dan tata kelola eksplisit atas kunci enkripsi mereka.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk topik Pub/Sub

Description: Defender untuk Cloud topik Pub/Sub yang diidentifikasi menggunakan kunci enkripsi default yang dikelola Google alih-alih kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan Anda mengontrol rotasi kunci dan kebijakan akses, sementara mengandalkan kontrol batas kunci default dan dapat meningkatkan risiko masalah akses dan kepatuhan yang tidak sah. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk Vertex AI Datastore

Description: Defender untuk Cloud mengidentifikasi bahwa Vertex AI Datastore tidak dikonfigurasi dengan Kunci Enkripsi Terkelola Pelanggan (CMK), yang berarti mengandalkan enkripsi default yang dikelola Google. Ini menimbulkan risiko karena kunci yang dikelola GCP tidak memungkinkan Anda mengontrol kebijakan rotasi, mengatur izin akses terperinci, atau mengaudit penggunaan kunci, berpotensi gagal memenuhi persyaratan kepatuhan dan kedaulatan data yang ketat di industri yang diatur.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan untuk Vertex AI Engine

Description: Defender untuk Cloud mengidentifikasi bahwa instans Vertex AI Engine tidak dikonfigurasi dengan Kunci Enkripsi Terkelola Pelanggan (CMK), yang berarti mengandalkan enkripsi default yang dikelola Google. Ini menimbulkan risiko karena kunci yang dikelola GCP tidak memungkinkan Anda mengontrol kebijakan rotasi, mengatur izin akses terperinci, atau mengaudit penggunaan kunci, berpotensi gagal memenuhi persyaratan kepatuhan dan kedaulatan data yang ketat di industri yang diatur.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan pada kluster AlloyDB

Description: Defender untuk Cloud mengidentifikasi bahwa kluster AlloyDB tidak dikonfigurasi dengan Kunci Enkripsi Terkelola Pelanggan (CMK), yang berarti mengandalkan enkripsi default yang dikelola Google. Ini menimbulkan risiko karena kunci yang dikelola GCP tidak memungkinkan Anda mengontrol kebijakan rotasi, mengatur izin akses terperinci, atau mengaudit penggunaan kunci, berpotensi gagal memenuhi persyaratan kepatuhan dan kedaulatan data yang ketat di industri yang diatur.

Tingkat keparahan: Rendah

Description: Defender untuk Cloud mengidentifikasi bahwa topik AWS SNS Anda menggunakan enkripsi default alih-alih kunci yang dikelola pelanggan (CMK). Enkripsi CMK memungkinkan Anda mengontrol kebijakan utama dan mengaudit penggunaan kunci, menawarkan perlindungan yang ditingkatkan terhadap akses yang tidak sah dan mendukung kepatuhan terhadap standar keamanan internal dan peraturan. Pengawasan konfigurasi ini dapat mengekspos data sensitif terhadap peningkatan risiko.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan pada repositori Registri Artefak

Description: Defender untuk Cloud mengidentifikasi bahwa repositori diamankan menggunakan kunci enkripsi yang dikelola platform alih-alih kunci enkripsi yang dikelola pelanggan (CMEK). CMEK adalah kunci yang Anda kontrol, menawarkan manajemen siklus hidup tingkat lanjut dan kontrol akses yang lebih ketat. Menggunakan kunci yang dikelola platform meningkatkan risiko kerentanan perlindungan data dan mungkin tidak memenuhi persyaratan kepatuhan. Sebaiknya konfigurasi CMEK untuk meningkatkan keamanan dan kontrol enkripsi.

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan pada instans Filestore

Description: Defender untuk Cloud instans Filestore yang diidentifikasi tanpa Kunci Enkripsi Customer-Managed (CMEK). Ini menimbulkan risiko pengurangan kontrol atas rotasi kunci enkripsi dan kebijakan akses di Cloud KMS, yang dapat membahayakan kepatuhan dengan standar peraturan dan organisasi. Pelajari selengkapnya: https://cloud.google.com/filestore/docs/cmek

Tingkat keparahan: Rendah

Kunci enkripsi yang dikelola pelanggan harus diaktifkan pada kluster MemoryDB

Description: Defender untuk Cloud mengidentifikasi bahwa kluster MemoryDB tidak menggunakan Kunci Terkelola Pelanggan (CMK) untuk enkripsi. Menggunakan Customer Managed Keys (CMK) memungkinkan kontrol yang ditingkatkan atas siklus hidup utama dan audit terperinci, memastikan bahwa praktik enkripsi memenuhi persyaratan kepatuhan.

Tingkat keparahan: Rendah

Enkripsi data tidak aktif harus diaktifkan pada kluster ElastiCache

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi tidak aktif pada kluster ElastiCache Anda. Enkripsi saat tidak aktif mengonversi data yang disimpan menjadi format yang aman secara kriptografis, melindungi informasi bahkan jika penyimpanan yang mendasar dilanggar. Tanpa perlindungan ini, akses yang tidak sah atau perusakan data dapat terjadi, memperkirakan kepatuhan dan integritas sistem secara keseluruhan.

Tingkat keparahan: Sedang

Perlindungan penghapusan database harus diaktifkan untuk database GCP Spanner

Description: Defender untuk Cloud mengidentifikasi bahwa perlindungan penghapusan database dinonaktifkan untuk database Anda. Perlindungan penghapusan database mencegah penghapusan yang tidak disengaja atau tidak sah dengan memerlukan konfirmasi tambahan sebelum menghapus database. Tanpa perlindungan ini, data penting Anda terpapar potensi kerugian dari kesalahan manusia atau otomatisasi yang salah dikonfigurasi.

Tingkat keparahan: Sedang

Jadwal pencadangan default untuk database baru harus diaktifkan

Deskripsi: Mengaktifkan jadwal pencadangan default untuk Instans Spanner baru memastikan perlindungan data otomatis langsung dari pembuatan database. Ini membantu dalam mempertahankan pencadangan yang konsisten tanpa intervensi manual dan mengurangi risiko kesalahan manusia. Pencadangan reguler menyediakan opsi pemulihan jika terjadi penghapusan data, kerusakan, atau kegagalan sistem yang tidak disengaja. Jika jadwal pencadangan default tidak diaktifkan, database baru mungkin tetap tidak terlindungi dan rentan, meningkatkan risiko kehilangan data permanen. Disarankan untuk mengaktifkan pengaturan ini untuk meningkatkan ketahanan database dan kelangsungan bisnis.

Tingkat keparahan: Sedang

Periode retensi rekam jepret yang ditentukan harus diberlakukan untuk kluster Redshift

Description: Defender untuk Cloud mengidentifikasi retensi yang tidak terbatas dalam rekam jepret Amazon Redshift, di mana rekam jepret dikonfigurasi agar tidak pernah kedaluwarsa (periode retensi diatur ke -1). Ini menimbulkan risiko mengumpulkan biaya penyimpanan yang tidak perlu dan paparan data yang berpotensi sensitif secara berkepanjangan. Menentukan periode retensi memastikan bahwa rekam jepret yang ketinggalan zaman secara otomatis dihapus menyeluruh, mengurangi dampak keuangan dan kerentanan keamanan.

Tingkat keparahan: Rendah

Perlindungan penghapusan harus diaktifkan pada kluster Amazon DocumentDB

Description: Defender untuk Cloud mengidentifikasi bahwa perlindungan penghapusan tidak diaktifkan pada kluster Amazon DocumentDB Anda. Perlindungan penghapusan adalah perlindungan yang mencegah penghapusan kluster database yang tidak disengaja atau berbahaya. Tanpa itu, kluster DocumentDB Anda terpapar risiko penghapusan yang tidak sah yang menyebabkan gangguan waktu henti dan operasional yang signifikan. Aktifkan perlindungan penghapusan untuk menjaga keamanan dan ketersediaan data Anda.

Tingkat keparahan: Sedang

Perlindungan penghapusan harus diaktifkan pada database Firestore

Description: Defender untuk Cloud database Firestore yang diidentifikasi dengan perlindungan penghapusan dinonaktifkan di Firestore. Perlindungan penghapusan mencegah database dihapus kecuali dinonaktifkan secara eksplisit. Tanpa perlindungan ini, penghapusan yang tidak disengaja atau berbahaya dapat menyebabkan kehilangan data yang tidak dapat dibatalkan dan gangguan operasional di lingkungan produksi.

Tingkat keparahan: Sedang

Enkripsi saat transit harus diaktifkan pada kluster MemoryDB

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi TLS (Keamanan Lapisan Transportasi) tidak diaktifkan pada kluster MemoryDB Anda. TLS mengamankan data dan komunikasi klien dengan mengenkripsi informasi yang dikirimkan. Tanpa TLS diaktifkan, data saat transit rentan terhadap penyadapan dan perubahan oleh pihak yang tidak berwenang.

Tingkat keparahan: Sedang

Enkripsi saat transit harus diaktifkan pada cache berbasis kluster

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi saat transit tidak diaktifkan di cache berbasis kluster Anda yang digunakan oleh ElastiCache. Enkripsi dalam transit melindungi data saat berpindah antara simpul cache dan aplikasi klien. Tanpa itu, informasi sensitif dapat terpapar oleh penyadapan atau perusakan selama transmisi, menciptakan risiko pelanggaran data dan ketidakpatuhan terhadap praktik terbaik keamanan.

Tingkat keparahan: Sedang

Enkripsi dengan AWS Key Management Service harus diaktifkan di EventBridge Event Bus

Description: Defender untuk Cloud mengidentifikasi bahwa EventBridge Event Bus Anda tidak menggunakan kunci AWS Key Management Service yang dikelola pelanggan untuk enkripsi data. Kunci KMS yang dikelola pelanggan memberikan kontrol yang ditingkatkan dengan fitur rotasi utama, yang sangat penting untuk melindungi data sensitif. Tanpa konfigurasi ini, Azure Event Bus Anda bergantung pada kunci yang dikelola AWS yang mungkin tidak memenuhi standar kepatuhan dan keamanan yang ketat.

Tingkat keparahan: Rendah

Pastikan paket AWS Backup menyertakan tindakan penyalinan lintas Wilayah atau lintas akun

Deskripsi: Paket AWS Backup tanpa tindakan lintas Wilayah atau salinan lintas akun menyimpan titik pemulihan di satu lokasi, meningkatkan risiko kehilangan data karena pemadaman regional, penyusupan akun, atau ransomware. Mengonfigurasi tindakan salin meningkatkan ketahanan cadangan dengan memastikan titik pemulihan dipertahankan dalam batas keamanan dan ketersediaan independen.

Tingkat keparahan: Rendah

Kontrol penimpaan perintah eksplisit harus dikonfigurasi untuk Amazon Bedrock Agents

Description: Defender untuk Cloud mengidentifikasi pengaturan penimpaan prompt yang tidak terkontrol di Amazon Bedrock Agents. Agen-agen ini, yang menjalankan tugas AI generatif, berisiko ketika kontrol penimpaan prompt salah dikonfigurasi-memungkinkan instruksi tidak aman untuk melewati mekanisme keselamatan yang ditetapkan. Kesalahan konfigurasi ini dapat mengakibatkan perilaku AI yang tidak dapat diprediksi dan potensi pelanggaran keamanan atau kepatuhan, merusak operasi tepercaya layanan Anda.

Tingkat keparahan: Sedang

Enkripsi dalam transit harus diaktifkan untuk instans Memorystore for Redis

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi dalam transit dinonaktifkan untuk instans Memorystore for Redis. Enkripsi dalam transit, biasanya disediakan melalui TLS, melindungi data saat bepergian di seluruh jaringan. Tanpa itu, data cache sensitif ditransmisikan dalam teks biasa, mengeksposnya ke intersepsi, inspeksi lalu lintas, dan serangan man-in-the-middle, yang dapat membahayakan kerahasiaan dan integritas data.

Tingkat keparahan: Sedang

Konfigurasi kunci terkelola KMS harus diaktifkan untuk enkripsi sisi server SQS

Description: Defender untuk Cloud mengidentifikasi bahwa antrean SQS Anda tidak dikonfigurasi untuk menggunakan kunci terkelola KMS untuk enkripsi sisi server. Kunci yang dikelola KMS sepenuhnya dikendalikan oleh Key Management Service dan memberikan pengawasan yang ditingkatkan terhadap siklus hidup kunci dan audit akses. Tanpa kontrol ini, antrean Anda menghadapi peningkatan risiko penggunaan kunci yang tidak sah dan mengurangi perlindungan data sensitif saat tidak aktif.

Tingkat keparahan: Sedang

Pemetaan bidang Pangkalan Pengetahuan harus dikonfigurasi dengan aman di Amazon Bedrock

Description: Defender untuk Cloud mengidentifikasi pemetaan bidang yang salah dikonfigurasi di Amazon Bedrock Knowledge Bases. Ini menimbulkan risiko merusak penyematan dan menyebabkan pengambilan dokumen yang tidak akurat, berpotensi menyebabkan output yang tidak aman atau menyesatkan dalam alur pembuatan penambahan pengambilan (RAG) ketika pemetaan untuk bidang vektor, teks, dan metadata tidak lengkap atau salah.

Tingkat keparahan: Tinggi

LockConfiguration harus diaktifkan pada Backup Vault

Description: Defender untuk Cloud mengidentifikasi bahwa LockConfiguration tidak diaktifkan di Backup Vault Anda. LockConfiguration mencegah modifikasi atau penghapusan pengaturan pencadangan penting yang tidak sah, memastikan bahwa titik pemulihan tetap aman. Tanpa kontrol ini, Backup Vault berada pada peningkatan risiko perubahan yang tidak disengaja atau berbahaya yang dapat membahayakan ketahanan data dan integritas cadangan. Pelajari lebih lanjut.

Tingkat keparahan: Sedang

Kredensial admin terkelola harus diaktifkan untuk kluster Amazon Redshift

Description: Defender untuk Cloud mengidentifikasi bahwa kluster Amazon Redshift Anda tidak menggunakan kredensial admin terkelola. Kredensial admin terkelola melibatkan penyimpanan kredensial administratif dengan aman di AWS Secrets Manager dengan rotasi otomatis, yang meminimalkan risiko paparan kredensial. Tanpa penyiapan ini, ada peningkatan risiko akses database yang tidak sah dan potensi pelanggaran data.

Tingkat keparahan: Sedang

Penerapan versi objek harus diaktifkan pada wadah LightSail

Description: Defender untuk Cloud mengidentifikasi bahwa penerapan versi objek dinonaktifkan pada wadah LightSail Anda. Penerapan versi objek secara otomatis menyimpan dan menyimpan salinan historis objek, yang penting untuk memulihkan data dari penghapusan, modifikasi, atau kerusakan yang tidak disengaja. Tanpa fitur ini, perubahan atau kesalahan yang tidak sah dapat membahayakan integritas data Anda secara permanen.

Tingkat keparahan: Rendah

Penimpaan parser harus dinonaktifkan untuk Amazon Bedrock Agents

Description: Defender untuk Cloud mengidentifikasi pengaturan penimpaan pengurai kustom (ParserMode = OVERRIDDEN) di Amazon Bedrock Agents. Pengurai kustom mengambil alih mengubah mekanisme penguraian default untuk memenuhi persyaratan output tertentu tetapi dapat meningkatkan kompleksitas operasional, berpotensi menyebabkan kesalahan penguraian atau mengekspos kerentanan keamanan jika tidak dipertahankan secara ketat. Sebaiknya nonaktifkan penimpaan ini kecuali validasi output yang ketat sangat penting.

Tingkat keparahan: Tinggi

Pemulihan Point-in-Time harus diaktifkan untuk database Firestore

Description: Defender untuk Cloud database Firestore yang diidentifikasi dengan Point-in-Time Recovery (PITR) dinonaktifkan. PITR adalah fitur yang memungkinkan pemulihan data dari tanda waktu tertentu dalam periode retensi, melindungi dari penghapusan yang tidak disengaja dan penulisan yang salah. Tanpa PITR, database Anda berisiko kehilangan data yang diperpanjang dan potensi tantangan dalam memulihkan integritas data setelah insiden.

Tingkat keparahan: Sedang

Status eksekusi prompt harus diaktifkan untuk tahap agen penting di Amazon Bedrock

Description: Defender untuk Cloud mengidentifikasi status eksekusi prompt yang dinonaktifkan untuk tahap agen penting di Amazon Bedrock. Tahapan agen penting-seperti orkestrasi dan pembuatan respons pangkalan pengetahuan sangat penting untuk memastikan penalaran lengkap dan output yang akurat. Menonaktifkan tahapan ini menimbulkan risiko menghasilkan respons yang tidak aman, tidak lengkap, atau salah, yang dapat menyebabkan perilaku agen yang disusupi dan integritas sistem secara keseluruhan.

Tingkat keparahan: Tinggi

Konfigurasi Blok Akses Publik harus diaktifkan di AWS S3 Access Point

Description: Defender untuk Cloud mengidentifikasi konfigurasi Blok Akses Publik tidak diaktifkan di AWS S3 Access Point Anda. Pengaturan Blok Akses Publik dirancang untuk mencegah paparan publik yang tidak disengaja dengan secara otomatis memblokir akses publik ke sumber daya S3, terlepas dari izin tingkat wadah atau objek. Tanpa pengaturan ini, ada peningkatan risiko akses tidak sah ke data sensitif yang disimpan dalam wadah S3 Anda.

Tingkat keparahan: Tinggi

Description: Defender untuk Cloud mengidentifikasi bahwa topik SNS Anda mengaktifkan akses penerbit yang tidak terbatas. Pengaturan ini memungkinkan entitas mana pun untuk menerbitkan pemberitahuan ke topik Anda, yang dapat menyebabkan pemberitahuan, spam, atau bahkan pesan berbahaya yang melemahkan keandalan dan keamanan sistem pemberitahuan Anda. Dengan memastikan akses penerbit dibatasi, Anda meminimalkan risiko ini dan meningkatkan integritas keseluruhan infrastruktur olahpesan Anda.

Tingkat keparahan: Tinggi

Description: Defender untuk Cloud mengidentifikasi bahwa langganan Topik SNS dapat diakses secara publik. Di sini, "akses publik" berarti entitas apa pun dapat berlangganan dan menerima pemberitahuan, mengekspos sistem olahpesan Anda ke pemantauan dan kebocoran data yang tidak sah. Paparan tersebut dapat memungkinkan aktor jahat untuk mencegat atau menyalahgunakan informasi sensitif. Sebaiknya konfigurasikan langganan untuk hanya mengizinkan pelanggan yang disetujui. Pelajari lebih lanjut.

Tingkat keparahan: Tinggi

Domain email publik harus dibatasi untuk menerima peran istimewa di BigQuery

Description: Defender untuk Cloud mengidentifikasi peran BigQuery yang sangat istimewa (misalnya, OWNER, WRITER, atau Admin) yang ditetapkan untuk anggota dengan domain email publik. Domain email publik berada di luar manajemen siklus hidup identitas organisasi Anda, yang menimbulkan risiko modifikasi, penghapusan, atau eskalasi izin data yang tidak sah.

Tingkat keparahan: Tinggi

Akses baca publik pada wadah LightSail harus dinonaktifkan

Description: Defender untuk Cloud mengidentifikasi bahwa wadah LightSail Anda mengizinkan akses baca publik. Pengaturan ini memungkinkan siapa pun untuk mengakses objek yang disimpan tanpa autentikasi, membuat data sensitif rentan terhadap paparan dan eksploitasi yang tidak sah.

Tingkat keparahan: Tinggi

Label sumber daya harus dikonfigurasi pada repositori Registri Artefak

Description: Defender untuk Cloud mengidentifikasi label sumber daya yang hilang di repositori. Label sumber daya adalah pasangan kunci-nilai yang mengategorikan repositori dan mengaktifkan penegakan kebijakan keamanan otomatis. Tanpa label yang tepat, ada peningkatan risiko kesalahan konfigurasi dan akses yang tidak sah karena kontrol keamanan yang tidak konsisten.

Tingkat keparahan: Rendah

Konektor aman harus diaktifkan untuk instans AlloyDB

Description: Defender untuk Cloud mengidentifikasi pengaturan koneksi klien yang tidak aman dalam instans AlloyDB. Evaluasi memeriksa properti 'Memerlukan konektor', yang ketika diatur ke false mengizinkan koneksi protokol PostgreSQL langsung tanpa mediator aman seperti Proksi Autentikasi AlloyDB. Ini melewati autentikasi berbasis IAM dan enkripsi TLS otomatis, meningkatkan risiko autentikasi yang lebih lemah dan potensi paparan lalu lintas yang tidak terenkripsi dalam VPC Anda.

Tingkat keparahan: Sedang

Grup keamanan harus dikonfigurasi untuk kluster MemoryDB

Description: Defender untuk Cloud kluster MemoryDB yang diidentifikasi tanpa grup keamanan apa pun yang dikonfigurasi. Grup keamanan berfungsi sebagai aturan firewall yang mengatur lalu lintas masuk dan keluar untuk kluster Anda. Tanpa mereka, kluster Anda terpapar risiko akses yang tidak sah dan potensi pelanggaran data. Mengaktifkan kelompok keamanan dapat secara signifikan mengurangi risiko ini dengan memastikan bahwa hanya lalu lintas yang disetujui yang diizinkan untuk mengakses kluster MemoryDB Anda.

Tingkat keparahan: Sedang

Grup keamanan harus dikonfigurasi untuk membatasi akses untuk ElastiCache

Description: Defender untuk Cloud mengidentifikasi konfigurasi grup keamanan yang tidak mencukupi di layanan ElastiCache Anda. Grup keamanan adalah filter jaringan yang mengontrol lalu lintas antar sumber daya; ketika tidak dikonfigurasi dengan benar, mereka gagal memberlakukan pembatasan akses detail, berpotensi mengekspos cache Anda ke akses dan eksploitasi yang tidak sah. Ini meningkatkan risiko pelanggaran data dan insiden keamanan lainnya. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Kelompok keamanan harus membatasi akses untuk ElastiCache

Description: Defender untuk Cloud mengidentifikasi pembatasan kelompok keamanan laks dalam penyiapan ElastiCache Anda. Grup keamanan bertindak sebagai firewall virtual yang mengelola akses pengguna dan instans, dan segmentasi yang tidak memadai dapat mengakibatkan akses yang tidak sah, meningkatkan risiko paparan data dan potensi aktivitas berbahaya. Sebaiknya tinjau dan terapkan aturan akses terperinci untuk memastikan bahwa hanya pengguna dan proses yang berwenang yang berinteraksi dengan sumber daya ElastiCache Anda.

Tingkat keparahan: Rendah

Log keamanan harus diaktifkan untuk Grup Replikasi ElastiCache

Description: Defender untuk Cloud mengidentifikasi bahwa pengelogan tidak diaktifkan untuk Grup Replikasi ElastiCache Anda. Rekomendasi ini dipicu setelah mendeteksi tidak adanya log mesin, yang menangkap peristiwa operasional terperinci, atau log lambat, yang melacak masalah latensi. Tanpa log ini, potensi anomali dan aktivitas yang tidak sah dapat tidak terdeteksi, meningkatkan risiko respons insiden tertunda atau pelanggaran keamanan. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Mitigasi paparan data sensitif harus diaktifkan pada output tumpukan AWS CloudFormation

Description: Defender untuk Cloud mengidentifikasi output sensitif yang terekspos di tumpukan AWS CloudFormation Anda. Output CloudFormation digunakan untuk meneruskan data antar tumpukan tetapi tidak boleh menyertakan informasi sensitif seperti kata sandi, kunci API, token, atau kredensial. Mengekspos detail ini meningkatkan risiko akses data yang tidak sah. Hapus output ini atau simpan data rahasia dengan aman menggunakan AWS Secrets Manager atau SSM Parameter Store. Untuk detail selengkapnya, kunjungi: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Tingkat keparahan: Tinggi

Parameter sensitif harus mengaktifkan atribut NoEcho pada tumpukan AWS CloudFormation

Description: Defender untuk Cloud mengidentifikasi tumpukan AWS CloudFormation dengan parameter yang tidak memiliki atribut NoEcho. Atribut NoEcho menutupi nilai sensitif dari log dan output, mencegah kredensial dan data rahasia lainnya terekspos secara tidak sengaja. Tanpa itu, tumpukan Anda dapat membocorkan informasi penting, meningkatkan risiko akses yang tidak sah. Sebaiknya perbarui templat Anda untuk menggabungkan pengaturan NoEcho jika berlaku.

Tingkat keparahan: Tinggi

Enkripsi sisi server harus diaktifkan untuk sumber data Amazon Bedrock Knowledge Bases

Description: Defender untuk Cloud mengidentifikasi kurangnya konfigurasi enkripsi sisi server tertentu di sumber data Amazon Bedrock Knowledge Base. Tanpa ServerSideEncryptionConfiguration yang tepat, dokumen yang diserap, metadata, dan artefak pemrosesan dapat disimpan tanpa terenkripsi atau dengan kunci yang dikelola AWS, mengurangi kontrol pelanggan atas enkripsi, rotasi kunci, dan kemampuan audit, sehingga meningkatkan risiko akses data yang tidak sah dan pemerintahan keamanan yang berkurang.

Tingkat keparahan: Sedang

Enkripsi sisi server harus diaktifkan pada antrean SQS

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi sisi server (SSE) tidak diaktifkan pada antrean SQS Anda. SSE adalah metode yang menggunakan kunci enkripsi untuk mengubah data sensitif menjadi format yang tidak dapat dibaca sampai didekripsi dengan benar. Tanpa perlindungan ini, antrean SQS Anda berisiko terhadap akses data yang tidak sah, berpotensi mengekspos informasi sensitif dan mengarah ke pelanggaran data dan masalah kepatuhan.

Tingkat keparahan: Tinggi

Pembatasan akses lintas akun yang ketat harus dikonfigurasi pada wadah LightSail

Description: Defender untuk Cloud mengidentifikasi akses lintas akun di wadah LightSail Anda. Akses lintas akun terjadi saat akun AWS di luar lingkungan tepercaya Anda diberikan izin untuk mengakses objek wadah. Ini menimbulkan risiko paparan data yang tidak sah jika akun eksternal ini tidak diketahui atau tidak dimonitor. Membatasi akses secara eksklusif ke akun dengan kebutuhan yang sah dapat membantu melindungi informasi sensitif Anda.

Tingkat keparahan: Sedang

Volume EBS yang tidak terpasang harus dihapus atau dilampirkan ke instans EC2

Description: Defender untuk Cloud mengidentifikasi volume EBS yang tidak teridentifikasi. Volume EBS adalah perangkat penyimpanan blok persisten yang ditujukan untuk lampiran ke instans EC2. Volume yang tidak terpasang dapat menunjukkan sumber daya tanpa induk dari instans yang dihentikan, meningkatkan permukaan serangan, dan mungkin menyimpan data sensitif yang tidak lagi menerima pemantauan keamanan aktif.

Tingkat keparahan: Rendah

Langganan yang tidak kedaluwarsa harus memiliki kebijakan kedaluwarsa yang dikonfigurasi pada langganan Pub/Sub

Description: Defender untuk Cloud mengidentifikasi kebijakan kedaluwarsa yang hilang dalam langganan Pub/Sub. Kebijakan kedaluwarsa menentukan berapa lama langganan yang tidak aktif tetap aktif sebelum penghapusan otomatis. Tanpa konfigurasi ini, langganan dapat terus menyimpan data tanpa batas waktu, yang menyebabkan peningkatan biaya penyimpanan dan risiko informasi sensitif yang lebih tinggi dipertahankan lebih lama dari yang diperlukan. Untuk informasi selengkapnya, kunjungi https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period

Tingkat keparahan: Rendah

Domain CodeArtifact yang tidak digunakan harus dihapus

Description: Defender untuk Cloud domain CodeArtifact yang diidentifikasi tidak memiliki repositori atau artefak aktif dalam CodeArtifact. Domain yang tidak digunakan adalah domain yang tidak menghosting konten saat ini tetapi mungkin masih menyimpan pengaturan lama seperti izin lama atau kunci enkripsi. Ini menimbulkan risiko dengan memperluas permukaan serangan sarana kontrol Anda dan berpotensi memungkinkan akses yang tidak sah. Pelajari lebih lanjut.

Tingkat keparahan: Rendah

Rekomendasi data dan jaringan lintas kategori AWS/GCP

Enkripsi dalam transit harus diaktifkan untuk kluster Memorystore for Redis

Description: Defender untuk Cloud mengidentifikasi bahwa enkripsi dalam transit hilang pada kluster Redis Anda. Enkripsi dalam transit (TLS) mengamankan data yang bepergian antara klien dan kluster Redis Anda, termasuk kredensial autentikasi dan data yang di-cache. Tanpa TLS, penyerang dengan akses jaringan melalui VPC bersama, jaringan yang di-peering, atau beban kerja yang disusupi dapat mencegat atau mengubah data sensitif ini, meningkatkan risiko paparan dan manipulasi data.

Tingkat keparahan: Sedang

Akses jaringan publik harus dinonaktifkan untuk LightSail Relational Database Service

Description: Defender untuk Cloud mengidentifikasi bahwa akses jaringan publik diaktifkan pada LightSail Relational Database Service Anda. Akses jaringan publik berarti bahwa database menerima koneksi melalui internet, yang melewati pembatasan jaringan dan mengeksposnya ke akses yang tidak sah. Konfigurasi ini meningkatkan risiko penyelundupan data atau kehilangan data dengan menyediakan titik masuk potensial bagi penyerang.

Tingkat keparahan: Tinggi

Kluster Amazon Aurora harus mengaktifkan pelacakan mundur

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Aurora mengaktifkan backtracking.

Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memastikan pemulihan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu tertentu. Ini tidak memerlukan pemulihan database untuk melakukannya.

Untuk informasi selengkapnya tentang pelacakan mundur di Aurora, lihat Melacak mundur klaster Aurora DB di Panduan Pengguna Amazon Aurora.

Tingkat keparahan: Sedang

Rekam jepret Amazon EBS seharusnya tidak dapat disembuhkan secara publik

Deskripsi: Rekam jepret Amazon EBS tidak boleh dapat dilaporkan secara publik oleh semua orang kecuali diizinkan secara eksplisit, untuk menghindari paparan data yang tidak disengaja. Selain itu, izin untuk mengubah konfigurasi Amazon EBS harus dibatasi hanya untuk akun AWS resmi.

Tingkat keparahan: Tinggi

Definisi tugas Amazon ECS harus memiliki mode jaringan aman dan definisi pengguna

Deskripsi: Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif yang memiliki mode jaringan host juga memiliki definisi kontainer istimewa atau pengguna. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah di mana privileged=false atau kosong dan user=root atau kosong. Jika definisi tugas memiliki hak istimewa yang ditingkatkan, itu karena pelanggan secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan tidak memilih untuk meningkatkan hak istimewa.

Tingkat keparahan: Tinggi

Domain Amazon Elasticsearch Service harus mengenkripsi data yang dikirim antar node

Deskripsi: Kontrol ini memeriksa apakah domain Amazon ES mengaktifkan enkripsi node-to-node. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan serangan person-in-the-middle atau serupa. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan enkripsi node-to-node untuk domain Amazon ES memastikan bahwa komunikasi intra-cluster dienkripsi saat transit. Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji pertukaran kinerja sebelum mengaktifkan opsi ini.

Tingkat keparahan: Sedang

Domain Amazon Elasticsearch Service harus mengaktifkan enkripsi saat istirahat

Deskripsi: Penting untuk mengaktifkan enkripsi sisa domain Amazon ES untuk melindungi data sensitif

Tingkat keparahan: Sedang

Database Amazon RDS harus dienkripsi menggunakan kunci yang dikelola pelanggan

Deskripsi: Pemeriksaan ini mengidentifikasi database RDS yang dienkripsi dengan kunci KMS default dan bukan dengan kunci yang dikelola pelanggan. Sebagai praktik terdepan, gunakan kunci yang dikelola pelanggan untuk mengenkripsi data pada database RDS Anda dan mempertahankan kontrol kunci dan data Anda pada beban kerja sensitif.

Tingkat keparahan: Sedang

Instans Amazon RDS harus dikonfigurasi dengan pengaturan pencadangan otomatis

Deskripsi: Pemeriksaan ini mengidentifikasi instans RDS, yang tidak diatur dengan pengaturan pencadangan otomatis. Jika Pencadangan Otomatis diatur, RDS membuat rekam jepret volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB dan bukan hanya database individual, yang menyediakan pemulihan titik waktu. Pencadangan otomatis terjadi selama waktu jendela cadangan yang ditentukan dan menyimpan cadangan untuk jangka waktu terbatas seperti yang didefinisikan dalam periode retensi. Disarankan untuk mengatur cadangan otomatis untuk server RDS penting Anda yang membantu dalam proses pemulihan data.

Tingkat keparahan: Sedang

Kluster Amazon Redshift harus mengaktifkan pencatatan audit

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan pengelogan audit. Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat Pencatatan log audit basis data di Panduan Manajemen Klaster Amazon Redshift.

Tingkat keparahan: Sedang

Kluster Amazon Redshift harus mengaktifkan snapshot otomatis

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan rekam jepret otomatis. Ini juga memeriksa apakah periode retensi snapshot lebih besar dari atau sama dengan tujuh.

Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka memastikan pemulihan sistem Anda. Amazon Redshift mengambil snapshot berkala secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. Untuk informasi selengkapnya tentang rekam jepret otomatis Amazon Redshift, lihat Rekam jepret otomatis di Panduan Manajemen Kluster Amazon Redshift.

Tingkat keparahan: Sedang

Cluster Amazon Redshift harus melarang akses publik

Deskripsi: Kami merekomendasikan kluster Amazon Redshift untuk menghindari aksesibilitas publik dengan mengevaluasi bidang 'publiclyAccessible' dalam item konfigurasi kluster.

Tingkat keparahan: Tinggi

Amazon Redshift seharusnya memiliki peningkatan otomatis ke versi utama yang diaktifkan

Deskripsi: Kontrol ini memeriksa apakah peningkatan versi utama otomatis diaktifkan untuk kluster Amazon Redshift. Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru untuk klaster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Sedang

Antrian Amazon SQS harus dienkripsi saat istirahat

Deskripsi: Kontrol ini memeriksa apakah antrean Amazon SQS dienkripsi saat tidak aktif. Enkripsi sisi server (SSE) memungkinkan Anda mengirimkan data sensitif dalam antrian terenkripsi. Untuk melindungi konten pesan dalam antrean, SSE menggunakan kunci yang dikelola di AWS KMS. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Queue Service.

Tingkat keparahan: Sedang

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster kritis

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada yang memiliki pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBCluster: [Pemeliharaan dan kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instans basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBInstance: [Pemeliharaan, perubahan konfigurasi, dan kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBParameterGroup: ["konfigurasi", "ubah"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting

Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut: Pasangan kunci-nilai kategori peristiwa. DBSecurityGroup: [Konfigurasi, perubahan, kegagalan]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

API Gateway REST dan WebSocket API logging harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah semua tahapan AMAZON API Gateway REST atau WebSocket API telah mengaktifkan pengelogan. Kontrol gagal jika pengelogan tidak diaktifkan untuk semua metode tahap atau jika Tingkat pengelogan bukan KESALAHAN atau INFO. Tahap API Gateway REST atau WebSocket API harus mengaktifkan log yang relevan. API Gateway REST dan logging eksekusi WebSocket API menyediakan catatan mendetail tentang permintaan yang dibuat ke tahapan API Gateway REST dan WebSocket API. Tahapannya mencakup respons backend integrasi API, respons otorisasi Lambda, dan requestId untuk titik akhir integrasi AWS.

Tingkat keparahan: Sedang

Data cache API REST API Gateway harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah semua metode dalam tahap REST API Gateway yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. API Gateway REST Cache API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

Tingkat keparahan: Sedang

Tahap REST API Gateway API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk autentikasi backend

Deskripsi: Kontrol ini memeriksa apakah tahapAN REST API Amazon API Gateway memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway. Tahap API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi bahwa permintaan berasal dari API Gateway.

Tingkat keparahan: Sedang

Tahap API Gateway REST API harus mengaktifkan pelacakan AWS X-Ray

Deskripsi: Kontrol ini memeriksa apakah pelacakan aktif AWS X-Ray diaktifkan untuk tahap REST API Amazon API Gateway Anda. Pelacakan aktif X-Ray memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. Pelacakan aktif X-Ray menyediakan metrik permintaan pengguna real-time yang mengalir melalui operasi API Gateway REST API Anda dan layanan yang terhubung.

Tingkat keparahan: Rendah

API Gateway harus dikaitkan dengan AWS web AWS WAF

Deskripsi: Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika ACL web AWS WAF tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan tahapan API Gateway Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.

Tingkat keparahan: Sedang

Logging Aplikasi dan Penyeimbang Beban Klasik harus diaktifkan

Description: Kontrol ini memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik mengaktifkan pengelogan. Kontrol gagal jika access_logs.s3.enabled salah. Elastic Load Balancing menyediakan log akses yang menangkap informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses untuk menganalisis pola lalu lintas dan memecahkan masalah. Untuk mempelajari selengkapnya, lihat log Access untuk Load Balancer di Panduan Pengguna untuk Load Balancer Klasik.

Tingkat keparahan: Sedang

Volume EBS yang dilampirkan harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah volume EBS yang berada dalam status terlampir dienkripsi. Untuk lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, maka volume tersebut tidak tunduk pada pemeriksaan ini. Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat istirahat. Enkripsi Amazon EBS menawarkan solusi enkripsi langsung untuk sumber daya EBS Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan kunci master pelanggan (CMK) AWS KMS saat membuat volume dan snapshot terenkripsi. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EBS, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Tingkat keparahan: Sedang

Instans replikasi AWS Database Migration Service tidak boleh berpublikasi

Deskripsi: Untuk melindungi instans yang direplikasi dari ancaman. Instans replikasi privat harus memiliki alamat IP privat yang tidak dapat Anda akses di luar jaringan replikasi. Instans replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama, dan jaringan terhubung ke VPC instans replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Anda juga harus memastikan bahwa akses ke konfigurasi instans AWS DMS Anda dibatasi hanya untuk pengguna yang berwenang. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah pengaturan dan sumber daya AWS DMS.

Tingkat keparahan: Tinggi

Listener Load Balancer klasik harus dikonfigurasi dengan penghentian HTTPS atau TLS

Description: Kontrol ini memeriksa apakah listener Load Balancer Klasik Anda dikonfigurasi dengan protokol HTTPS atau TLS untuk koneksi front-end (klien ke load balancer). Kontrol ini berlaku jika Load Balancer Klasik memiliki pendengar. Jika Load Balancer Klasik Anda tidak memiliki listener yang dikonfigurasi, kontrol tidak melaporkan temuan apa pun. Kontrol lolos jika listener Classic Load Balancer dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Kontrol gagal jika listener tidak dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Sebelum Anda mulai menggunakan penyeimbang beban, Anda harus menambahkan satu atau beberapa pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar dapat mendukung protokol HTTP dan HTTPS/TLS. Anda harus selalu menggunakan pendengar HTTPS atau TLS, sehingga penyeimbang beban melakukan pekerjaan enkripsi dan dekripsi dalam perjalanan.

Tingkat keparahan: Sedang

Penyeimbang Beban Klasik harus mengaktifkan pengurasan koneksi

Deskripsi: Kontrol ini memeriksa apakah Load Balancer Klasik mengaktifkan pengurasan koneksi. Mengaktifkan pengurasan koneksi pada Load Balancer Klasik memastikan bahwa load balancer berhenti mengirim permintaan ke instans yang membatalkan pendaftaran atau tidak sehat. Itu membuat koneksi yang ada tetap terbuka. Ini berguna untuk instans dalam grup Penskalaan Otomatis, untuk memastikan bahwa koneksi tidak terputus secara tiba-tiba.

Tingkat keparahan: Sedang

Distribusi CloudFront harus mengaktifkan AWS WAF

Deskripsi: Kontrol ini memeriksa apakah distribusi CloudFront dikaitkan dengan ACL web AWS WAF atau AWS WAFv2. Kontrol gagal jika distribusi tidak terkait dengan ACL web. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan distribusi CloudFront Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.

Tingkat keparahan: Sedang

Distribusi CloudFront harus mengaktifkan logging

Deskripsi: Kontrol ini memeriksa apakah pengelogan akses server diaktifkan pada distribusi CloudFront. Kontrol gagal jika pengelogan akses tidak diaktifkan untuk distribusi. Log akses CloudFront memberikan informasi terperinci tentang setiap permintaan pengguna yang diterima CloudFront. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses serta investigasi forensik. Untuk informasi selengkapnya tentang cara menganalisis log akses, lihat Mengkueri log Amazon CloudFront di Panduan Pengguna Amazon Athena.

Tingkat keparahan: Sedang

Distribusi CloudFront harus memerlukan enkripsi saat transit

Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront mengharuskan penonton untuk menggunakan HTTPS secara langsung atau apakah menggunakan pengalihan. Kontrol gagal jika ViewerProtocolPolicy disetel ke izinkan-semua untuk defaultCacheBehavior atau untuk cacheBehaviors. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

Tingkat keparahan: Sedang

Log CloudTrail harus dienkripsi saat diam menggunakan KMS CMK

Deskripsi: Kami merekomendasikan untuk mengonfigurasi CloudTrail untuk menggunakan SSE-KMS. Mengonfigurasi CloudTrail untuk menggunakan SSE-KMS memberikan lebih banyak kontrol kerahasiaan pada data log karena pengguna tertentu harus memiliki izin baca S3 pada wadah log yang sesuai dan harus diberikan izin dekripsi oleh kebijakan CMK.

Tingkat keparahan: Sedang

Koneksi ke klaster Amazon Redshift harus dienkripsi saat transit

Deskripsi: Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi saat transit. Pemeriksaan gagal jika parameter kluster Amazon Redshift require_SSL tidak diatur ke 1. TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

Tingkat keparahan: Sedang

Koneksi ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2

Deskripsi: Kontrol ini memeriksa apakah koneksi ke domain Elasticsearch diperlukan untuk menggunakan TLS 1.2. Pemeriksaan gagal jika domain Elasticsearch TLSSecurityPolicy bukan Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.

Tingkat keparahan: Sedang

Tabel DynamoDB harus mengaktifkan pemulihan point-in-time

Deskripsi: Kontrol ini memeriksa apakah pemulihan point-in-time (PITR) diaktifkan untuk tabel Amazon DynamoDB.

Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memastikan pemulihan sistem Anda. Pemulihan titik-dalam-waktu DynamoDB mengotomatiskan pencadangan untuk tabel DynamoDB. Ini mengurangi waktu untuk memulihkan dari operasi penghapusan atau penulisan yang tidak disengaja.

Tabel DynamoDB yang mengaktifkan PITR dapat dipulihkan ke titik waktu mana pun dalam 35 hari terakhir.

Tingkat keparahan: Sedang

Enkripsi default EBS harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk Amazon Elastic Block Store (Amazon EBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan. Saat enkripsi diaktifkan untuk akun Anda, volume Amazon EBS dan salinan snapshot dienkripsi saat diam. Ini menambahkan lapisan perlindungan lain untuk data Anda. Untuk informasi selengkapnya, lihat Enkripsi secara default di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Jenis instans berikut tidak mendukung enkripsi: R1, C1, dan M1.

Tingkat keparahan: Sedang

Lingkungan Pohon Kacang Elastis seharusnya mengaktifkan pelaporan kesehatan yang disempurnakan

Deskripsi: Kontrol ini memeriksa apakah pelaporan kesehatan yang ditingkatkan diaktifkan untuk lingkungan AWS Elastic Beanstalk Anda. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan Elastic Beanstalk yang disempurnakan menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. Agen kesehatan Elastic Beanstalk, yang disertakan dalam Amazon Machine Images (AMIs) yang didukung, mengevaluasi log dan metrik instans EC2 lingkungan.

Tingkat keparahan: Rendah

Pembaruan platform terkelola Elastic Beanstalk harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah pembaruan platform terkelola diaktifkan untuk lingkungan Elastic Beanstalk. Mengaktifkan pembaruan platform terkelola memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Tinggi

Elastis Load Balancer seharusnya tidak memiliki sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari.

Deskripsi: Pemeriksaan ini mengidentifikasi Elastic Load Balancer (ELB) yang menggunakan sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari. AWS Certificate Manager (ACM) adalah alat pilihan untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Dengan ACM. Anda dapat meminta sertifikat atau menyebarkan ACM atau sertifikat eksternal yang ada ke sumber daya AWS. Sebagai praktik terbaik, disarankan untuk mengganti sertifikat yang kedaluwarsa/kedaluwarsa sambil mempertahankan asosiasi ELB dari sertifikat asli.

Tingkat keparahan: Tinggi

Pencatatan kesalahan domain Elasticsearch ke CloudWatch Logs harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log CloudWatch. Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Logs untuk retensi dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.

Tingkat keparahan: Sedang

Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul master khusus. Kontrol ini gagal jika domain tidak menggunakan simpul master khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node master khusus. Namun, menggunakan lebih dari tiga node master mungkin tidak perlu untuk mengurangi risiko ketersediaan, dan akan menghasilkan lebih banyak biaya. Domain Elasticsearch membutuhkan setidaknya tiga node master khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya simpul master khusus dapat dibatasi selama penyebaran biru/hijau simpul data karena ada lebih banyak simpul untuk dikelola. Menyebarkan domain Elasticsearch dengan setidaknya tiga node master khusus memastikan kapasitas sumber daya node master yang memadai dan operasi cluster jika sebuah node gagal.

Tingkat keparahan: Sedang

Domain Elasticsearch harus memiliki setidaknya tiga simpul data

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul data dan zoneAwarenessEnabled adalah benar. Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menyebarkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika sebuah node gagal.

Tingkat keparahan: Sedang

Domain Elasticsearch harus mengaktifkan pencatatan audit

Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pengelogan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pengelogan audit. Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda untuk melacak aktivitas pengguna di klaster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan ke OpenSearch, perubahan indeks, dan kueri pencarian yang masuk.

Tingkat keparahan: Sedang

Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans dan kluster RDS DB

Deskripsi: Kontrol ini memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk instans RDS DB Anda. Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Pemantauan yang Ditingkatkan menyediakan metrik waktu nyata dari sistem operasi tempat instans DB RDS Anda berjalan. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang dimungkinkan dari lapisan hypervisor. Metrik Pemantauan yang Ditingkatkan berguna saat Anda ingin melihat bagaimana proses atau utas yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat Pemantauan yang Disempurnakan di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Rendah

Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan

Deskripsi: AWS Key Management Service (KMS) memungkinkan pelanggan untuk memutar kunci backing, yang merupakan materi kunci yang disimpan dalam KMS yang terkait dengan ID kunci kunci master pelanggan (CMK) yang Dibuat Pelanggan. Ini adalah kunci cadangan yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci cadangan sebelumnya sehingga dekripsi data terenkripsi dapat dilakukan secara transparan. Disarankan agar rotasi kunci CMK diaktifkan. Memutar kunci enkripsi membantu mengurangi dampak potensial kunci yang disusupi karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.

Tingkat keparahan: Sedang

Pastikan pencatatan akses bucket S3 diaktifkan di bucket CloudTrail S3

Deskripsi: Pengelogan Akses Bucket S3 menghasilkan log yang berisi catatan akses Pastikan pengelogan akses wadah S3 diaktifkan pada wadah CloudTrail S3 untuk setiap permintaan yang dibuat ke wadah S3 Anda. Catatan log akses berisi detail tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan yang berfungsi, dan waktu serta tanggal permintaan diproses. Disarankan agar pengelogan akses wadah diaktifkan pada wadah CloudTrail S3. Dengan mengaktifkan pengelogan bucket S3 pada wadah S3 target, Anda dapat mengambil semua peristiwa, yang mungkin memengaruhi objek dalam wadah target. Mengonfigurasi log yang akan ditempatkan dalam wadah terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja respons keamanan dan insiden.

Tingkat keparahan: Rendah

Pastikan wadah S3 yang digunakan untuk menyimpan log CloudTrail tidak dapat diakses secara publik

Deskripsi: CloudTrail mencatat catatan setiap panggilan API yang dilakukan di akun AWS Anda. File log ini disimpan dalam ember S3. Disarankan agar kebijakan wadah, atau daftar kontrol akses (ACL), diterapkan ke wadah S3 yang dicatat CloudTrail untuk mencegah akses publik ke log CloudTrail. Mengizinkan akses publik ke konten log CloudTrail dapat membantu persaingan dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.

Tingkat keparahan: Tinggi

IAM seharusnya tidak memiliki sertifikat SSL/TLS yang kedaluwarsa

Deskripsi: Pemeriksaan ini mengidentifikasi sertifikat SSL/TLS yang kedaluwarsa. Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan menyebarkan sertifikat server. Menghapus sertifikat SSL/TLS yang kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid akan disebarkan secara tidak sengaja ke sumber daya seperti AWS Elastic Load Balancer (ELB), yang dapat merusak kredibilitas aplikasi/situs web di belakang ELB. Pemeriksaan ini menghasilkan pemberitahuan jika ada sertifikat SSL/TLS kedaluwarsa yang disimpan di AWS IAM. Sebagai praktik terbaik, disarankan untuk menghapus sertifikat yang kedaluwarsa.

Tingkat keparahan: Tinggi

Sertifikat ACM yang diimpor harus diperbarui setelah jangka waktu tertentu

Deskripsi: Kontrol ini memeriksa apakah sertifikat ACM di akun Anda ditandai untuk kedaluwarsa dalam waktu 30 hari. Ini memeriksa sertifikat yang diimpor dan sertifikat yang disediakan oleh AWS Certificate Manager. ACM dapat secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. Untuk sertifikat yang menggunakan validasi email, Anda harus membalas email validasi domain. ACM juga tidak memperbarui sertifikat yang Anda impor secara otomatis. Anda harus memperbarui sertifikat yang diimpor secara manual. Untuk informasi selengkapnya tentang pembaruan terkelola untuk sertifikat ACM, lihat Perpanjangan terkelola untuk sertifikat ACM di Panduan Pengguna AWS Certificate Manager.

Tingkat keparahan: Sedang

Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)

Deskripsi: Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.

Tingkat keparahan: Sedang

Peningkatan versi minor otomatis RDS harus diaktifkan

Deskripsi: Kontrol ini memeriksa apakah peningkatan versi minor otomatis diaktifkan untuk instans database RDS. Mengaktifkan pemutakhiran versi minor otomatis memastikan bahwa pembaruan versi minor terbaru ke sistem manajemen basis data relasional (RDBMS) diinstal. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.

Tingkat keparahan: Tinggi

Snapshot cluster RDS dan snapshot database harus dienkripsi saat diam

Deskripsi: Kontrol ini memeriksa apakah rekam jepret RDS DB dienkripsi. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans Neptune DB, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan di disk. Data dalam snapshot RDS harus dienkripsi saat diam untuk lapisan keamanan tambahan.

Tingkat keparahan: Sedang

Kluster RDS harus mengaktifkan perlindungan penghapusan

Deskripsi: Kontrol ini memeriksa apakah kluster RDS mengaktifkan perlindungan penghapusan. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengaktifkan perlindungan penghapusan kluster adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, kluster RDS tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.

Tingkat keparahan: Rendah

Kluster RDS DB harus dikonfigurasi untuk beberapa Availability Zones

Deskripsi: Kluster RDS DB harus dikonfigurasi untuk beberapa data yang disimpan. Penyebaran ke beberapa Availability Zones memungkinkan untuk mengotomatiskan Availability Zones untuk memastikan ketersediaan failover ed jika terjadi masalah ketersediaan Zona Ketersediaan dan selama peristiwa pemeliharaan RDS reguler.

Tingkat keparahan: Sedang

Kluster DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan

Deskripsi: Identifikasi dan inventarifikasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua klaster DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan bertindak pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti cluster database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari cluster database induknya.

Tingkat keparahan: Rendah

Instans DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan

Deskripsi: Kontrol ini memeriksa apakah instans RDS DB dikonfigurasi untuk menyalin semua tag ke rekam jepret saat rekam jepret dibuat. Identifikasi dan inventarisasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan mengambil tindakan pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti instans database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.

Tingkat keparahan: Rendah

Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zones

Deskripsi: Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Instans RDS DB harus dikonfigurasi untuk beberapa Availability Zones (AZ). Ini memastikan ketersediaan data yang disimpan. Penyebaran multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler.

Tingkat keparahan: Sedang

Instans DB RDS harus mengaktifkan perlindungan penghapusan

Deskripsi: Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang tercantum mengaktifkan perlindungan penghapusan. Mengaktifkan perlindungan penghapusan instans adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.

Tingkat keparahan: Rendah

Instans DB RDS harus mengaktifkan enkripsi saat istirahat

Deskripsi: Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Untuk lapisan keamanan tambahan bagi data sensitif Anda di instans DB RDS, Anda harus mengonfigurasi instans DB RDS Anda untuk dienkripsi saat tidak digunakan. Untuk mengenkripsi instans DB RDS dan snapshot saat istirahat, aktifkan opsi enkripsi untuk instans DB RDS Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan dasar untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans DB RDS Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu mengubah aplikasi klien database Anda untuk menggunakan enkripsi. Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.

Tingkat keparahan: Sedang

Instans DB RDS harus melarang akses publik

Deskripsi: Sebaiknya Anda juga memastikan bahwa akses ke konfigurasi instans RDS Anda hanya terbatas pada pengguna yang berwenang, dengan membatasi izin IAM pengguna untuk memodifikasi pengaturan dan sumber daya instans RDS.

Tingkat keparahan: Tinggi

Cuplikan RDS harus melarang akses publik

Deskripsi: Sebaiknya hanya mengizinkan prinsipal yang berwenang untuk mengakses rekam jepret dan mengubah konfigurasi Amazon RDS.

Tingkat keparahan: Tinggi

Hapus rahasia Pengelola Rahasia yang tidak digunakan

Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diakses dalam jumlah hari tertentu. Nilai default adalah 90 hari. Jika rahasia tidak diakses dalam jumlah hari yang ditentukan, kontrol ini gagal. Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan penggunanya, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak berwenang, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Manajer Rahasia. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.

Tingkat keparahan: Sedang

Bucket S3 harus mengaktifkan replikasi lintas wilayah

Deskripsi: Mengaktifkan replikasi lintas wilayah S3 memastikan bahwa beberapa versi data tersedia di Wilayah yang berbeda. Ini memungkinkan Anda untuk melindungi bucket S3 Anda dari serangan DDoS dan kejadian korupsi data.

Tingkat keparahan: Rendah

S3 bucket harus mengaktifkan enkripsi sisi server

Deskripsi: Aktifkan enkripsi sisi server untuk melindungi data di wadah S3 Anda. Mengenkripsi data dapat mencegah akses ke data sensitif jika terjadi pelanggaran data.

Tingkat keparahan: Sedang

Rahasia Pengelola Rahasia yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

Deskripsi: Kontrol ini memeriksa apakah rahasia AWS Secrets Manager berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika RotationOccurringAsScheduled adalah false. Kontrol tidak mengevaluasi rahasia yang tidak memiliki rotasi yang dikonfigurasi. Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensial basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Pengelola Rahasia untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis. Manajer Rahasia dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.

Tingkat keparahan: Sedang

Rahasia Pengelola Rahasia harus dirotasi dalam beberapa hari tertentu

Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diputar setidaknya sekali dalam waktu 90 hari. Memutar rahasia dapat membantu Anda mengurangi risiko penggunaan rahasia yang tidak sah di akun AWS Anda. Contohnya termasuk kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasia lebih mungkin disusupi. Karena semakin banyak pengguna mendapatkan akses ke suatu rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak berwenang. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar. Anda dapat mengonfigurasi rahasia Anda untuk rotasi otomatis di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, yang secara signifikan mengurangi risiko kompromi. Pusat Keamanan menyarankan Anda mengaktifkan rotasi untuk rahasia Manajer Rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.

Tingkat keparahan: Sedang

Deskripsi: Kontrol ini memeriksa apakah topik SNS dienkripsi saat tidak aktif menggunakan AWS KMS. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu juga menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi saat tidak aktif untuk lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Notification Service.

Tingkat keparahan: Sedang

Log aliran VPC harus diaktifkan di semua VPC

Deskripsi: Log Alur VPC memberikan visibilitas ke dalam lalu lintas jaringan yang melewati VPC dan dapat digunakan untuk mendeteksi lalu lintas atau wawasan anomali selama peristiwa keamanan.

Tingkat keparahan: Sedang

Rekomendasi data GCP

Pastikan bendera database '3625 (bendera pelacakan)' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Description: Disarankan untuk mengatur bendera database "3625 (bendera pelacakan)" untuk instans Cloud SQL SQL Server ke "nonaktif." Bendera pelacakan sering digunakan untuk mendiagnosis masalah performa atau untuk men-debug prosedur tersimpan atau sistem komputer yang kompleks, tetapi mereka mungkin juga direkomendasikan oleh Microsoft Support untuk mengatasi perilaku yang berdampak negatif pada beban kerja tertentu. Semua bendera pelacakan yang didokumenkan dan yang direkomendasikan oleh Microsoft Support didukung sepenuhnya di lingkungan produksi saat digunakan sebagaimana diarahkan. "3625(trace log)" Membatasi jumlah informasi yang dikembalikan kepada pengguna yang bukan anggota peran server tetap sysadmin, dengan menutupi parameter beberapa pesan kesalahan menggunakan '******.' Ini dapat membantu mencegah pengungkapan informasi sensitif. Oleh karena itu, disarankan untuk menonaktifkan bendera ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Pastikan bendera database 'skrip eksternal diaktifkan' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Description: Disarankan untuk mengatur bendera database "skrip eksternal diaktifkan" untuk instans Cloud SQL SQL Server nonaktif. "Skrip eksternal diaktifkan" mengaktifkan eksekusi skrip dengan ekstensi bahasa jarak jauh tertentu. Properti ini NONAKTIF secara default. Saat Layanan Analitik Tingkat Lanjut diinstal, penyiapan dapat secara opsional mengatur properti ini ke true. Karena fitur "Skrip Eksternal Diaktifkan" memungkinkan skrip eksternal ke SQL seperti file yang terletak di pustaka R untuk dijalankan, yang dapat berdampak buruk pada keamanan sistem, oleh karena itu ini harus dinonaktifkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Tinggi

Pastikan bendera database 'akses jarak jauh' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Description: Disarankan untuk mengatur bendera database "akses jarak jauh" untuk instans Cloud SQL SQL Server ke "nonaktif." Opsi "akses jarak jauh" mengontrol eksekusi prosedur tersimpan dari server lokal atau jarak jauh tempat instans SQL Server berjalan. Nilai default untuk opsi ini adalah 1. Ini memberikan izin untuk menjalankan prosedur tersimpan lokal dari server jarak jauh atau prosedur tersimpan jarak jauh dari server lokal. Untuk mencegah prosedur tersimpan lokal dijalankan dari server jarak jauh atau prosedur tersimpan jarak jauh agar tidak dijalankan di server lokal, ini harus dinonaktifkan. Opsi Akses Jarak Jauh mengontrol eksekusi prosedur tersimpan lokal di server jarak jauh atau prosedur tersimpan jarak jauh di server lokal. Fungsionalitas 'Akses jarak jauh' dapat disalahgunakan untuk meluncurkan serangan Denial-of-Service (DoS) pada server jarak jauh dengan menghentikan pemuatan pemrosesan kueri ke target, oleh karena itu ini harus dinonaktifkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Tinggi

Pastikan bendera database 'skip_show_database' untuk instans Cloud SQL Mysql diatur ke 'aktif'

Deskripsi: Disarankan untuk mengatur bendera database "skip_show_database" untuk instans Cloud SQL Mysql ke "aktif." Bendera database 'skip_show_database' mencegah orang menggunakan pernyataan SHOW DATABASES jika mereka tidak memiliki hak istimewa SHOW DATABASES. Ini dapat meningkatkan keamanan jika Anda memiliki kekhawatiran tentang pengguna yang dapat melihat database milik pengguna lain. Efeknya tergantung pada hak istimewa SHOW DATABASES: Jika nilai variabel AKTIF, pernyataan SHOW DATABASES hanya diizinkan untuk pengguna yang memiliki hak istimewa SHOW DATABASES, dan pernyataan menampilkan semua nama database. Jika nilai NONAKTIF, SHOW DATABASEs diizinkan untuk semua pengguna, tetapi hanya menampilkan nama database yang penggunanya memiliki SHOW DATABASES atau hak istimewa lainnya. Rekomendasi ini berlaku untuk instans database Mysql.

Tingkat keparahan: Rendah

Pastikan bahwa kunci enkripsi default yang dikelola Pelanggan (CMEK) ditentukan untuk semua Himpunan Data BigQuery

Deskripsi: BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Data dienkripsi menggunakan kunci enkripsi data dan kunci enkripsi data itu sendiri dienkripsi lebih lanjut menggunakan kunci enkripsi kunci. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Namun, jika Anda ingin memiliki kontrol yang lebih besar, Kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Untuk kontrol yang lebih besar atas enkripsi, kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. Mengatur kunci enkripsi default yang dikelola Pelanggan (CMEK) untuk himpunan data memastikan tabel apa pun yang dibuat di masa mendatang akan menggunakan CMEK yang ditentukan jika tidak ada yang lain yang disediakan.

Google tidak menyimpan kunci Anda di servernya dan tidak dapat mengakses data yang dilindungi kecuali Anda memberikan kuncinya.

Ini juga berarti bahwa jika Anda lupa atau kehilangan kunci Anda, tidak ada cara bagi Google untuk memulihkan kunci atau memulihkan data apa pun yang dienkripsi dengan kunci yang hilang.

Tingkat keparahan: Sedang

Pastikan bahwa semua Tabel BigQuery dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK)

Deskripsi: BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Data dienkripsi menggunakan kunci enkripsi data dan kunci enkripsi data itu sendiri dienkripsi lebih lanjut menggunakan kunci enkripsi kunci. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Namun, jika Anda ingin memiliki kontrol yang lebih besar, Kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk BigQuery Data Sets. Jika CMEK digunakan, CMEK digunakan untuk mengenkripsi kunci enkripsi data alih-alih menggunakan kunci enkripsi yang dikelola google. BigQuery secara default mengenkripsi data sebagai tidak aktif dengan menggunakan Enkripsi Amplop menggunakan kunci kriptografi yang dikelola Google. Ini mulus dan tidak memerlukan input tambahan dari pengguna. Untuk kontrol yang lebih besar atas enkripsi, kunci enkripsi yang dikelola pelanggan (CMEK) dapat digunakan sebagai solusi manajemen kunci enkripsi untuk tabel BigQuery. CMEK digunakan untuk mengenkripsi kunci enkripsi data alih-alih menggunakan kunci enkripsi yang dikelola google. BigQuery menyimpan tabel dan asosiasi CMEK dan enkripsi/dekripsi dilakukan secara otomatis. Menerapkan kunci default yang dikelola Pelanggan pada himpunan data BigQuery memastikan bahwa semua tabel baru yang dibuat di masa mendatang akan dienkripsi menggunakan CMEK tetapi tabel yang ada perlu diperbarui untuk menggunakan CMEK satu per satu.

Google tidak menyimpan kunci Anda di servernya dan tidak dapat mengakses data yang dilindungi kecuali Anda memberikan kuncinya. Ini juga berarti bahwa jika Anda lupa atau kehilangan kunci Anda, tidak ada cara bagi Google untuk memulihkan kunci atau memulihkan data apa pun yang dienkripsi dengan kunci yang hilang.

Tingkat keparahan: Sedang

Pastikan himpunan data BigQuery tidak dapat diakses secara anonim atau dapat diakses publik

Deskripsi: Disarankan agar kebijakan IAM pada himpunan data BigQuery tidak mengizinkan akses anonim dan/atau publik. Memberikan izin kepada allUsers atau allAuthenticatedUsers memungkinkan siapa pun untuk mengakses himpunan data. Akses tersebut mungkin tidak diinginkan jika data sensitif disimpan dalam himpunan data. Oleh karena itu, pastikan akses anonim dan/atau publik ke himpunan data tidak diizinkan.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL dikonfigurasi dengan cadangan otomatis

Deskripsi: Disarankan agar semua instans database SQL diatur untuk mengaktifkan pencadangan otomatis. Cadangan menyediakan cara untuk memulihkan instans Cloud SQL untuk memulihkan data yang hilang atau memulihkan dari masalah dengan instans tersebut. Pencadangan otomatis perlu diatur untuk instans apa pun yang berisi data yang harus dilindungi dari kehilangan atau kerusakan. Rekomendasi ini berlaku untuk instans SQL Server, PostgreSql, MySql generasi 1, dan MySql generasi 2.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL tidak dibuka untuk dunia

Deskripsi: Server Database harus menerima koneksi hanya dari Jaringan/IP tepercaya dan membatasi akses dari dunia. Untuk meminimalkan permukaan serangan pada instans server Database, hanya IP tepercaya/diketahui dan diperlukan yang harus disetujui untuk menyambungkannya. Jaringan resmi tidak boleh memiliki IP/jaringan yang dikonfigurasi ke 0.0.0.0/0, yang akan memungkinkan akses ke instans dari mana saja di dunia. Perhatikan bahwa jaringan resmi hanya berlaku untuk instans dengan IP publik.

Tingkat keparahan: Tinggi

Pastikan instans database Cloud SQL tidak memiliki IP publik

Deskripsi: Disarankan untuk mengonfigurasi instans Sql Generasi Kedua untuk menggunakan IP privat alih-alih IP publik. Untuk menurunkan permukaan serangan organisasi, database Cloud SQL tidak boleh memiliki IP publik. IP privat menyediakan keamanan jaringan yang ditingkatkan dan latensi yang lebih rendah untuk aplikasi Anda.

Tingkat keparahan: Tinggi

Pastikan wadah Cloud Storage tidak dapat diakses secara anonim atau publik

Deskripsi: Disarankan agar kebijakan IAM pada wadah Cloud Storage tidak mengizinkan akses anonim atau publik. Mengizinkan akses anonim atau publik memberikan izin kepada siapa pun untuk mengakses konten wadah. Akses tersebut mungkin tidak diinginkan jika Anda menyimpan data sensitif apa pun. Oleh karena itu, pastikan bahwa akses anonim atau publik ke wadah tidak diizinkan.

Tingkat keparahan: Tinggi

Pastikan wadah Cloud Storage mengaktifkan akses tingkat bucket yang seragam

Deskripsi: Disarankan agar akses tingkat wadah seragam diaktifkan pada wadah Cloud Storage. Disarankan untuk menggunakan akses tingkat bucket seragam untuk menyatukan dan menyederhanakan cara Anda memberikan akses ke sumber daya Cloud Storage Anda. Cloud Storage menawarkan dua sistem untuk memberikan izin kepada pengguna untuk mengakses wadah dan objek Anda: Cloud Identity and Access Management (Cloud IAM) dan Access Control Lists (ACL).
Sistem ini bertindak secara paralel - agar pengguna dapat mengakses sumber daya Cloud Storage, hanya salah satu sistem yang perlu memberikan izin pengguna. Cloud IAM digunakan di seluruh Google Cloud dan memungkinkan Anda memberikan berbagai izin di tingkat wadah dan proyek. ACL hanya digunakan oleh Cloud Storage dan memiliki opsi izin terbatas, tetapi memungkinkan Anda untuk memberikan izin per objek.

Untuk mendukung sistem izin seragam, Cloud Storage memiliki akses tingkat wadah yang seragam. Menggunakan fitur ini menonaktifkan ACL untuk semua sumber daya Cloud Storage: akses ke sumber daya Cloud Storage kemudian diberikan secara eksklusif melalui Cloud IAM. Mengaktifkan akses tingkat wadah seragam menjamin bahwa jika wadah Penyimpanan tidak dapat diakses secara publik, tidak ada objek di wadah yang dapat diakses secara publik.

Tingkat keparahan: Sedang

Pastikan instans Komputasi mengaktifkan Komputasi Rahasia

Deskripsi: Google Cloud mengenkripsi data tidak aktif dan dalam transit, tetapi data pelanggan harus didekripsi untuk diproses. Komputasi Rahasia adalah teknologi terobosan yang mengenkripsi data yang sedang digunakan saat sedang diproses. Lingkungan Komputasi Rahasia menjaga data tetap dienkripsi dalam memori dan di tempat lain di luar unit pemrosesan pusat (CPU). VM Rahasia memanfaatkan fitur Secure Encrypted Virtualization (SEV) dari CPU AMD EPYC. Data pelanggan akan tetap dienkripsi saat digunakan, diindeks, dikueri, atau dilatih. Kunci enkripsi dihasilkan dalam perangkat keras, per VM, dan tidak dapat diekspor. Berkat pengoptimalan perangkat keras bawaan dari performa dan keamanan, tidak ada penalti performa yang signifikan untuk beban kerja Komputasi Rahasia. Komputasi Rahasia memungkinkan kode sensitif pelanggan dan data lain yang dienkripsi dalam memori selama pemrosesan. Google tidak memiliki akses ke kunci enkripsi. VM rahasia dapat membantu meringankan kekhawatiran tentang risiko yang terkait dengan dependensi pada infrastruktur Google atau akses orang dalam Google ke data pelanggan dengan jelas.

Tingkat keparahan: Tinggi

Pastikan bahwa kebijakan retensi pada wadah log dikonfigurasi menggunakan Bucket Lock

Deskripsi: Mengaktifkan kebijakan penyimpanan pada wadah log akan melindungi log yang disimpan dalam wadah penyimpanan cloud agar tidak ditimpa atau dihapus secara tidak sengaja. Disarankan untuk menyiapkan kebijakan retensi dan mengonfigurasi Bucket Lock pada semua wadah penyimpanan yang digunakan sebagai sink log. Log dapat diekspor dengan membuat satu atau beberapa sink yang menyertakan filter log dan tujuan. Karena Pengelogan Stackdriver menerima entri log baru, mereka dibandingkan dengan setiap sink. Jika entri log cocok dengan filter sink, salinan entri log ditulis ke tujuan. Sink dapat dikonfigurasi untuk mengekspor log dalam wadah penyimpanan. Disarankan untuk mengonfigurasi kebijakan retensi data untuk wadah penyimpanan cloud ini dan untuk mengunci kebijakan penyimpanan data; sehingga secara permanen mencegah kebijakan dikurangi atau dihapus. Dengan cara ini, jika sistem pernah disusupi oleh penyerang atau orang dalam berbahaya yang ingin menutupi jejak mereka, log aktivitas pasti dipertahankan untuk penyelidikan forensik dan keamanan.

Tingkat keparahan: Rendah

Pastikan instans database Cloud SQL mengharuskan semua koneksi masuk untuk menggunakan SSL

Deskripsi: Disarankan untuk memberlakukan semua koneksi masuk ke instans database SQL untuk menggunakan SSL. Koneksi database SQL jika berhasil terperangkap (MITM); dapat mengungkapkan data sensitif seperti kredensial, kueri database, output kueri, dll. Untuk keamanan, disarankan untuk selalu menggunakan enkripsi SSL saat menyambungkan ke instans Anda. Rekomendasi ini berlaku untuk instans Postgresql, MySql generasi 1, dan MySql generasi 2.

Tingkat keparahan: Tinggi

Pastikan bahwa bendera database 'autentikasi database mandiri' untuk Cloud SQL pada instans SQL Server diatur ke 'nonaktif'

Description: Disarankan untuk mengatur bendera database "autentikasi database terkandung" untuk Cloud SQL pada instans SQL Server diatur ke "nonaktif." Database yang terkandung mencakup semua pengaturan database dan metadata yang diperlukan untuk menentukan database dan tidak memiliki dependensi konfigurasi pada instans Database Engine tempat database diinstal. Pengguna dapat tersambung ke database tanpa mengautentikasi login di tingkat Database Engine. Mengisolasi database dari Database Engine memungkinkan untuk dengan mudah memindahkan database ke instans SQL Server lain. Database yang terkandung memiliki beberapa ancaman unik yang harus dipahami dan dimitigasi oleh administrator Mesin Database SQL Server. Sebagian besar ancaman terkait dengan proses autentikasi USER WITH PASSWORD, yang memindahkan batas autentikasi dari tingkat Database Engine ke tingkat database, oleh karena itu disarankan untuk menonaktifkan bendera ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Pastikan bahwa bendera database 'rantai kepemilikan silang db' untuk instans Cloud SQL SQL Server diatur ke 'nonaktif'

Description: Disarankan untuk mengatur bendera database "rantai kepemilikan silang db" untuk instans SQL Server Cloud SQL ke "off." Gunakan "kepemilikan lintas db" untuk opsi penautan untuk mengonfigurasi rantai kepemilikan lintas database untuk instans Microsoft SQL Server. Opsi server ini memungkinkan Anda mengontrol rantai kepemilikan lintas database di tingkat database atau untuk memungkinkan rantai kepemilikan lintas database untuk semua database. Mengaktifkan "kepemilikan lintas db" tidak disarankan kecuali semua database yang dihosting oleh instans SQL Server harus berpartisipasi dalam rantai kepemilikan lintas database dan Anda menyadari implikasi keamanan dari pengaturan ini. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Sedang

Memastikan bahwa tanda database 'local_infile' untuk instans Cloud SQL Mysql diatur ke 'nonaktif'

Deskripsi: Disarankan untuk mengatur bendera database local_infile untuk instans Cloud SQL MySQL ke nonaktif. Bendera local_infile mengontrol kemampuan LOKAL sisi server untuk pernyataan LOAD DATA. Bergantung pada pengaturan local_infile, server menolak atau mengizinkan pemuatan data lokal oleh klien yang mengaktifkan LOKAL di sisi klien. Untuk secara eksplisit menyebabkan server menolak pernyataan LOAD DATA LOCAL (terlepas dari bagaimana program dan pustaka klien dikonfigurasi pada waktu build atau runtime), mulailah mysqld dengan local_infile dinonaktifkan. local_infile juga dapat diatur pada runtime. Karena masalah keamanan yang terkait dengan bendera local_infile, disarankan untuk menonaktifkannya. Rekomendasi ini berlaku untuk instans database MySQL.

Tingkat keparahan: Sedang

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan izin IAM Cloud Storage

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan IAM Wadah Penyimpanan Cloud. Memantau perubahan pada izin wadah penyimpanan cloud dapat mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki izin pada wadah dan objek penyimpanan cloud sensitif di dalam wadah.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan konfigurasi instans SQL

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan konfigurasi instans SQL. Memantau perubahan konfigurasi instans SQL dapat mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki kesalahan konfigurasi yang dilakukan di server SQL. Di bawah ini adalah beberapa opsi yang dapat dikonfigurasi yang mungkin berdampak pada postur keamanan instans SQL:

Mengaktifkan pencadangan otomatis dan ketersediaan tinggi: Kesalahan konfigurasi mungkin berdampak buruk pada kelangsungan bisnis, pemulihan bencana, dan ketersediaan tinggi
Mengotorisasi jaringan: Kesalahan konfigurasi dapat meningkatkan paparan ke jaringan yang tidak tepercaya

Tingkat keparahan: Rendah

Pastikan hanya ada kunci akun layanan yang dikelola GCP untuk setiap akun layanan

Deskripsi: Akun layanan terkelola pengguna tidak boleh memiliki kunci yang dikelola pengguna. Siapa pun yang memiliki akses ke kunci akan dapat mengakses sumber daya melalui akun layanan. Kunci yang dikelola GCP digunakan oleh layanan Platform Cloud seperti App Engine dan Compute Engine. Kunci ini tidak dapat diunduh. Google akan menyimpan kunci dan memutarnya secara otomatis setiap minggu. Kunci yang dikelola pengguna dibuat, diunduh, dan dikelola oleh pengguna. Mereka kedaluwarsa 10 tahun dari pembuatan. Untuk kunci yang dikelola pengguna, pengguna harus mengambil kepemilikan aktivitas manajemen kunci, yang meliputi:

Penyimpanan kunci
Distribusi kunci
Pencabutan kunci
Rotasi kunci
Perlindungan kunci dari pengguna yang tidak sah
Pemulihan kunci

Bahkan dengan tindakan pencegahan pemilik kunci, kunci dapat dengan mudah dibocorkan oleh praktik pengembangan umum yang kurang optimal seperti memeriksa kunci ke dalam kode sumber atau meninggalkannya di direktori Unduhan, atau secara tidak sengaja meninggalkannya di blog/saluran dukungan. Disarankan untuk mencegah kunci akun layanan yang dikelola pengguna.

Tingkat keparahan: Rendah

Pastikan bendera database 'koneksi pengguna' untuk instans cloud SQL SQL Server diatur sebagaimana mewajarkan

Description: Disarankan untuk mengatur bendera database "koneksi pengguna" untuk instans SQL Server Cloud SQL sesuai dengan nilai yang ditentukan organisasi. Opsi "koneksi pengguna" menentukan jumlah maksimum koneksi pengguna simultan yang diizinkan pada instans SQL Server. Jumlah aktual koneksi pengguna yang diizinkan juga tergantung pada versi SQL Server yang Anda gunakan, dan juga batas aplikasi atau aplikasi dan perangkat keras Anda. SQL Server memungkinkan maksimum 32.767 koneksi pengguna. Karena koneksi pengguna adalah opsi dinamis (mengonfigurasi sendiri), SQL Server menyesuaikan jumlah maksimum koneksi pengguna secara otomatis sesuai kebutuhan, hingga nilai maksimum yang diizinkan. Misalnya, jika hanya 10 pengguna yang masuk, 10 objek koneksi pengguna dialokasikan. Dalam kebanyakan kasus, Anda tidak perlu mengubah nilai untuk opsi ini. Defaultnya adalah 0, yang berarti bahwa koneksi pengguna maksimum (32.767) diizinkan. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Rendah

Pastikan bendera database 'opsi pengguna' untuk instans Cloud SQL SQL Server tidak dikonfigurasi

Description: Sebaiknya, bendera database "opsi pengguna" untuk instans Cloud SQL SQL Server tidak boleh dikonfigurasi. Opsi "opsi pengguna" menentukan default global untuk semua pengguna. Daftar opsi pemrosesan kueri default dibuat selama durasi sesi kerja pengguna. Pengaturan opsi pengguna memungkinkan Anda mengubah nilai default opsi SET (jika pengaturan default server tidak sesuai). Pengguna dapat mengambil alih default ini dengan menggunakan pernyataan SET. Anda dapat mengonfigurasi opsi pengguna secara dinamis untuk login baru. Setelah Anda mengubah pengaturan opsi pengguna, sesi masuk baru menggunakan pengaturan baru; Sesi masuk saat ini tidak terpengaruh. Rekomendasi ini berlaku untuk instans database SQL Server.

Tingkat keparahan: Rendah

Pengelogan untuk kluster GKE harus diaktifkan

Deskripsi: Rekomendasi ini mengevaluasi apakah properti loggingService dari kluster berisi lokasi yang harus digunakan Cloud Logging untuk menulis log.

Tingkat keparahan: Tinggi

Penerapan versi objek harus diaktifkan pada wadah penyimpanan tempat sink dikonfigurasi

Deskripsi: Rekomendasi ini mengevaluasi apakah bidang yang diaktifkan di properti penerapan versi wadah diatur ke true.

Tingkat keparahan: Tinggi

Identitas yang disediakan berlebihan dalam proyek harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)

Deskripsi: Identitas yang disediakan berlebihan dalam proyek harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.

Tingkat keparahan: Sedang

Proyek yang memiliki kunci kriptografi seharusnya tidak memiliki pengguna dengan izin Pemilik

Deskripsi: Rekomendasi ini mengevaluasi kebijakan izinkan IAM dalam metadata proyek untuk prinsipal yang diberi peran/Pemilik.

Tingkat keparahan: Sedang

Wadah penyimpanan yang digunakan sebagai sink log tidak boleh dapat diakses publik

Deskripsi: Rekomendasi ini mengevaluasi kebijakan IAM wadah untuk allUsers utama atau allAuthenticatedUsers, yang memberikan akses publik.

Tingkat keparahan: Tinggi

Pencadangan geo-redundan harus diaktifkan untuk Server PostgreSQL

Deskripsi:
Apa itu cadangan geo-redundan? Cadangan geo-redundan mereplikasi cadangan server ke wilayah Azure yang dipasangkan, memberikan ketahanan terhadap kegagalan regional.

Mengapa masalah keamanan? Jika cadangan geo-redundan dinonaktifkan, pemadaman regional dapat mengakibatkan kehilangan data dan waktu henti yang diperpanjang, memengaruhi ketersediaan dan kepatuhan.

Bagaimana penyerang dapat mengeksploitasinya atau bagaimana hal itu dapat menyebabkan pelanggaran data? Meskipun tidak dapat dieksploitasi secara langsung, kurangnya geo-redundansi meningkatkan dampak bencana atau serangan yang ditargetkan pada satu wilayah.

Tingkat keparahan: Rendah

require_secure_transport harus diatur ke on untuk server Azure Database for PostgreSQL

Deskripsi:
Apa itu require_secure_transport? require_secure_transport adalah parameter tingkat server yang memberlakukan penggunaan SSL/TLS untuk semua koneksi klien ke PostgreSQL. Ketika diatur ke aktif, klien harus terhubung menggunakan saluran terenkripsi.

Mengapa masalah keamanan? Jika pengaturan ini dinonaktifkan (nonaktif), klien dapat terhubung melalui saluran yang tidak terenkripsi, mengekspos data sensitif seperti kredensial, kueri, dan hasil ke intersepsi atau manipulasi.

Bagaimana penyerang dapat mengeksploitasinya atau bagaimana hal itu dapat menyebabkan pelanggaran data? Penyerang di jaringan dapat melakukan serangan man-in-the-middle, mencegat atau mengubah data yang dipertukarkan antara klien dan server jika enkripsi tidak diberlakukan.

Tingkat keparahan: Tinggi

Titik akhir privat harus dikonfigurasi untuk Server Azure Database for PostgreSQL

Deskripsi:

Apa itu titik akhir privat? Titik akhir privat di Azure memungkinkan sumber daya diakses dengan aman melalui alamat IP privat dalam jaringan virtual. Untuk server Azure Database for PostgreSQL, mengonfigurasi titik akhir privat memastikan bahwa lalu lintas database tidak melintasi internet publik.

Mengapa masalah keamanan? Tanpa titik akhir privat, server dapat diekspos ke akses jaringan publik, meningkatkan risiko akses tidak sah, intersepsi data, dan serangan penolakan layanan.

Bagaimana penyerang dapat mengeksploitasinya atau bagaimana hal itu dapat menyebabkan pelanggaran data? Penyerang dapat memindai rentang IP publik untuk menemukan server yang terekspos dan mencoba serangan brute-force atau berbasis eksploitasi. Paparan publik juga meningkatkan risiko eksfiltrasi data melalui klien yang disusupi.

Tingkat keparahan: Tinggi

'Izinkan akses ke layanan Azure' harus dinonaktifkan untuk Server PostgreSQL

Deskripsi:

Apa itu 'Izinkan akses ke layanan Azure'? Pengaturan ini membuat aturan firewall yang mengizinkan semua layanan Azure tersambung ke server PostgreSQL. Meskipun nyaman, ini menimbulkan risiko signifikan dengan memungkinkan koneksi dari langganan Azure apa pun.

Mengapa masalah keamanan? Mengaktifkan pengaturan ini melewati kontrol isolasi jaringan, berpotensi mengekspos database ke akses tidak sah dari penyewa Azure eksternal.

Bagaimana penyerang dapat mengeksploitasinya atau bagaimana hal itu dapat menyebabkan pelanggaran data? Penyerang yang beroperasi dari langganan Azure lain dapat mencoba serangan brute-force atau mengeksploitasi kerentanan jika aturan ini diaktifkan.

Tingkat keparahan: Tinggi

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2026-04-20