Rekomendasi keamanan jaringan

Artikel
07/08/2024

Artikel ini mencantumkan semua rekomendasi keamanan jaringan yang mungkin Anda lihat di Microsoft Defender untuk Cloud.

Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan.

Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.

Tip

Jika deskripsi rekomendasi mengatakan Tidak ada kebijakan terkait, biasanya itu karena rekomendasi tersebut tergantung pada rekomendasi yang berbeda.

Misalnya, rekomendasi Kegagalan kesehatan perlindungan titik akhir harus diperbaiki bergantung pada rekomendasi yang memeriksa apakah solusi perlindungan titik akhir diinstal (Solusi perlindungan titik akhir harus diinstal). Rekomendasi yang mendasarinya memang memiliki kebijakan. Membatasi kebijakan hanya untuk rekomendasi dasar yang menyederhanakan manajemen kebijakan.

Rekomendasi jaringan Azure

Akses ke akun penyimpanan dengan konfigurasi firewall dan jaringan virtual harus dibatasi

Deskripsi: Tinjau pengaturan akses jaringan di pengaturan firewall akun penyimpanan Anda. Sebaiknya konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk memperbolehkan koneksi dari klien internet atau lokal tertentu, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau rentang alamat IP internet publik. (Kebijakan terkait: Akun penyimpanan harus membatasi akses jaringan).

Tingkat keparahan: Rendah

Rekomendasi penguatan jaringan adaptif harus diterapkan di komputer virtual yang memiliki akses internet

Deskripsi: Defender untuk Cloud telah menganalisis pola komunikasi lalu lintas internet dari komputer virtual yang tercantum di bawah ini, dan menentukan bahwa aturan yang ada dalam NSG yang terkait dengannya terlalu permisif, yang mengakibatkan peningkatan potensi permukaan serangan. Ini biasanya terjadi ketika alamat IP ini tidak berkomunikasi secara teratur dengan sumber daya ini. Atau, alamat IP telah ditandai sebagai berbahaya oleh sumber intelijen ancaman Defender untuk Cloud. Pelajari selengkapnya di Meningkatkan postur keamanan jaringan Anda dengan penguatan jaringan adaptif. (Kebijakan terkait: Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet).

Tingkat keparahan: Tinggi

Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda

Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk kelompok keamanan jaringan Anda menjadi terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. (Kebijakan terkait: Semua port jaringan harus dibatasi pada kelompok keamanan jaringan yang terkait dengan komputer virtual Anda).

Tingkat keparahan: Tinggi

Standar Azure DDoS Protection harus diaktifkan

Deskripsi: Defender untuk Cloud telah menemukan jaringan virtual dengan sumber daya Application Gateway yang tidak dilindungi oleh layanan perlindungan DDoS. Sumber daya ini berisi IP publik. Aktifkan mitigasi serangan volumetrik dan protokol jaringan. (Kebijakan terkait: Azure DDoS Protection Standard harus diaktifkan).

Tingkat keparahan: Sedang

Komputer virtual yang memiliki akses internet harus dilindungi dengan kelompok keamanan jaringan

Deskripsi: Lindungi VM Anda dari potensi ancaman dengan membatasi akses ke VM tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik di dalam ataupun di luar subnet yang sama. Untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet. VM dengan tingkat keparahan 'Tinggi' adalah VM yang terhubung ke internet. (Kebijakan terkait: Komputer virtual yang terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan).

Tingkat keparahan: Tinggi

Penerusan IP pada komputer virtual Anda harus dinonaktifkan

Deskripsi: Defender untuk Cloud telah menemukan bahwa penerusan IP diaktifkan di beberapa komputer virtual Anda. Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. (Kebijakan terkait: Penerusan IP pada komputer virtual Anda harus dinonaktifkan).

Tingkat keparahan: Sedang

Mesin harus menutup port yang mungkin mengekspos vektor serangan

Deskripsi: Ketentuan penggunaan Azure melarang penggunaan layanan Azure dengan cara yang dapat merusak, menonaktifkan, membebani, atau mengganggu server Microsoft atau jaringan apa pun. Rekomendasi ini mencantumkan port-port terbuka yang perlu ditutup demi keamanan berkelanjutan Anda. Rekomendasi ini juga menggambarkan potensi ancaman terhadap setiap port. (Tidak ada kebijakan terkait)

Tingkat keparahan: Tinggi

Port pengelolaan komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time

Deskripsi: Defender untuk Cloud telah mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di Grup Keamanan Jaringan Anda. Aktifkan kontrol akses just-in-time untuk melindungi VM Anda dari serangan brute force berbasis internet. Pelajari selengkapnya di Memahami akses Mesin Virtual just-in-time (JIT). (Kebijakan terkait: Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time).

Tingkat keparahan: Tinggi

Port pengelolaan harus ditutup di komputer virtual Anda

Deskripsi: Buka port manajemen jarak jauh mengekspos VM Anda ke tingkat risiko tinggi dari serangan berbasis Internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. (Kebijakan terkait: Port manajemen harus ditutup pada komputer virtual Anda).

Tingkat keparahan: Sedang

Komputer virtual yang tidak memiliki akses Internet harus dilindungi dengan kelompok keamanan jaringan

Deskripsi: Lindungi komputer virtual anda yang tidak terhubung ke internet dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke VM Anda dari instans lain, baik jika berada di subnet yang sama atau tidak. Perlu diketahui bahwa untuk menjaga komputer Anda seaman mungkin, akses VM ke internet harus dibatasi dan NSG harus diaktifkan pada subnet. (Kebijakan terkait: Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan kelompok keamanan jaringan).

Tingkat keparahan: Rendah

Transfer aman ke akun penyimpanan harus diaktifkan

Deskripsi: Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, penyadapan, dan pembajakan sesi. (Kebijakan terkait: Transfer aman ke akun penyimpanan harus diaktifkan).

Tingkat keparahan: Tinggi

Subnet harus dikaitkan dengan grup keamanan jaringan

Deskripsi: Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke subnet tersebut dengan kelompok keamanan jaringan (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua instans VM dan layanan terintegrasi di subnet tersebut. Namun, aturan tersebut tidak berlaku untuk lalu lintas internal di dalam subnet. Untuk mengamankan sumber daya dalam satu subnet dari serangan sesamanya, aktifkan juga NSG langsung pada sumber daya. Perhatikan bahwa jenis subnet berikut akan dicantumkan sebagai tidak berlaku: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Kebijakan terkait: Subnet harus dikaitkan dengan Kelompok Keamanan Jaringan).

Tingkat keparahan: Rendah

Jaringan virtual harus dilindungi oleh Azure Firewall

Deskripsi: Beberapa jaringan virtual Anda tidak dilindungi dengan firewall. Gunakan Azure Firewall untuk membatasi akses ke jaringan virtual Anda dan mencegah potensi ancaman. (Kebijakan terkait: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan).

Rekomendasi jaringan AWS

Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC

Deskripsi: Kontrol ini memeriksa apakah titik akhir layanan untuk Amazon EC2 dibuat untuk setiap VPC. Kontrol gagal jika VPC tidak memiliki titik akhir VPC yang dibuat untuk layanan Amazon EC2. Untuk meningkatkan postur keamanan VPC Anda, Anda dapat mengonfigurasi Amazon EC2 untuk menggunakan titik akhir VPC antarmuka. Titik akhir antarmuka didukung oleh AWS PrivateLink, sebuah teknologi yang memungkinkan Anda mengakses operasi API Amazon EC2 secara pribadi. Ini membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon EC2 ke jaringan Amazon. Karena titik akhir hanya didukung dalam Wilayah yang sama, Anda tidak dapat membuat titik akhir antara VPC dan layanan di Wilayah yang berbeda. Ini mencegah panggilan API Amazon EC2 yang tidak diinginkan ke Wilayah lain. Untuk mempelajari lebih lanjut tentang membuat titik akhir VPC untuk Amazon EC2, lihat Amazon EC2 dan antarmuka VPC titik akhir di Panduan Pengguna Amazon EC2 untuk Mesin Virtual Linux.

Tingkat keparahan: Sedang

Layanan Amazon ECS tidak boleh memiliki alamat IP publik yang ditetapkan secara otomatis

Deskripsi: Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Amazon ECS dengan alamat IP publik, maka instans Amazon ECS Anda dapat dijangkau dari internet. Layanan Amazon ECS tidak boleh dapat diakses publik, karena ini mungkin memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.

Tingkat keparahan: Tinggi

Node master cluster Amazon EMR tidak boleh memiliki alamat IP publik

Deskripsi: Kontrol ini memeriksa apakah simpul master pada kluster Amazon EMR memiliki alamat IP publik. Kontrol gagal jika master node memiliki alamat IP publik yang terkait dengan salah satu contoh. Alamat IP publik ditetapkan di bidang PublicIp dari konfigurasi NetworkInterfaces untuk instance. Kontrol ini hanya memeriksa kluster Amazon EMR yang dalam status MENJALANKAN atau MENUNGGU.

Tingkat keparahan: Tinggi

Kluster Amazon Redshift harus menggunakan perutean VPC yang disempurnakan

Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan EnhancedVpcRouting. Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melalui VPC Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan Log Aliran VPC untuk memantau lalu lintas jaringan.

Tingkat keparahan: Tinggi

Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS

Deskripsi: Untuk menerapkan enkripsi saat transit, Anda harus menggunakan tindakan pengalihan dengan Application Load Balancer untuk mengalihkan permintaan HTTP klien ke permintaan HTTPS pada port 443.

Tingkat keparahan: Sedang

Penyeimbang beban aplikasi harus dikonfigurasi untuk menghapus header HTTP

Deskripsi: Kontrol ini mengevaluasi AWS Application Load Balancers (ALB) untuk memastikan mereka dikonfigurasi untuk menghilangkan header HTTP yang tidak valid. Kontrol gagal jika nilai routing.http.drop_invalid_header_fields.enabled disetel ke false. Secara default, ALB tidak dikonfigurasi untuk menghilangkan nilai header HTTP yang tidak valid. Menghapus nilai header ini mencegah serangan desinkronisasi HTTP.

Tingkat keparahan: Sedang

Mengonfigurasi fungsi Lambda ke VPC

Deskripsi: Kontrol ini memeriksa apakah fungsi Lambda berada di VPC. Ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik. Perhatikan bahwa jika Lambda@Edge ditemukan di akun, maka kontrol ini menghasilkan temuan yang gagal. Untuk mencegah temuan ini, Anda dapat menonaktifkan kontrol ini.

Tingkat keparahan: Rendah

Instans EC2 tidak boleh memiliki alamat IP publik

Deskripsi: Kontrol ini memeriksa apakah instans EC2 memiliki alamat IP publik. Kontrol gagal jika bidang "publicIp" ada di item konfigurasi instans EC2. Kontrol ini hanya berlaku untuk alamat IPv4. Alamat IPv4 publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans dengan alamat IP publik, instans EC2 Anda dapat dijangkau dari internet. Alamat IPv4 privat adalah alamat IP yang tidak dapat dijangkau dari internet. Anda dapat menggunakan alamat IPv4 pribadi untuk komunikasi antara instans EC2 di VPC yang sama atau di jaringan pribadi Anda yang terhubung. Alamat IPv6 unik secara global, dan karenanya dapat dijangkau dari internet. Namun, secara default semua subnet memiliki atribut pengalamatan IPv6 yang disetel ke false. Untuk informasi selengkapnya tentang IPv6, lihat Pengalamatan IP di VPC Anda di Panduan Pengguna Amazon VPC. Jika Anda memiliki kasus penggunaan yang sah untuk mempertahankan instans EC2 dengan alamat IP publik, maka Anda dapat menyembunyikan temuan dari kontrol ini. Untuk informasi selengkapnya tentang opsi arsitektur front-end, lihat Blog Arsitektur AWS atau seri Arsitektur Ini Saya.

Tingkat keparahan: Tinggi

Instans EC2 tidak boleh menggunakan banyak ENI

Deskripsi: Kontrol ini memeriksa apakah instans EC2 menggunakan beberapa Elastic Network Interfaces (ENIs) atau Elastic Fabric Adapters (EFAs). Kontrol ini melewati jika adaptor jaringan tunggal digunakan. Kontrol menyertakan daftar parameter opsional untuk mengidentifikasi ENI yang diizinkan. Beberapa ENI dapat menyebabkan instans dual-home, artinya instans yang memiliki banyak subnet. Ini dapat menambah kompleksitas keamanan jaringan dan memperkenalkan jalur dan akses jaringan yang tidak diinginkan.

Tingkat keparahan: Rendah

Instans EC2 harus menggunakan IMDSv2

Deskripsi: Kontrol ini memeriksa apakah versi metadata instans EC2 Anda dikonfigurasi dengan Instance Metadata Service Versi 2 (IMDSv2). Kontrol lolos jika "HttpTokens" diatur ke "wajib" untuk IMDSv2. Kontrol gagal jika "HttpTokens" diatur ke "opsional". Anda menggunakan metadata instance untuk mengonfigurasi atau mengelola instance yang sedang berjalan. IMDS menyediakan akses ke kredensial sementara yang sering diputar. Kredensial ini menghilangkan kebutuhan untuk melakukan hard code atau mendistribusikan kredensial sensitif ke instans secara manual atau terprogram. IMDS dilampirkan secara lokal ke setiap instans EC2. Ini berjalan pada alamat IP 'link lokal' khusus 169.254.169.254. Alamat IP ini hanya dapat diakses oleh perangkat lunak yang berjalan pada instans. Versi 2 dari IMDS menambahkan perlindungan baru untuk jenis kerentanan berikut. Kerentanan ini dapat digunakan untuk mencoba mengakses IMDS.

Buka firewall aplikasi situs web
Buka proksi terbalik
Kerentanan pemalsuan permintaan sisi server (SSRF)
Firewall Open Layer 3 dan Network Address Translation (NAT) Security Hub merekomendasikan agar Anda mengonfigurasi instans EC2 dengan IMDSv2.

Tingkat keparahan: Tinggi

Subnet EC2 tidak boleh secara otomatis menetapkan alamat IP publik

Deskripsi: Kontrol ini memeriksa apakah penetapan IP publik di subnet Amazon Virtual Private Cloud (Amazon VPC) memiliki "MapPublicIpOnLaunch" yang diatur ke "FALSE". Kontrol lolos jika bendera diatur ke "FALSE". Semua subnet memiliki atribut yang menentukan apakah antarmuka jaringan yang dibuat di subnet secara otomatis menerima alamat IPv4 publik. Instans yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.

Tingkat keparahan: Sedang

Pastikan ada filter metrik log dan alarm untuk perubahan konfigurasi AWS Config

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk mendeteksi perubahan pada konfigurasi CloudTrail. Memantau perubahan pada konfigurasi AWS Config membantu memastikan visibilitas item konfigurasi berkelanjutan dalam akun AWS.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan alarm ada untuk kegagalan autentikasi AWS Management Console

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk upaya autentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya brute force kredensial, yang mungkin memberikan indikator, seperti IP sumber, yang dapat digunakan dalam korelasi peristiwa lainnya.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. NACL digunakan sebagai filter paket stateless untuk mengontrol lalu lintas masuk dan keluar untuk subnet dalam VPC. Direkomendasikan agar filter metrik dan alarm dibuat untuk perubahan yang dilakukan pada NACL. Memantau perubahan pada NACL membantu memastikan bahwa sumber daya dan layanan AWS tidak diekspos secara tidak sengaja.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk perubahan pada gateway jaringan

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Gateway jaringan diperlukan untuk mengirim/menerima lalu lintas ke tujuan di luar VPC. Disarankan agar filter metrik dan alarm dibuat untuk perubahan gateway jaringan. Memantau perubahan pada gateway jaringan membantu memastikan bahwa semua lalu lintas masuk/keluar melintasi batas VPC melalui jalur terkontrol.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk perubahan konfigurasi CloudTrail

Memantau perubahan pada konfigurasi CloudTrail membantu memastikan visibilitas berkelanjutan ke aktivitas yang dilakukan di akun AWS.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk penonaktifan atau penghapusan terjadwal CMK yang dibuat pelanggan

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk CMK yang dibuat pelanggan, yang telah mengubah status menjadi penghapusan yang dinonaktifkan atau dijadwalkan. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak akan dapat diakses lagi.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk perubahan kebijakan IAM

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat perubahan yang dibuat pada kebijakan Manajemen Identitas dan Akses (IAM). Memantau perubahan pada kebijakan IAM membantu memastikan kontrol autentikasi dan otorisasi tetap utuh.

Tingkat keparahan: Rendah

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk login konsol yang tidak dilindungi oleh autentikasi multifaktor (MFA). Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk perubahan tabel rute

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Tabel perutean digunakan untuk merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan. Disarankan agar filter metrik dan alarm dibuat untuk perubahan tabel rute. Memantau perubahan pada tabel rute membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Direkomendasikan agar filter metrik dan alarm ditetapkan untuk perubahan pada kebijakan bucket S3. Memantau perubahan pada kebijakan wadah S3 dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada wadah S3 sensitif.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Grup Keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar dalam VPC. Disarankan agar filter metrik dan alarm dibuat perubahan pada Grup Keamanan. Memantau perubahan pada grup keamanan membantu memastikan bahwa sumber daya dan layanan tidak diekspos secara tidak sengaja.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk panggilan API yang tidak sah

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan mungkin mengurangi waktu untuk mendeteksi aktivitas berbahaya.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk penggunaan akun 'root'

Pemantauan untuk login akun root memberikan visibilitas ke dalam penggunaan akun dengan hak istimewa penuh dan kesempatan untuk mengurangi penggunaannya.

Tingkat keparahan: Rendah

Pastikan ada filter metrik log dan alarm untuk perubahan VPC

Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Dimungkinkan untuk memiliki lebih dari satu VPC dalam akun, selain itu dimungkinkan juga untuk membuat koneksi serekan antara 2 VPC yang memungkinkan lalu lintas jaringan untuk merutekan antar VPC. Disarankan agar filter metrik dan alarm dibuat untuk perubahan yang dilakukan pada VPC. Memantau perubahan pada kebijakan IAM membantu memastikan kontrol autentikasi dan otorisasi tetap utuh.

Tingkat keparahan: Rendah

Pastikan tidak ada grup keamanan yang mengizinkan masuk dari 0.0.0.0/0 ke port 3389

Deskripsi: Grup keamanan menyediakan pemfilteran stateful lalu lintas jaringan masuk/keluar ke sumber daya AWS. Disarankan agar tidak ada kelompok keamanan yang mengizinkan akses masuk tidak terbatas ke port 3389. Saat Anda menghapus konektivitas yang tidak terkekang ke layanan konsol jarak jauh, seperti RDP, konektivitas tersebut mengurangi paparan risiko server.

Tingkat keparahan: Tinggi

Database dan kluster RDS tidak boleh menggunakan port default mesin database

Deskripsi: Kontrol ini memeriksa apakah kluster atau instans RDS menggunakan port selain port default mesin database. Jika Anda menggunakan port yang dikenal untuk menyebarkan cluster atau instance RDS, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke klaster atau instans RDS atau mendapatkan informasi tambahan tentang aplikasi Anda. Saat Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk menyambung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu menyertakan aturan masuk yang memungkinkan konektivitas pada port baru.

Tingkat keparahan: Rendah

Instans RDS harus diterapkan di VPC

Deskripsi: VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke sumber daya RDS. Kontrol ini mencakup Titik Akhir VPC, ACL jaringan, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami menyarankan Anda untuk memindahkan instans EC2-Classic RDS ke EC2-VPC.

Tingkat keparahan: Rendah

Bucket S3 harus meminta permintaan untuk menggunakan Secure Socket Layer

Deskripsi: Sebaiknya minta permintaan untuk menggunakan Secure Socket Layer (SSL) pada semua wadah Amazon S3. Bucket S3 harus memiliki kebijakan yang mewajibkan semua permintaan ('Tindakan: S3:*') untuk hanya menerima transmisi data melalui HTTPS dalam kebijakan sumber daya S3, yang ditunjukkan dengan kunci kondisi 'aws:SecureTransport'.

Tingkat keparahan: Sedang

Grup keamanan tidak boleh mengizinkan masuk dari 0.0.0.0/0 ke port 22

Deskripsi: Untuk mengurangi paparan server, disarankan untuk tidak mengizinkan akses ingress yang tidak dibatasi ke port '22'.

Tingkat keparahan: Tinggi

Grup keamanan tidak boleh mengizinkan akses tak terbatas ke pelabuhan dengan risiko tinggi

Deskripsi: Kontrol ini memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port yang ditentukan yang memiliki risiko tertinggi. Kontrol ini lolos saat tidak ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari 0.0.0.0/0 untuk port tersebut. Akses tidak terbatas (0.0.0.0/0) meningkatkan peluang untuk aktivitas jahat, seperti peretasan, serangan penolakan layanan, dan kehilangan data. Grup keamanan menyediakan pemfilteran stateful lalu lintas jaringan masuk dan keluar ke sumber daya AWS. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:

3389 (RDP)
20, 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (proksi)
1433, 1434 (MSSQL)
9200 atau 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

Tingkat keparahan: Sedang

Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak dibatasi untuk port resmi

Deskripsi: Kontrol ini memeriksa apakah grup keamanan yang sedang digunakan memungkinkan lalu lintas masuk yang tidak dibatasi. Secara opsional, aturan memeriksa apakah nomor port terdaftar di parameter "authorizedTcpPorts".

Jika nomor port aturan grup keamanan memungkinkan lalu lintas masuk yang tidak dibatasi, tetapi nomor port ditentukan dalam "authorizedTcpPorts", maka kontrol lolos. Nilai default untuk "authorizedTcpPorts" adalah 80, 443.
Jika nomor port aturan grup keamanan memungkinkan lalu lintas masuk yang tidak dibatasi, tetapi nomor port tidak ditentukan dalam parameter input authorizedTcpPorts, maka kontrol gagal.
Jika parameter tidak digunakan, kontrol gagal untuk grup keamanan apa pun yang memiliki aturan masuk yang tidak dibatasi. Grup keamanan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke AWS. Aturan kelompok keamanan harus mengikuti prinsip akses dengan hak istimewa paling sedikit. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang aktivitas jahat seperti peretasan, serangan penolakan layanan, dan kehilangan data. Kecuali port secara khusus diizinkan, port harus menolak akses tak terbatas.

Tingkat keparahan: Tinggi

EIP EC2 yang tidak digunakan harus dihapus

Deskripsi: Alamat IP elastis yang dialokasikan ke VPC harus dilampirkan ke instans Amazon EC2 atau antarmuka jaringan elastis (ENI) yang digunakan.

Tingkat keparahan: Rendah

Daftar kontrol akses jaringan yang tidak digunakan harus dihapus

Deskripsi: Kontrol ini memeriksa apakah ada daftar kontrol akses jaringan (ACL) yang tidak digunakan. Kontrol memeriksa konfigurasi item sumber daya "AWS::EC2::NetworkAcl" dan menentukan hubungan ACL jaringan. Jika satu-satunya hubungan adalah VPC dari jaringan ACL, maka kontrol gagal. Jika hubungan lain terdaftar, maka kontrol akan lewat.

Tingkat keparahan: Rendah

Grup keamanan default VPC harus membatasi semua lalu lintas

Deskripsi: Grup keamanan harus membatasi semua lalu lintas untuk mengurangi paparan sumber daya.

Tingkat keparahan: Rendah

Rekomendasi jaringan GCP

Host kluster harus dikonfigurasi untuk hanya menggunakan alamat IP internal privat untuk mengakses Google API

Deskripsi: Rekomendasi ini mengevaluasi apakah properti privateIpGoogleAccess dari subnetwork diatur ke false.

Tingkat keparahan: Tinggi

Instans komputasi harus menggunakan load balancer yang dikonfigurasi untuk menggunakan proksi HTTPS target

Deskripsi: Rekomendasi ini mengevaluasi apakah properti selfLink dari sumber daya targetHttpProxy cocok dengan atribut target dalam aturan penerusan, dan jika aturan penerusan berisi bidang loadBalancingScheme yang diatur ke Eksternal.

Tingkat keparahan: Sedang

Control Plane Authorized Networks harus diaktifkan pada kluster GKE

Deskripsi: Rekomendasi ini mengevaluasi properti masterAuthorizedNetworksConfig dari kluster untuk pasangan kunci-nilai, 'diaktifkan': false.

Tingkat keparahan: Tinggi

Aturan penolakan keluar harus diatur pada firewall untuk memblokir lalu lintas keluar yang tidak diinginkan

Deskripsi: Rekomendasi ini mengevaluasi apakah properti destinationRanges di firewall diatur ke 0.0.0.0/0 dan properti yang ditolak berisi pasangan kunci-nilai, 'IPProtocol': 'all.'

Tingkat keparahan: Rendah

Pastikan Aturan Firewall untuk instans di balik Proksi Sadar Identitas (IAP) hanya mengizinkan lalu lintas dari Pemeriksaan Kesehatan Google Cloud Loadbalancer (GCLB) dan Alamat Proksi

Deskripsi: Akses ke VM harus dibatasi oleh aturan firewall yang hanya memungkinkan lalu lintas IAP dengan memastikan hanya koneksi yang diproksi oleh IAP yang diizinkan. Untuk memastikan bahwa penyeimbangan beban berfungsi dengan benar pemeriksaan kesehatan juga harus diizinkan. IAP memastikan bahwa akses ke VM dikontrol dengan mengautentikasi permintaan masuk. Namun jika VM masih dapat diakses dari alamat IP selain IAP, mungkin masih mungkin untuk mengirim permintaan yang tidak diautentikasi ke instans. Perawatan harus dilakukan untuk memastikan bahwa pemeriksaan kesehatan loadblancer tidak diblokir karena ini akan menghentikan load balancer mengetahui kesehatan VM dan penyeimbangan beban dengan benar.

Tingkat keparahan: Sedang

Pastikan jaringan warisan tidak ada untuk proyek

Deskripsi: Untuk mencegah penggunaan jaringan warisan, proyek tidak boleh memiliki jaringan warisan yang dikonfigurasi. Jaringan warisan memiliki satu rentang awalan IPv4 jaringan dan satu alamat IP gateway untuk seluruh jaringan. Jaringan bersifat global dalam cakupan dan mencakup semua wilayah cloud. Subjaringan tidak dapat dibuat di jaringan warisan dan tidak dapat beralih dari jaringan subnet warisan ke otomatis atau kustom. Jaringan warisan dapat berdampak pada proyek lalu lintas jaringan yang tinggi dan tunduk pada satu titik ketidakcocokan atau kegagalan.

Tingkat keparahan: Sedang

Pastikan bendera database 'log_hostname' untuk instans Cloud SQL PostgreSQL diatur dengan tepat

Deskripsi: PostgreSQL hanya mencatat alamat IP host yang terhubung. Bendera "log_hostname" mengontrol pengelogan "nama host" selain alamat IP yang dicatat. Hit performa tergantung pada konfigurasi lingkungan dan pengaturan resolusi nama host. Parameter ini hanya dapat diatur dalam file "postgresql.conf" atau di baris perintah server. Nama host pengelogan dapat menimbulkan overhead pada performa server seperti untuk setiap pernyataan yang dicatat, resolusi DNS akan diperlukan untuk mengonversi alamat IP ke nama host. Bergantung pada penyiapan, ini mungkin tidak dapat diabaikan. Selain itu, alamat IP yang dicatat dapat diselesaikan ke nama DNS mereka nanti saat meninjau log tidak termasuk kasus di mana nama host dinamis digunakan. Rekomendasi ini berlaku untuk instans database PostgreSQL.

Tingkat keparahan: Rendah

Pastikan tidak ada penyeimbang beban proksi HTTPS atau SSL yang mengizinkan kebijakan SSL dengan suite cipher yang lemah

Deskripsi: Kebijakan Secure Sockets Layer (SSL) menentukan fitur Port Transport Layer Security (TLS) apa yang diizinkan digunakan klien saat menyambungkan ke load balancer. Untuk mencegah penggunaan fitur yang tidak aman, kebijakan SSL harus menggunakan (a) setidaknya TLS 1.2 dengan profil MODERN; atau (b) profil RESTRICTED, karena secara efektif mengharuskan klien untuk menggunakan TLS 1.2 terlepas dari versi TLS minimum yang dipilih; atau (3) profil KUSTOM yang tidak mendukung salah satu fitur berikut: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Load balancer digunakan untuk mendistribusikan lalu lintas secara efisien di beberapa server. Proksi SSL dan load balancer HTTPS adalah load balancer eksternal, yang berarti mereka mendistribusikan lalu lintas dari Internet ke jaringan GCP. Pelanggan GCP dapat mengonfigurasi kebijakan SSL load balancer dengan versi TLS minimum (1.0, 1.1, atau 1.2) yang dapat digunakan klien untuk membuat koneksi, bersama dengan profil (Kompatibel, Modern, Terbatas, atau Kustom) yang menentukan suite sandi yang diizinkan. Untuk mematuhi pengguna yang menggunakan protokol yang kedaluarsa, load balancer GCP dapat dikonfigurasi untuk mengizinkan suite cipher yang tidak aman. Bahkan, kebijakan SSL default GCP menggunakan versi TLS minimum 1.0 dan profil Kompatibel, yang memungkinkan berbagai suite sandi yang tidak aman. Akibatnya, mudah bagi pelanggan untuk mengonfigurasi load balancer tanpa mengetahui bahwa mereka mengizinkan suite sandi yang kedaluarsa.

Tingkat keparahan: Sedang

Pastikan pengelogan DNS Cloud diaktifkan untuk semua jaringan VPC

Deskripsi: Pengelogan DNS cloud merekam kueri dari server nama dalam VPC Anda ke Stackdriver. Kueri yang dicatat dapat berasal dari VM Mesin Komputasi, kontainer GKE, atau sumber daya GCP lainnya yang disediakan dalam VPC. Pemantauan keamanan dan forensik tidak hanya dapat bergantung pada alamat IP dari log alur VPC, terutama ketika mempertimbangkan penggunaan IP dinamis sumber daya cloud, perutean host virtual HTTP, dan teknologi lain yang dapat mengaburkan nama DNS yang digunakan oleh klien dari alamat IP. Pemantauan log DNS Cloud memberikan visibilitas ke nama DNS yang diminta oleh klien dalam VPC. Log ini dapat dipantau untuk nama domain anomali, dievaluasi terhadap inteligensi ancaman, dan

Untuk penangkapan penuh DNS, firewall harus memblokir UDP/53 (DNS) dan TCP/443 (DNS melalui HTTPS) untuk mencegah klien menggunakan server nama DNS eksternal untuk resolusi.

Tingkat keparahan: Tinggi

Pastikan DNSSEC diaktifkan untuk Dns Cloud

Deskripsi: Cloud Domain Name System (DNS) adalah sistem nama domain yang cepat, andal, dan hemat biaya yang mendukung jutaan domain di internet. Domain Name System Security Extensions (DNSSEC) di Cloud DNS memungkinkan pemilik domain mengambil langkah mudah untuk melindungi domain mereka dari pembajakan DNS dan serangan man-in-the-middle dan lainnya. Ekstensi Keamanan Sistem Nama Domain (DNSSEC) menambahkan keamanan ke protokol DNS dengan mengaktifkan respons DNS untuk divalidasi. Memiliki DNS tepercaya yang menerjemahkan nama domain seperti www.example.com ke dalam alamat IP terkaitnya adalah blok penyusun yang semakin penting dari aplikasi berbasis web saat ini. Penyerang dapat membajak proses pencarian domain/IP ini dan mengalihkan pengguna ke situs berbahaya melalui pembajakan DNS dan serangan man-in-the-middle. DNSSEC membantu mengurangi risiko serangan tersebut dengan menandatangani catatan DNS secara kriptografis. Akibatnya, mencegah penyerang mengeluarkan respons DNS palsu yang mungkin salah mengalihkan browser ke situs web jahat.

Tingkat keparahan: Sedang

Pastikan akses RDP dibatasi dari Internet

Deskripsi: Aturan Firewall GCP khusus untuk Jaringan VPC. Setiap aturan mengizinkan atau menolak lalu lintas saat kondisinya terpenuhi. Kondisinya memungkinkan pengguna untuk menentukan jenis lalu lintas, seperti port dan protokol, dan sumber atau tujuan lalu lintas, termasuk alamat IP, subnet, dan instans. Aturan firewall didefinisikan pada tingkat jaringan VPC dan khusus untuk jaringan di mana aturan tersebut ditentukan. Aturan itu sendiri tidak dapat dibagikan di antara jaringan. Aturan firewall hanya mendukung lalu lintas IPv4. Saat Anda menentukan sumber untuk aturan masuk atau tujuan untuk aturan keluar berdasarkan alamat, alamat IPv4 atau blok IPv4 dalam notasi CIDR dapat digunakan. Lalu lintas masuk generik (0.0.0.0/0) dari Internet ke instans VPC atau VM menggunakan RDP pada Port 3389 dapat dihindari. Aturan Firewall GCP dalam Jaringan VPC. Aturan ini berlaku untuk lalu lintas keluar (keluar) dari instans dan lalu lintas masuk (masuk) ke instans di jaringan. Arus lalu lintas keluar dan masuk dikontrol meskipun lalu lintas tetap berada dalam jaringan (misalnya, komunikasi instans-ke-instans). Agar instans memiliki akses Internet keluar, jaringan harus memiliki rute gateway Internet yang valid atau rute kustom yang IP tujuannya ditentukan. Rute ini hanya menentukan jalur ke Internet, untuk menghindari Rentang IP tujuan yang paling umum (0.0.0.0/0) yang ditentukan dari Internet melalui RDP dengan Port default 3389. Akses generik dari Internet ke Rentang IP tertentu harus dibatasi.

Tingkat keparahan: Tinggi

Pastikan RSASHA1 tidak digunakan untuk kunci penandatanganan kunci di Dns DNSSEC Cloud

Deskripsi: Nomor algoritma DNSSEC dalam registri ini mungkin digunakan di CERT RR. Penandatanganan zona (DNSSEC) dan mekanisme keamanan transaksi (SIG(0) dan TSIG) memanfaatkan subset tertentu dari algoritma ini. Algoritma yang digunakan untuk penandatanganan kunci harus direkomendasikan dan harus kuat. Nomor algoritma Ekstensi Keamanan Sistem Nama Domain (DNSSEC) dalam registri ini mungkin digunakan di CERT RR. Penandatanganan zona (DNSSEC) dan mekanisme keamanan transaksi (SIG(0) dan TSIG) memanfaatkan subset tertentu dari algoritma ini. Algoritma yang digunakan untuk penandatanganan kunci harus direkomendasikan dan harus kuat. Saat Anda mengaktifkan DNSSEC untuk zona terkelola, atau mengkreat zona terkelola dengan DNSSEC, pengguna dapat memilih algoritma penandatanganan DNSSEC dan jenis penolakan keberadaan. Mengubah pengaturan DNSSEC hanya efektif untuk zona terkelola jika DNSSEC belum diaktifkan. Jika ada kebutuhan untuk mengubah pengaturan untuk zona terkelola tempat zona tersebut diaktifkan, nonaktifkan DNSSEC lalu aktifkan kembali dengan pengaturan yang berbeda.

Tingkat keparahan: Sedang

Pastikan bahwa RSASHA1 tidak digunakan untuk kunci penandatanganan zona di Dns DNSSEC Cloud

Deskripsi: Nomor algoritma DNSSEC dalam registri ini mungkin digunakan di CERT RR. Penandatanganan zona (DNSSEC) dan mekanisme keamanan transaksi (SIG(0) dan TSIG) memanfaatkan subset tertentu dari algoritma ini. Algoritma yang digunakan untuk penandatanganan kunci harus direkomendasikan dan harus kuat. Nomor algoritma DNSSEC dalam registri ini mungkin digunakan dalam CERT RR. Penandatanganan zona (DNSSEC) dan mekanisme keamanan transaksi (SIG(0) dan TSIG) memanfaatkan subset tertentu dari algoritma ini. Algoritma yang digunakan untuk penandatanganan kunci harus direkomendasikan dan harus kuat. Saat Anda mengaktifkan DNSSEC untuk zona terkelola, atau membuat zona terkelola dengan DNSSEC, algoritma penandatanganan DNSSEC, dan jenis penolakan keberadaan dapat dipilih. Mengubah pengaturan DNSSEC hanya efektif untuk zona terkelola jika DNSSEC belum diaktifkan. Jika ada kebutuhan untuk mengubah pengaturan untuk zona terkelola di mana telah diaktifkan, nonaktifkan DNSSEC lalu aktifkan kembali dengan pengaturan yang berbeda.

Tingkat keparahan: Sedang

Pastikan akses SSH dibatasi dari internet

Deskripsi: Aturan Firewall GCP khusus untuk Jaringan VPC. Setiap aturan mengizinkan atau menolak lalu lintas saat kondisinya terpenuhi. Kondisinya memungkinkan pengguna untuk menentukan jenis lalu lintas, seperti port dan protokol, dan sumber atau tujuan lalu lintas, termasuk alamat IP, subnet, dan instans. Aturan firewall didefinisikan pada tingkat jaringan VPC dan khusus untuk jaringan di mana aturan tersebut ditentukan. Aturan itu sendiri tidak dapat dibagikan di antara jaringan. Aturan firewall hanya mendukung lalu lintas IPv4. Saat Anda menentukan sumber untuk aturan ingress atau tujuan untuk aturan keluar berdasarkan alamat, hanya alamat IPv4 atau blok IPv4 dalam notasi CIDR yang dapat digunakan. Lalu lintas masuk generik (0.0.0.0/0) dari internet ke instans VPC atau VM menggunakan SSH pada Port 22 dapat dihindari. Aturan Firewall GCP dalam Jaringan VPC berlaku untuk lalu lintas keluar (keluar) dari instans dan lalu lintas masuk (masuk) ke instans di jaringan. Arus lalu lintas keluar dan masuk dikontrol meskipun lalu lintas tetap berada dalam jaringan (misalnya, komunikasi instans-ke-instans). Agar instans memiliki akses Internet keluar, jaringan harus memiliki rute gateway Internet yang valid atau rute kustom yang IP tujuannya ditentukan. Rute ini hanya menentukan jalur ke Internet, untuk menghindari Rentang IP tujuan yang paling umum (0.0.0.0/0) yang ditentukan dari Internet melalui SSH dengan Port default '22.' Akses generik dari Internet ke Rentang IP tertentu perlu dibatasi.

Tingkat keparahan: Tinggi

Pastikan bahwa jaringan default tidak ada dalam proyek

Deskripsi: Untuk mencegah penggunaan jaringan "default", proyek tidak boleh memiliki jaringan "default". Jaringan default memiliki konfigurasi jaringan yang telah dikonfigurasi sebelumnya dan secara otomatis menghasilkan aturan firewall yang tidak aman berikut:

default-allow-internal: Memungkinkan koneksi ingress untuk semua protokol dan port di antara instans dalam jaringan.
default-allow-ssh: Memungkinkan koneksi ingress pada port TCP 22 (SSH) dari sumber apa pun ke instans apa pun di jaringan.
default-allow-rdp: Memungkinkan koneksi ingress pada port TCP 3389(RDP) dari sumber apa pun ke instans apa pun di jaringan.
default-allow-icmp: Memungkinkan lalu lintas ICMP masuk dari sumber apa pun ke instans apa pun di jaringan.

Aturan firewall yang dibuat secara otomatis ini tidak dicatat auditnya dan tidak dapat dikonfigurasi untuk mengaktifkan pengelogan aturan firewall. Selain itu, jaringan default adalah jaringan mode otomatis, yang berarti bahwa subnetnya menggunakan rentang alamat IP yang telah ditentukan sebelumnya yang sama, dan akibatnya, tidak dimungkinkan untuk menggunakan Cloud VPN atau VPC Network Peering dengan jaringan default. Berdasarkan persyaratan keamanan dan jaringan organisasi, organisasi harus membuat jaringan baru dan menghapus jaringan default.

Tingkat keparahan: Sedang

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan jaringan VPC

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan jaringan Virtual Private Cloud (VPC). Dimungkinkan untuk memiliki lebih dari satu VPC dalam proyek. Selain itu, Anda juga dapat membuat koneksi serekan antara dua VPC yang memungkinkan lalu lintas jaringan untuk merutekan antar VPC. Memantau perubahan pada VPC akan membantu memastikan arus lalu lintas VPC tidak terpengaruh.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan aturan Firewall Jaringan VPC

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan aturan Firewall Jaringan Virtual Private Cloud (VPC). Pemantauan untuk membuat atau memperbarui peristiwa aturan Firewall memberikan wawasan tentang perubahan akses jaringan dan dapat mengurangi waktu yang diperlukan untuk mendeteksi aktivitas yang mencurigakan.

Tingkat keparahan: Rendah

Pastikan filter metrik log dan pemberitahuan ada untuk perubahan rute jaringan VPC

Deskripsi: Disarankan agar filter metrik dan alarm dibuat untuk perubahan rute jaringan Virtual Private Cloud (VPC). Rute Google Cloud Platform (GCP) menentukan jalur yang diambil lalu lintas jaringan dari instans VM ke tujuan lain. Tujuan lain dapat berada di dalam jaringan VPC organisasi (seperti VM lain) atau di luarnya. Setiap rute terdiri dari tujuan dan lompatan berikutnya. Lalu lintas yang IP tujuannya berada dalam rentang tujuan dikirim ke hop berikutnya untuk pengiriman. Memantau perubahan pada tabel rute akan membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.

Tingkat keparahan: Rendah

Pastikan bahwa bendera database 'log_connections' untuk instans Cloud SQL PostgreSQL diatur ke 'aktif'

Deskripsi: Mengaktifkan pengaturan log_connections menyebabkan setiap koneksi yang dicoba ke server dicatat, bersama dengan keberhasilan penyelesaian autentikasi klien. Parameter ini tidak dapat diubah setelah sesi dimulai. PostgreSQL tidak mencatat koneksi yang dicoba secara default. Mengaktifkan pengaturan log_connections akan membuat entri log untuk setiap koneksi yang dicoba serta keberhasilan penyelesaian autentikasi klien, yang dapat berguna dalam memecahkan masalah dan untuk menentukan upaya koneksi yang tidak biasa ke server. Rekomendasi ini berlaku untuk instans database PostgreSQL.

Tingkat keparahan: Sedang

Pastikan bahwa bendera database 'log_disconnections' untuk instans Cloud SQL PostgreSQL diatur ke 'aktif'

Deskripsi: Mengaktifkan pengaturan log_disconnections mencatat akhir setiap sesi, termasuk durasi sesi. PostgreSQL tidak mencatat detail sesi seperti durasi dan akhir sesi secara default. Mengaktifkan pengaturan log_disconnections akan membuat entri log di akhir setiap sesi, yang dapat berguna dalam memecahkan masalah dan menentukan aktivitas yang tidak biasa selama periode waktu tertentu. Log_disconnections dan log_connections bekerja bersama dan umumnya, pasangan akan diaktifkan/dinonaktifkan bersama-sama. Rekomendasi ini berlaku untuk instans database PostgreSQL.

Tingkat keparahan: Sedang

Pastikan bahwa Log Alur VPC diaktifkan untuk setiap subnet di Jaringan VPC

Deskripsi: Log Alur adalah fitur yang memungkinkan pengguna untuk mengambil informasi tentang lalu lintas IP yang masuk ke dan dari antarmuka jaringan di Subnet VPC organisasi. Setelah log alur dibuat, pengguna dapat melihat dan mengambil datanya di Pengelogan Stackdriver. Disarankan agar Log Alur diaktifkan untuk setiap subnet VPC yang penting bagi bisnis. Jaringan dan subnetwork VPC menyediakan partisi jaringan yang terisolasi dan aman secara logis di mana sumber daya GCP dapat diluncurkan. Ketika Log Alur diaktifkan untuk subnet, VM dalam subnet tersebut mulai melaporkan semua alur Protokol Kontrol Transmisi (TCP) dan Protokol Datagram Pengguna (UDP). Setiap VM mengambil sampel alur TCP dan UDP yang dilihatnya, masuk dan keluar, baik alurnya ke atau dari VM lain, host di pusat data lokal, layanan Google, atau host di Internet. Jika dua VM GCP berkomunikasi, dan keduanya berada di subnet yang mengaktifkan Log Alur VPC, kedua VM melaporkan alur. Log Alur mendukung kasus penggunaan berikut: 1. Pemantauan jaringan. 2. Memahami penggunaan jaringan dan mengoptimalkan pengeluaran lalu lintas jaringan. 3. Forensik jaringan. 4. Analisis keamanan real time Log Alur memberikan visibilitas ke dalam lalu lintas jaringan untuk setiap VM di dalam subnet dan dapat digunakan untuk mendeteksi lalu lintas atau wawasan anomali selama alur kerja keamanan.

Tingkat keparahan: Rendah

Pengelogan aturan firewall harus diaktifkan

Deskripsi: Rekomendasi ini mengevaluasi properti logConfig dalam metadata firewall untuk melihat apakah kosong atau berisi pasangan kunci-nilai 'aktifkan': false.

Tingkat keparahan: Sedang

Firewall tidak boleh dikonfigurasi agar terbuka untuk akses publik

Deskripsi: Rekomendasi ini mengevaluasi sourceRanges dan properti yang diizinkan untuk salah satu dari dua konfigurasi:

Properti sourceRanges berisi 0.0.0.0/0 dan properti yang diizinkan berisi kombinasi aturan yang mencakup protokol atau protokol:port apa pun, kecuali yang berikut ini:

Icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

Properti sourceRanges berisi kombinasi rentang IP yang mencakup alamat IP nonprivate dan properti yang diizinkan berisi kombinasi aturan yang mengizinkan semua port tcp atau semua port udp.

Tingkat keparahan: Tinggi

Bagikan melalui

Rekomendasi keamanan jaringan

Rekomendasi jaringan Azure

Rekomendasi jaringan AWS

Rekomendasi jaringan GCP

Konten terkait

Saran dan Komentar

Saran dan Komentar

Sumber Daya Tambahan: