Delen via

Aanbevelingen voor compute-beveiliging

  • Artikel

In dit artikel vindt u een overzicht van alle aanbevelingen voor compute-beveiliging met meerdere clouds die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Aanbevelingen voor Azure Compute

Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers

Beschrijving: Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Defender voor Cloud machine learning om de toepassingen te analyseren die op elke machine worden uitgevoerd en om de lijst met bekende veilige toepassingen voor te stellen. (Gerelateerd beleid: Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers).

Ernst: Hoog

De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt

Beschrijving: Controleren op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Defender voor Cloud. Defender voor Cloud machine learning gebruikt om de actieve processen op uw machines te analyseren en een lijst met bekende veilige toepassingen voor te stellen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. (Gerelateerd beleid: Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt.

Ernst: Hoog

Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist

Beschrijving: Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie vindt u in gedetailleerde stappen: SSH-sleutels maken en beheren voor verificatie bij een Virtuele Linux-machine in Azure. (Gerelateerd beleid: Linux-machines controleren die geen SSH-sleutel gebruiken voor verificatie).

Ernst: gemiddeld

Automation-accountvariabelen moeten worden versleuteld

Beschrijving: Het is belangrijk om versleuteling van variabele activa van automation-accounts in te schakelen bij het opslaan van gevoelige gegevens. (Gerelateerd beleid: Automation-accountvariabelen moeten worden versleuteld).

Ernst: Hoog

Azure Backup moet zijn ingeschakeld voor virtuele machines

Beschrijving: Beveilig de gegevens op uw virtuele Azure-machines met Azure Backup. Azure Backup is een Azure-systeemeigen, voordelige oplossing voor gegevensbescherming. Het maakt herstelpunten die worden opgeslagen in geografisch redundante Recovery Services-kluizen. Wanneer u vanaf een herstelpunt herstelt, kunt u de hele VM of specifieke bestanden herstellen. (Gerelateerd beleid: Azure Backup moet zijn ingeschakeld voor virtuele machines).

Ernst: Laag

(Preview) Azure Stack HCI-servers moeten voldoen aan vereisten voor beveiligde kernen

Beschrijving: Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Laag

(Preview) Azure Stack HCI-servers moeten consistent beleid voor toepassingsbeheer hebben afgedwongen

Beschrijving: Pas minimaal het Microsoft WDAC-basisbeleid toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste WDAC-beleidsregels (Windows Defender Application Control) moeten consistent zijn op alle servers in hetzelfde cluster. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Hoog

(Preview) Azure Stack HCI-systemen moeten versleutelde volumes hebben

Beschrijving: Gebruik BitLocker om het besturingssysteem en gegevensvolumes op Azure Stack HCI-systemen te versleutelen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Hoog

Containerhosts moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen in beveiligingsconfiguratie-instellingen op computers waarop Docker is geïnstalleerd om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in containerbeveiligingsconfiguraties moeten worden hersteld).

Ernst: Hoog

Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Batch-accounts moeten worden ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Batch-accounts moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Event Hubs moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Event Hubs moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld

Beschrijving: Schakel logboekregistratie in om ervoor te zorgen dat u activiteitentrails kunt maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of uw netwerk is aangetast. Als uw diagnostische logboeken niet worden verzonden naar een Log Analytics-werkruimte, Azure Storage-account of Azure Event Hubs, moet u ervoor zorgen dat u diagnostische instellingen hebt geconfigureerd om metrische platformgegevens en platformlogboeken naar de relevante bestemmingen te verzenden. Meer informatie vindt u in Diagnostische instellingen voor het verzenden van platformlogboeken en metrische gegevens naar verschillende bestemmingen. (Gerelateerd beleid: Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Service Bus moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Service Bus moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Microsoft Azure Virtual Machine Scale Sets moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in virtuele-machineschaalsets moeten zijn ingeschakeld).

Ernst: Hoog

EDR-configuratieproblemen moeten worden opgelost op virtuele machines

Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen. Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor Microsoft Defender voor Eindpunt ingeschakeld.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Laag

De EDR-oplossing moet worden geïnstalleerd op virtuele machines

Beschrijving: Het installeren van een EDR-oplossing (Endpoint Detection and Response) op virtuele machines is belangrijk voor bescherming tegen geavanceerde bedreigingen. EDR's helpen bij het voorkomen, detecteren, onderzoeken en reageren op deze bedreigingen. Microsoft Defender voor Servers kan worden gebruikt om Microsoft Defender voor Eindpunt te implementeren.

  • Als een resource is geclassificeerd als 'Niet in orde', geeft dit aan dat er geen ondersteunde EDR-oplossing is.
  • Als een EDR-oplossing is geïnstalleerd maar niet kan worden gedetecteerd door deze aanbeveling, kan deze worden uitgesloten
  • Zonder een EDR-oplossing lopen de virtuele machines risico op geavanceerde bedreigingen.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Hoog

Statusproblemen met Endpoint Protection in virtuele-machineschaalsets moeten worden opgelost

Beschrijving: Herstel op virtuele-machineschaalsets statusfouten voor eindpuntbeveiliging om ze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).

Ernst: Laag

Endpoint Protection moet worden geïnstalleerd op virtuele-machineschaalsets

Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele-machineschaalsets om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).

Ernst: Hoog

Bewaking van bestandsintegriteit moet zijn ingeschakeld op computers

Beschrijving: Defender voor Cloud heeft machines geïdentificeerd die een bewakingsoplossing voor bestandsintegriteit missen. Als u wijzigingen in kritieke bestanden, registersleutels en meer op uw servers wilt bewaken, schakelt u bewaking van bestandsintegriteit in. Wanneer de bewakingsoplossing voor bestandsintegriteit is ingeschakeld, maakt u regels voor gegevensverzameling om de bestanden te definiëren die moeten worden bewaakt. Als u regels wilt definiëren of de bestanden wilt zien die zijn gewijzigd op computers met bestaande regels, gaat u naar de beheerpagina voor bewaking van bestandsintegriteit. (Geen gerelateerd beleid)

Ernst: Hoog

De gastattestextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets

Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets van Linux, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machineschaalsets met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines

Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele Linux-machines om Microsoft Defender voor Cloud proactief te bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machines met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele-machineschaalsets van Windows

Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele-machineschaalsets met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

De Gast attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines

Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele machines zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

De extensie voor gastconfiguratie moet worden geïnstalleerd op computers

Beschrijving: Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra dit is geïnstalleerd, is beleid voor in-guest beschikbaar, zoals Windows Exploit Guard, moet zijn ingeschakeld. (Gerelateerd beleid: Virtuele machines moeten de extensie Gastconfiguratie hebben).

Ernst: gemiddeld

(Preview) Host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen

Beschrijving: Gegevens beveiligen op het netwerk van de Azure Stack HCI-host en op netwerkverbindingen van virtuele machines. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Laag

Oplossing voor eindpuntbeveiliging installeren op virtuele machines

Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele machines om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center).

Ernst: Hoog

Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Ga naar Overzicht van opties voor versleuteling van beheerde schijven om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar Understanding Azure Machine Configuration voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.

Vervangt de oudere aanbeveling virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen. Met de aanbeveling kunt u naleving van VM-versleuteling controleren.

Ernst: Hoog

Virtuele Linux-machines moeten validatie van kernelmodulehandtekening afdwingen

Beschrijving: Om te helpen beperken tegen de uitvoering van schadelijke of niet-geautoriseerde code in de kernelmodus, dwingt u validatie van kernelmodulehandtekening af op ondersteunde virtuele Linux-machines. Validatie van kernelmodulehandtekening zorgt ervoor dat alleen vertrouwde kernelmodules mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

Virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken

Beschrijving: Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. (Geen gerelateerd beleid)

Ernst: Laag

Virtuele Linux-machines moeten beveiligd opstarten gebruiken

Beschrijving: Schakel Secure Boot in op ondersteunde virtuele Linux-machines om te beschermen tegen de installatie van op malware gebaseerde rootkits en opstartkits. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

De Log Analytics-agent moet worden geïnstalleerd op Linux-computers met Azure Arc

Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel BEKEND als OMS) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

Aangezien het gebruik van de AMA en MMA is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024

De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets

Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw werkruimte kopieert. U moet deze procedure ook volgen als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U kunt het automatisch inrichten van de agent voor virtuele-machineschaalsets van Azure niet configureren. Volg de procedure in de herstelstappen om de agent te implementeren in virtuele-machineschaalsets (inclusief de services die worden gebruikt door Azure beheerde services, zoals de Azure Kubernetes Service en Azure Service Fabric). (Gerelateerd beleid: De Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor bewaking van Azure Security Center).

Aangezien het gebruik van de AMA en MMA is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024

Ernst: Hoog

De Log Analytics-agent moet worden geïnstalleerd op virtuele machines

Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw Log Analytics-werkruimte kopieert. Deze agent is ook vereist als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U wordt aangeraden automatische inrichting te configureren om de agent automatisch te implementeren. Als u ervoor kiest geen automatische inrichting te gebruiken, implementeert u de agent handmatig op uw virtuele machines met behulp van de instructies in de herstelstappen. (Gerelateerd beleid: De Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor bewaking van Azure Security Center).

Aangezien het gebruik van de AMA en MMA is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024

Ernst: Hoog

De Log Analytics-agent moet worden geïnstalleerd op Windows-computers met Azure Arc

Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel bekend als MMA) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

Aangezien het gebruik van de AMA en MMA is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024

Machines moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw computers om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld.

Deze aanbeveling helpt u bij het verbeteren van de serverbeveiligingspostuur. Defender voor Cloud verbetert de cis-benchmarks (Center for Internet Security) door beveiligingsbasislijnen te bieden die worden mogelijk gemaakt door Microsoft Defender Vulnerability Management. Meer informatie.

Ernst: Laag

Machines moeten opnieuw worden opgestart om beveiligingsupdates toe te passen

Beschrijving: Als u beveiligingsupdates wilt toepassen en bescherming wilt bieden tegen beveiligingsproblemen, start u uw computers opnieuw op. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

Machines moeten een oplossing voor evaluatie van beveiligingsproblemen hebben

Beschrijving: Defender voor Cloud controleert regelmatig uw verbonden machines om ervoor te zorgen dat ze hulpprogramma's voor evaluatie van beveiligingsproblemen uitvoeren. Gebruik deze aanbeveling om een oplossing voor evaluatie van beveiligingsproblemen te implementeren. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).

Ernst: gemiddeld

Op computers moeten de resultaten van beveiligingsproblemen zijn opgelost

Beschrijving: Los de bevindingen van de oplossingen voor evaluatie van beveiligingsproblemen op uw virtuele machines op. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).

Ernst: Laag

Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer

Beschrijving: Defender voor Cloud heeft een aantal te ruime regels voor inkomend verkeer voor beheerpoorten in uw netwerkbeveiligingsgroep geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw VM te beschermen tegen beveiligingsaanvallen van internet. Meer informatie over Just-In-Time -VM-toegang (JIT). (Gerelateerd beleid: Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer).

Ernst: Hoog

Microsoft Defender voor Servers moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor servers biedt realtime bedreigingsbeveiliging voor uw serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw servers te verbeteren.

Als u deze aanbeveling volgt, worden kosten in rekening gebracht voor het beveiligen van uw servers. Als u geen servers voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst servers voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten vanaf dat moment berekend. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Gerelateerd beleid: Azure Defender voor servers moet zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor Servers moet zijn ingeschakeld voor werkruimten

Beschrijving: Microsoft Defender voor servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender voor servers in een werkruimte inschakelt, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender ook inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)

Ernst: gemiddeld

Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines

Beschrijving: Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Windows-machines met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign

Beschrijving: Service Fabric biedt drie beveiligingsniveaus (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten met behulp van een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend. (Gerelateerd beleid: Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign).

Ernst: Hoog

Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie

Beschrijving: Voer alleen clientverificatie uit via Azure Active Directory in Service Fabric (gerelateerd beleid: Service Fabric-clusters mogen alleen Azure Active Directory gebruiken voor clientverificatie).

Ernst: Hoog

Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd

Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele-machineschaalsets van Windows en Linux te beveiligen. (Gerelateerd beleid: Systeemupdates voor virtuele-machineschaalsets moeten worden geïnstalleerd).

Als het gebruik van de Azure Monitor-agent (AMA) en de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)) is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024. Deze aanbevelingen worden vervangen door nieuwe aanbevelingen.

Ernst: Hoog

Systeemupdates moeten op uw computers worden geïnstalleerd

Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele Windows- en Linux-machines en -computers te beveiligen (gerelateerd beleid: Systeemupdates moeten worden geïnstalleerd op uw machines).

Als het gebruik van de Azure Monitor-agent (AMA) en de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)) is uitgefaseerd in Defender for Servers, worden aanbevelingen die afhankelijk zijn van deze agents, zoals deze, verwijderd. In plaats daarvan gebruiken Defender for Servers-functies de Microsoft Defender voor Eindpunt-agent of scannen zonder agent, zonder afhankelijk te zijn van de MMA of AMA.

Geschatte afschaffing: juli 2024. Deze aanbevelingen worden vervangen door nieuwe aanbevelingen.

Ernst: Hoog

Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center)

Beschrijving: Er ontbreken systeem-, beveiligings- en essentiële updates op uw computers. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host

Beschrijving: Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie vindt u in Azure Portal om end-to-end-versleuteling in te schakelen met behulp van versleuteling op de host. (Gerelateerd beleid: Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host).

Ernst: gemiddeld

Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources

Beschrijving: Virtuele machines (klassiek) zijn afgeschaft en deze VM's moeten worden gemigreerd naar Azure Resource Manager. Omdat Azure Resource Manager nu over volledige IaaS-mogelijkheden en andere geavanceerde functies beschikt, is het beheer van virtuele IaaS-machines (VM's) via Azure Service Manager (ASM) op 28 februari 2020 afgeschaft. Deze functie wordt volledig buiten gebruik gesteld op 1 maart 2023.

Als u alle betrokken klassieke VM's wilt weergeven, moet u alle Azure-abonnementen selecteren op het tabblad Mappen en abonnementen.

Beschikbare resources en informatie over dit hulpprogramma en deze migratie: Overzicht van afschaffing van virtuele machines (klassiek), stapsgewijs proces voor migratie en beschikbare Microsoft-resources.Details over migratie naar Azure Resource Manager-migratieprogramma.Migreren naar azure Resource Manager-migratieprogramma met behulp van PowerShell. (Gerelateerd beleid: Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources).

Ernst: Hoog

Status van gastverklaring van virtuele machines moet in orde zijn

Beschrijving: Guest Attestation wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk op de opstartketen te detecteren, wat het gevolg kan zijn van een bootkit of rootkit infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: gemiddeld

De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit

Beschrijving: Voor de extensie voor gastconfiguratie is een door het systeem toegewezen beheerde identiteit vereist. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie (gerelateerd beleid: Extensie voor gastconfiguratie moet worden geïmplementeerd op virtuele Azure-machines met door het systeem toegewezen beheerde identiteit).

Ernst: gemiddeld

Virtuele-machineschaalsets moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen op virtuele-machineschaalsets om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw virtuele-machineschaalsets moeten worden hersteld.

Ernst: Hoog

Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie Overzicht van versleutelingsopties voor beheerde schijven voor een vergelijking van verschillende schijfversleutelingstechnologieën in Azure. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als:

U gebruikt de functie versleuteling op host of versleuteling aan de serverzijde op Managed Disks voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage.

(Gerelateerd beleid: Schijfversleuteling moet worden toegepast op virtuele machines)

Ernst: Hoog

vTPM moet zijn ingeschakeld op ondersteunde virtuele machines

Beschrijving: Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.

  • Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist.
  • U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn).

Ernst: Laag

Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers om ze te beschermen tegen aanvallen. (Geen gerelateerd beleid)

Ernst: Laag

Windows Defender Exploit Guard moet zijn ingeschakeld op computers

Beschrijving: Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). (Gerelateerd beleid: Windows-machines controleren waarop Windows Defender Exploit Guard niet is ingeschakeld).

Ernst: gemiddeld

Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Ga naar Overzicht van opties voor versleuteling van beheerde schijven om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar Understanding Azure Machine Configuration voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.

Vervangt de oudere aanbeveling virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen. Met de aanbeveling kunt u naleving van VM-versleuteling controleren.

Ernst: Hoog

Windows-webservers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen

Beschrijving: Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen machines te versleutelen. (Gerelateerd beleid: Windows-webservers controleren die geen beveiligde communicatieprotocollen gebruiken).

Ernst: Hoog

Aanbevelingen voor AWS Compute

Amazon EC2-exemplaren die worden beheerd door Systems Manager, moeten de nalevingsstatus van de patch hebben na een patchinstallatie

Beschrijving: Met dit besturingselement wordt gecontroleerd of de nalevingsstatus van de Amazon EC2 Systems Manager-patchcompatibiliteit COMPATIBEL is of NON_COMPLIANT na de installatie van de patch op het exemplaar. Er worden alleen exemplaren gecontroleerd die worden beheerd door AWS Systems Manager Patch Manager. Er wordt niet gecontroleerd of de patch is toegepast binnen de limiet van 30 dagen die is voorgeschreven door PCI DSS-vereiste '6.2'. Ook wordt niet gevalideerd of de toegepaste patches zijn geclassificeerd als beveiligingspatches. U moet patchgroepen maken met de juiste basislijninstellingen en ervoor zorgen dat systemen binnen het bereik worden beheerd door deze patchgroepen in Systems Manager. Zie de gebruikershandleiding voor AWS Systems Manager voor meer informatie over patchgroepen.

Ernst: gemiddeld

Amazon EFS moet worden geconfigureerd voor het versleutelen van inactieve bestandsgegevens met behulp van AWS KMS

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Elastic File System is geconfigureerd voor het versleutelen van de bestandsgegevens met behulp van AWS KMS. De controle mislukt in de volgende gevallen: *"Encrypted" is ingesteld op 'false' in het antwoord DescribeFileSystems. De sleutel KmsKeyId in het antwoord DescribeFileSystems komt niet overeen met de parameter KmsKeyId voor efs-encrypted-check. Houd er rekening mee dat dit besturingselement geen gebruik maakt van de parameter 'KmsKeyId' voor efs-encrypted-check. De waarde van 'Versleuteld' wordt alleen gecontroleerd. Voor een extra beveiligingslaag voor uw gevoelige gegevens in Amazon EFS moet u versleutelde bestandssystemen maken. Amazon EFS ondersteunt versleuteling voor inactieve bestandssystemen. U kunt versleuteling van data-at-rest inschakelen wanneer u een Amazon EFS-bestandssysteem maakt. Zie Gegevensversleuteling in Amazon EFS in de gebruikershandleiding voor het Amazon Elastic File System voor meer informatie over Amazon EFS-versleuteling.

Ernst: gemiddeld

Amazon EFS-volumes moeten zich in back-upplannen bevinden

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Elastic File System-bestandssystemen (Amazon EFS) worden toegevoegd aan de back-upplannen in AWS Backup. Het besturingselement mislukt als Amazon EFS-bestandssystemen niet zijn opgenomen in de back-upplannen. Door EFS-bestandssystemen in de back-upplannen op te slaan, kunt u uw gegevens beschermen tegen verwijdering en gegevensverlies.

Ernst: gemiddeld

Verwijderingsbeveiliging voor Application Load Balancer moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een application Load Balancer verwijderingsbeveiliging heeft ingeschakeld. Het besturingselement mislukt als verwijderingsbeveiliging niet is geconfigureerd. Schakel verwijderingsbeveiliging in om uw Application Load Balancer te beschermen tegen verwijdering.

Ernst: gemiddeld

Automatisch schalen van groepen die zijn gekoppeld aan een load balancer, moeten statuscontroles gebruiken

Beschrijving: Groepen voor automatisch schalen die zijn gekoppeld aan een load balancer, maken gebruik van statuscontroles voor elastische taakverdeling. PCI DSS vereist geen taakverdeling of maximaal beschikbare configuraties. Dit wordt aanbevolen door best practices van AWS.

Ernst: Laag

AWS-accounts moeten automatische inrichting van Azure Arc hebben ingeschakeld

Beschrijving: Voor volledige zichtbaarheid van de beveiligingsinhoud van Microsoft Defender voor servers moeten EC2-exemplaren zijn verbonden met Azure Arc. Om ervoor te zorgen dat alle in aanmerking komende EC2-exemplaren automatisch Azure Arc ontvangen, schakelt u automatische inrichting van Defender voor Cloud op AWS-accountniveau in. Meer informatie over Azure Arc en Microsoft Defender voor Servers.

Ernst: Hoog

CloudFront-distributies moeten de oorspronkelijke failover hebben geconfigureerd

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon CloudFront-distributie is geconfigureerd met een origin-groep met twee of meer origins. CloudFront Origin-failover kan de beschikbaarheid verhogen. Failover van oorsprong leidt verkeer automatisch om naar een secundaire oorsprong als de primaire oorsprong niet beschikbaar is of als deze specifieke HTTP-antwoordstatuscodes retourneert.

Ernst: gemiddeld

URL's van de Broncodebuild GitHub- of Bitbucket-bronopslagplaats moeten OAuth gebruiken

Beschrijving: Met dit besturingselement wordt gecontroleerd of de URL van de GitHub- of Bitbucket-bronopslagplaats persoonlijke toegangstokens of een gebruikersnaam en wachtwoord bevat. Verificatiereferenties mogen nooit worden opgeslagen of verzonden in duidelijke tekst of worden weergegeven in de URL van de opslagplaats. In plaats van persoonlijke toegangstokens of gebruikersnaam en wachtwoord moet u OAuth gebruiken om autorisatie te verlenen voor toegang tot GitHub- of Bitbucket-opslagplaatsen. Als u persoonlijke toegangstokens of een gebruikersnaam en wachtwoord gebruikt, kunnen uw referenties zichtbaar worden gemaakt voor onbedoelde blootstelling van gegevens en onbevoegde toegang.

Ernst: Hoog

Omgevingsvariabelen van CodeBuild-project mogen geen referenties bevatten

Beschrijving: Met dit besturingselement wordt gecontroleerd of het project de omgevingsvariabelen AWS_ACCESS_KEY_ID bevat en AWS_SECRET_ACCESS_KEY. Verificatiereferenties AWS_ACCESS_KEY_ID en AWS_SECRET_ACCESS_KEY mogen nooit in duidelijke tekst worden opgeslagen, omdat dit kan leiden tot onbedoelde blootstelling van gegevens en onbevoegde toegang.

Ernst: Hoog

Dax-clusters (DynamoDB Accelerator) moeten in rust worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een DAX-cluster at rest is versleuteld. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Met de versleuteling wordt een andere set toegangsbeheer toegevoegd om de mogelijkheid van onbevoegde gebruikers tot de gegevens te beperken. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen.

Ernst: gemiddeld

DynamoDB-tabellen moeten automatisch capaciteit schalen met vraag

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon DynamoDB-tabel de lees- en schrijfcapaciteit zo nodig kan schalen. Dit besturingselement wordt doorgegeven als de tabel gebruikmaakt van de capaciteitsmodus op aanvraag of de ingerichte modus waarbij automatisch schalen is geconfigureerd. Het schalen van capaciteit met vraag voorkomt beperkingsbeperkingen, wat helpt bij het behouden van de beschikbaarheid van uw toepassingen.

Ernst: gemiddeld

EC2-exemplaren moeten zijn verbonden met Azure Arc

Beschrijving: Verbind uw EC2-exemplaren met Azure Arc om volledige zichtbaarheid te hebben van de beveiligingsinhoud van Microsoft Defender for Servers. Meer informatie over Azure Arc en over Microsoft Defender voor Servers in een hybride cloudomgeving.

Ernst: Hoog

EC2-exemplaren moeten worden beheerd door AWS Systems Manager

Beschrijving: De status van de naleving van de Amazon EC2 Systems Manager-patch is 'COMPATIBEL' of 'NON_COMPLIANT' na de installatie van de patch op het exemplaar. Alleen exemplaren die worden beheerd door AWS Systems Manager Patch Manager, worden gecontroleerd. Patches die zijn toegepast binnen de limiet van 30 dagen die zijn voorgeschreven door PCI DSS-vereiste '6' worden niet gecontroleerd.

Ernst: gemiddeld

EDR-configuratieproblemen moeten worden opgelost op EC2's

Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen. Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor Microsoft Defender voor Eindpunt ingeschakeld.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Hoog

EDR-oplossing moet worden geïnstalleerd op EC2s

Beschrijving: Als u EC2's wilt beveiligen, installeert u een EDR-oplossing (Endpoint Detection and Response). EDR's helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Servers om Microsoft Defender voor Eindpunt te implementeren. Als de resource is geclassificeerd als 'Niet in orde', is er geen ondersteunde EDR-oplossing geïnstalleerd. Als u een EDR-oplossing hebt geïnstalleerd die niet kan worden gedetecteerd door deze aanbeveling, kunt u deze uitsluiten.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Hoog

Exemplaren die worden beheerd door Systems Manager moeten de nalevingsstatus van de koppeling conform hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of de status van de naleving van de AWS Systems Manager-koppeling COMPATIBEL is of NON_COMPLIANT nadat de koppeling is uitgevoerd op een exemplaar. Het besturingselement wordt doorgegeven als de nalevingsstatus van de koppeling COMPATIBEL is. Een State Manager-koppeling is een configuratie die is toegewezen aan uw beheerde exemplaren. De configuratie definieert de status die u wilt behouden voor uw exemplaren. Een koppeling kan bijvoorbeeld opgeven dat antivirussoftware moet worden geïnstalleerd en uitgevoerd op uw exemplaren, of dat bepaalde poorten moeten worden gesloten. Nadat u een of meer State Manager-koppelingen hebt gemaakt, is de informatie over de nalevingsstatus direct beschikbaar in de console of in reactie op AWS CLI-opdrachten of bijbehorende Systems Manager-API-bewerkingen. Voor koppelingen geeft 'Configuratie'-naleving statussen weer van compatibel of niet-compatibel en het ernstniveau dat is toegewezen aan de koppeling, zoals Kritiek of Gemiddeld. Zie De gebruikershandleiding voor AWS Systems Manager voor meer informatie over de naleving van State Manager-koppelingen . U moet uw EC2-instanties binnen het bereik configureren voor Systems Manager-koppeling. U moet ook de patchbasislijn configureren voor de beveiligingsclassificatie van de leverancier van patches en de datum voor automatisch toepassen instellen om te voldoen aan PCI DSS 3.2.1-vereiste 6.2. Zie Een koppeling maken in de gebruikershandleiding voor AWS Systems Manager voor meer informatie over het maken van een koppeling. Zie AWS Systems Manager Patch Manager in de gebruikershandleiding voor AWS Systems Manager voor meer informatie over het werken met patching in Systems Manager.

Ernst: Laag

Lambda-functies moeten een wachtrij met dode letters hebben geconfigureerd

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Lambda-functie is geconfigureerd met een wachtrij met dode letters. Het besturingselement mislukt als de lambda-functie niet is geconfigureerd met een wachtrij met onbestelbare letters. Als alternatief voor een on-failure-bestemming kunt u uw functie configureren met een wachtrij met dode letters om verwijderde gebeurtenissen op te slaan voor verdere verwerking. Een wachtrij met dead-letter fungeert hetzelfde als een on-failure-bestemming. Deze wordt gebruikt wanneer een gebeurtenis alle verwerkingspogingen mislukt of verloopt zonder te worden verwerkt. Met een wachtrij met dode letters kunt u terugkijken naar fouten of mislukte aanvragen voor uw Lambda-functie om fouten op te sporen of ongebruikelijk gedrag te identificeren. Vanuit beveiligingsperspectief is het belangrijk om te begrijpen waarom uw functie is mislukt en om ervoor te zorgen dat uw functie geen gegevens verwijdert of gegevensbeveiliging in gevaar brengt. Als uw functie bijvoorbeeld niet kan communiceren met een onderliggende resource, kan dat een symptoom zijn van een DoS-aanval (Denial of Service) elders in het netwerk.

Ernst: gemiddeld

Lambda-functies moeten ondersteunde runtimes gebruiken

Beschrijving: Met dit besturingselement wordt gecontroleerd of de Lambda-functie-instellingen voor runtimes overeenkomen met de verwachte waarden die zijn ingesteld voor de ondersteunde runtimes voor elke taal. Met dit besturingselement wordt gecontroleerd op de volgende runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda-runtimes zijn gebouwd rond een combinatie van besturingssysteem-, programmeertaal- en softwarebibliotheken die onderhevig zijn aan onderhoud en beveiligingsupdates. Wanneer een runtime-onderdeel niet meer wordt ondersteund voor beveiligingsupdates, wordt de runtime afgeschaft. Hoewel u geen functies kunt maken die gebruikmaken van de afgeschafte runtime, is de functie nog steeds beschikbaar voor het verwerken van aanroep-gebeurtenissen. Zorg ervoor dat uw Lambda-functies actueel zijn en geen verouderde runtime-omgevingen gebruiken. Zie AWS Lambda-runtimes in de ONTWIKKELAARShandleiding van AWS Lambda voor meer informatie over de ondersteunde runtimes die met dit besturingselement worden gecontroleerd op de ondersteunde talen.

Ernst: gemiddeld

Beheerpoorten van EC2-exemplaren moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer

Beschrijving: Microsoft Defender voor Cloud een aantal te permissieve regels voor inkomend verkeer voor beheerpoorten in uw netwerk geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw exemplaren te beschermen tegen beveiligingsaanvallen op internet. Meer informatie.

Ernst: Hoog

Ongebruikte EC2-beveiligingsgroepen moeten worden verwijderd

Beschrijving: Beveiligingsgroepen moeten worden gekoppeld aan Amazon EC2-exemplaren of aan een ENI. Gezonde resultaten kunnen erop wijzen dat er ongebruikte Amazon EC2-beveiligingsgroepen zijn.

Ernst: Laag

GCP Compute-aanbevelingen

Vm's van de compute-engine moeten gebruikmaken van het besturingssysteem dat is geoptimaliseerd voor containers

Beschrijving: Deze aanbeveling evalueert de configuratie-eigenschap van een knooppuntgroep voor het sleutel-waardepaar imageType: 'COS.'

Ernst: Laag

EDR-configuratieproblemen moeten worden opgelost op virtuele GCP-machines

Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen. Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor Microsoft Defender voor Eindpunt ingeschakeld.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Hoog

EDR-oplossing moet worden geïnstalleerd op GCP Virtual Machines

Beschrijving: Als u virtuele machines wilt beveiligen, installeert u een EDR-oplossing (Endpoint Detection and Response). EDR's helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Servers om Microsoft Defender voor Eindpunt te implementeren. Als de resource is geclassificeerd als 'Niet in orde', is er geen ondersteunde EDR-oplossing geïnstalleerd. Als u een EDR-oplossing hebt geïnstalleerd die niet kan worden gedetecteerd door deze aanbeveling, kunt u deze uitsluiten.

Deze aanbeveling voor eindpunt zonder agent is beschikbaar als u Defender for Servers Plan 2 of het Defender CSPM-abonnement hebt. Meer informatie over aanbevelingen voor eindpuntbeveiliging zonder agent.

Ernst: Hoog

Zorg ervoor dat SSH-sleutels voor het hele project worden ingeschakeld voor VM-exemplaren

Beschrijving: Het wordt aanbevolen om exemplaarspecifieke SSH-sleutel(s) te gebruiken in plaats van een of meer algemene/gedeelde SSH-sleutel(s) te gebruiken voor toegang tot exemplaren. SSH-sleutels voor het hele project worden opgeslagen in Compute/Project-meta-data. SSH-sleutels voor het hele project kunnen worden gebruikt om u aan te melden bij alle exemplaren binnen het project. Het gebruik van SSH-sleutels voor het hele project vereenvoudigt het beheer van SSH-sleutels, maar als er inbreuk is gemaakt, vormt dit het beveiligingsrisico dat van invloed kan zijn op alle exemplaren binnen het project. Het is raadzaam om exemplaarspecifieke SSH-sleutels te gebruiken die het kwetsbaarheid voor aanvallen kunnen beperken als de SSH-sleutels worden aangetast.

Ernst: gemiddeld

Controleren of compute-exemplaren worden gestart met afgeschermde VM ingeschakeld

Beschrijving: Als u zich wilt beschermen tegen geavanceerde bedreigingen en ervoor wilt zorgen dat de opstartlaadprogramma's en firmware op uw VM's zijn ondertekend en niet zijn verwijderd, wordt het aanbevolen dat compute-exemplaren worden gestart met afgeschermde VM ingeschakeld. Afgeschermde VM's zijn VM's op Google Cloud Platform die worden beveiligd door een set beveiligingscontroles die bescherming bieden tegen rootkits en bootkits. Afgeschermde VM biedt verifieerbare integriteit van uw VM-exemplaren van de Compute Engine, zodat u er zeker van kunt zijn dat uw exemplaren niet zijn aangetast door opstart- of kernel-malware of rootkits. De verifieerbare integriteit van afgeschermde VM's wordt bereikt door gebruik te maken van beveiligd opstarten, virtuele vertrouwde platformmodule (vTPM) met gemeten opstarten en integriteitscontrole. Afgeschermde VM-exemplaren voeren firmware uit die is ondertekend en geverifieerd met behulp van de certificeringsinstantie van Google, om ervoor te zorgen dat de firmware van het exemplaar ongewijzigd blijft en de hoofdmap van vertrouwen voor beveiligd opstarten tot stand wordt gebracht. Integriteitscontrole helpt u bij het begrijpen en nemen van beslissingen over de status van uw VM-exemplaren en de afgeschermde VM vTPM maakt gemeten opstarten mogelijk door de metingen uit te voeren die nodig zijn om een bekende goede opstartbasislijn te maken, de zogenaamde basislijn voor integriteitsbeleid. De basislijn voor integriteitsbeleid wordt gebruikt om te vergelijken met metingen van volgende VM-boots om te bepalen of er iets is gewijzigd. Beveiligd opstarten helpt ervoor te zorgen dat het systeem alleen authentieke software uitvoert door de digitale handtekening van alle opstartonderdelen te verifiëren en het opstartproces te stoppen als de handtekeningverificatie mislukt.

Ernst: Hoog

Zorg ervoor dat 'Verbinding maken met seriële poorten inschakelen' niet is ingeschakeld voor het VM-exemplaar

Beschrijving: Interactie met een seriële poort wordt vaak aangeduid als de seriële console, die vergelijkbaar is met het gebruik van een terminalvenster, in die invoer en uitvoer zich volledig in de tekstmodus bevindt en er geen grafische interface of muisondersteuning is. Als u de interactieve seriële console op een exemplaar inschakelt, kunnen clients proberen verbinding te maken met dat exemplaar vanaf elk IP-adres. Daarom moet interactieve seriële consoleondersteuning worden uitgeschakeld. Een exemplaar van een virtuele machine heeft vier virtuele seriële poorten. Interactie met een seriële poort is vergelijkbaar met het gebruik van een terminalvenster, in die invoer en uitvoer bevindt zich volledig in de tekstmodus en er is geen grafische interface of muisondersteuning. Het besturingssysteem, het BIOS en andere entiteiten op systeemniveau van het exemplaar schrijven vaak uitvoer naar de seriële poorten en kunnen invoer accepteren, zoals opdrachten of antwoorden op prompts. Deze entiteiten op systeemniveau gebruiken doorgaans de eerste seriële poort (poort 1) en seriële poort 1, ook wel de seriële console genoemd. De interactieve seriële console biedt geen ondersteuning voor op IP gebaseerde toegangsbeperkingen, zoals IP-acceptatielijsten. Als u de interactieve seriële console op een exemplaar inschakelt, kunnen clients proberen verbinding te maken met dat exemplaar vanaf elk IP-adres. Hierdoor kan iedereen verbinding maken met dat exemplaar als hij de juiste SSH-sleutel, gebruikersnaam, project-id, zone en exemplaarnaam kent. Daarom moet interactieve seriële consoleondersteuning worden uitgeschakeld.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_duration' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de instelling log_hostname inschakelt, wordt de duur van elke voltooide instructie vastgelegd. Hiermee wordt de tekst van de query niet in een logboek opgeslagen en gedraagt zich dus anders dan de log_min_duration_statement vlag. Deze parameter kan niet worden gewijzigd nadat de sessie is gestart. Het bewaken van de tijd die nodig is om de query's uit te voeren, kan cruciaal zijn bij het identificeren van resource-hoggingquery's en het beoordelen van de prestaties van de server. Verdere stappen, zoals taakverdeling en het gebruik van geoptimaliseerde query's, kunnen worden uitgevoerd om de prestaties en stabiliteit van de server te garanderen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_executor_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De PostgreSQL-uitvoerder is verantwoordelijk voor het uitvoeren van het plan dat door de PostgreSQL-planner wordt overgedragen. De uitvoerder verwerkt het plan recursief om de vereiste set rijen te extraheren. De vlag 'log_executor_stats' bepaalt de opname van prestatiestatistieken van PostgreSQL-uitvoerders in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_executor_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van prestatiestatistieken van PostgreSQL-uitvoerders. Hoewel dit nuttig kan zijn voor het oplossen van problemen, kan het aantal logboeken aanzienlijk toenemen en prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_error_statement' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op Fout of strenger is

Beschrijving: De vlag 'log_min_error_statement' definieert het minimale ernstniveau van het bericht dat wordt beschouwd als een foutinstructie. Berichten voor foutinstructies worden vastgelegd met de SQL-instructie. Geldige waarden zijn 'DEBUG5', 'DEBUG4', 'DEBUG3', 'DEBUG2', 'DEBUG1', 'INFO', 'NOTICE', 'WAARSCHUWING', 'FOUT', 'LOGBOEK', 'FATAL' en 'PANIEK'. Elk ernstniveau bevat de volgende niveaus die hierboven worden genoemd. Zorg ervoor dat een waarde van ERROR of strenger is ingesteld. Controle helpt bij het oplossen van operationele problemen en maakt forensische analyse ook mogelijk. Als 'log_min_error_statement' niet is ingesteld op de juiste waarde, worden berichten mogelijk niet geclassificeerd als foutberichten. Als u algemene logboekberichten beschouwt als foutberichten, is het lastig om werkelijke fouten te vinden en overweegt u alleen strengere ernstniveaus, omdat foutberichten de werkelijke fouten kunnen overslaan om hun SQL-instructies te registreren. De vlag 'log_min_error_statement' moet worden ingesteld op FOUT of strenger. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_parser_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De PostgreSQL-planner/optimizer is verantwoordelijk voor het parseren en controleren van de syntaxis van elke query die door de server wordt ontvangen. Als de syntaxis juist is, wordt een 'parseringsstructuur' opgebouwd, anders wordt er een fout gegenereerd. De vlag 'log_parser_stats' bepaalt de opname van prestatiestatistieken van parser in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_parser_stats' kunt u een ruwe profileringsmethode gebruiken voor prestatiestatistieken van logboekregistratieparser, wat ook nuttig kan zijn voor het oplossen van problemen, het kan het aantal logboeken aanzienlijk verhogen en prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_planner_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: Dezelfde SQL-query kan op meerdere manieren worden uitgevoerd en nog steeds verschillende resultaten produceren. De PostgreSQL planner/optimizer is verantwoordelijk voor het maken van een optimaal uitvoeringsplan voor elke query. De vlag 'log_planner_stats' bepaalt de opname van prestatiestatistieken van PostgreSQL-planner in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_planner_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van prestatiestatistieken van PostgreSQL-planner, die ook nuttig kan zijn voor het oplossen van problemen, kan het aantal logboeken aanzienlijk toenemen en de prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_statement_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De vlag 'log_statement_stats' bepaalt de opname van end-to-end prestatiestatistieken van een SQL-query in de PostgreSQL-logboeken voor elke query. Dit kan niet worden ingeschakeld met andere modulestatistieken (log_parser_stats, log_planner_stats, log_executor_stats). Met de vlag 'log_statement_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van end-to-end prestatiestatistieken van een SQL-query. Dit kan handig zijn voor het oplossen van problemen, maar kan het aantal logboeken aanzienlijk verhogen en prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat rekeninstanties geen openbare IP-adressen hebben

Beschrijving: Rekeninstanties mogen niet worden geconfigureerd voor externe IP-adressen. Om de kwetsbaarheid voor aanvallen te verminderen, mogen rekeninstanties geen openbare IP-adressen hebben. In plaats daarvan moeten instanties worden geconfigureerd achter load balancers om de blootstelling van het exemplaar aan internet te minimaliseren. Exemplaren die door GKE zijn gemaakt, moeten worden uitgesloten omdat sommige van deze exemplaren externe IP-adressen hebben en niet kunnen worden gewijzigd door de instantie-instellingen te bewerken. Deze VM's hebben namen die beginnen met gke- en zijn gelabeld goog-gke-node.

Ernst: Hoog

Zorg ervoor dat exemplaren niet zijn geconfigureerd voor het gebruik van het standaardserviceaccount

Beschrijving: Het is raadzaam om uw exemplaar te configureren om het standaardserviceaccount van de Compute Engine niet te gebruiken, omdat het de rol Editor voor het project heeft. Het standaardaccount van de Compute Engine-service heeft de rol Editor in het project, waarmee lees- en schrijftoegang tot de meeste Google Cloud Services mogelijk is. Als u zich wilt beschermen tegen escalatie van bevoegdheden als uw VIRTUELE machine is aangetast en om te voorkomen dat een aanvaller toegang krijgt tot al uw projecten, wordt u aangeraden het standaardaccount van de Compute Engine-service niet te gebruiken. In plaats daarvan moet u een nieuw serviceaccount maken en alleen de machtigingen toewijzen die nodig zijn voor uw exemplaar. Het standaardaccount van de Compute Engine-service heeft de naam [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. VM's die door GKE zijn gemaakt, moeten worden uitgesloten. Deze VM's hebben namen die beginnen met gke- en zijn gelabeld goog-gke-node.

Ernst: Hoog

Zorg ervoor dat exemplaren niet zijn geconfigureerd voor het gebruik van het standaardserviceaccount met volledige toegang tot alle Cloud-API's

Beschrijving: Ter ondersteuning van het principe van minimale bevoegdheden en het voorkomen van mogelijke escalatie van bevoegdheden, wordt aanbevolen dat exemplaren niet worden toegewezen aan het standaardserviceaccount 'Standaardserviceaccount compute Engine' met bereik 'Volledige toegang tot alle Cloud-API's toestaan'. Naast de mogelijkheid om optioneel door gebruikers beheerde aangepaste serviceaccounts te maken, te beheren en te gebruiken, biedt Google Compute Engine standaardserviceaccount 'Compute Engine-standaardserviceaccount' voor een exemplaar voor toegang tot de benodigde cloudservices.

De rol 'Project-editor' is toegewezen aan het standaardserviceaccount compute-engine. Dit serviceaccount heeft daarom bijna alle mogelijkheden voor alle cloudservices, met uitzondering van facturering. Wanneer er echter een standaardserviceaccount voor de compute-engine is toegewezen aan een exemplaar, kan het in drie bereiken worden uitgevoerd.

  • Standaardtoegang toestaan: hiermee staat u alleen minimale toegang toe die vereist is om een exemplaar uit te voeren (minimale bevoegdheden).
  • Volledige toegang tot alle cloud-API's toestaan: volledige toegang tot alle cloud-API's/services toestaan (te veel toegang).
  • Toegang instellen voor elke API: Hiermee kan de instantiebeheerder alleen de API's kiezen die nodig zijn om specifieke bedrijfsfunctionaliteit uit te voeren die wordt verwacht per exemplaar.

Wanneer een exemplaar is geconfigureerd met 'Standaardserviceaccount compute-engine' met bereik 'Volledige toegang tot alle Cloud-API's toestaan', op basis van IAM-rollen die zijn toegewezen aan de gebruiker(s) die toegang hebben tot exemplaar, kan het gebruikers toestaan cloudbewerkingen/API-aanroepen uit te voeren die de gebruiker niet mag uitvoeren voor een geslaagde escalatie van bevoegdheden.

VM's die door GKE zijn gemaakt, moeten worden uitgesloten. Deze VM's hebben namen die beginnen met gke- en zijn gelabeld goog-gke-node.

Ernst: gemiddeld

Zorg ervoor dat doorsturen via IP niet is ingeschakeld voor exemplaren

Beschrijving: het rekenengine-exemplaar kan een pakket alleen doorsturen als het bron-IP-adres van het pakket overeenkomt met het IP-adres van het exemplaar. Op dezelfde manier levert GCP geen pakket waarvan het doel-IP-adres verschilt van het IP-adres van het exemplaar dat het pakket ontvangt. Beide mogelijkheden zijn echter vereist als u exemplaren wilt gebruiken om pakketten te routeren. Het doorsturen van gegevenspakketten moet worden uitgeschakeld om gegevensverlies of openbaarmaking van gegevens te voorkomen. Het rekenengineexemplaren kunnen een pakket alleen doorsturen als het bron-IP-adres van het pakket overeenkomt met het IP-adres van het exemplaar. Op dezelfde manier levert GCP geen pakket waarvan het doel-IP-adres verschilt van het IP-adres van het exemplaar dat het pakket ontvangt. Beide mogelijkheden zijn echter vereist als u exemplaren wilt gebruiken om pakketten te routeren. Als u deze bron- en doel-IP-controle wilt inschakelen, schakelt u het veld canIpForward uit, waarmee een exemplaar pakketten met niet-overeenkomende doel- of bron-IP-adressen kan verzenden en ontvangen.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_checkpoints' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Zorg ervoor dat de log_checkpoints databasevlag voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op aan. Als u log_checkpoints inschakelt, worden controlepunten en herstartpunten vastgelegd in het serverlogboek. Sommige statistieken worden opgenomen in de logboekberichten, inclusief het aantal buffers dat is geschreven en de tijd die nodig is om ze te schrijven. Deze parameter kan alleen worden ingesteld in het bestand postgresql.conf of op de opdrachtregel van de server. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_lock_waits' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de vlag 'log_lock_waits' inschakelt voor een PostgreSQL-exemplaar, wordt er een logboek gemaakt voor een sessiewachttijd die langer duurt dan de toegewezen 'deadlock_timeout'-tijd om een vergrendeling te verkrijgen. De time-out van de impasse definieert de tijd die moet worden gewacht op een vergrendeling voordat wordt gecontroleerd op eventuele voorwaarden. Frequente run-overs bij time-outs voor impasses kan een indicatie zijn van een onderliggend probleem. Het vastleggen van dergelijke wachttijden op vergrendelingen door de vlag log_lock_waits in te schakelen, kan worden gebruikt om slechte prestaties te identificeren vanwege vergrendelingsvertragingen of als een speciaal gemaakte SQL resources probeert te verhongeren door vergrendelingen te bewaren voor overmatige hoeveelheid tijd. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_duration_statement' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op -1

Beschrijving: De vlag 'log_min_duration_statement' definieert de minimale uitvoeringstijd van een instructie in milliseconden waarin de totale duur van de instructie wordt vastgelegd. Zorg ervoor dat 'log_min_duration_statement' is uitgeschakeld, dat wil gezegd: een waarde van -1 is ingesteld. Sql-instructies voor logboekregistratie bevatten mogelijk gevoelige informatie die niet in logboeken moet worden vastgelegd. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_messages' voor het Cloud SQL PostgreSQL-exemplaar juist is ingesteld

Beschrijving: De vlag 'log_min_error_statement' definieert het minimale ernstniveau van het bericht dat wordt beschouwd als een foutinstructie. Berichten voor foutinstructies worden vastgelegd met de SQL-instructie. Geldige waarden zijn 'DEBUG5', 'DEBUG4', 'DEBUG3', 'DEBUG2', 'DEBUG1', 'INFO', 'NOTICE', 'WAARSCHUWING', 'FOUT', 'LOGBOEK', 'FATAL' en 'PANIEK'. Elk ernstniveau bevat de volgende niveaus die hierboven worden genoemd. Als u mislukte instructies voor logboekregistratie effectief wilt uitschakelen, stelt u deze parameter in op PANIEK. ERROR wordt beschouwd als de best practice-instelling. Wijzigingen mogen alleen worden aangebracht in overeenstemming met het logboekregistratiebeleid van de organisatie. Controle helpt bij het oplossen van operationele problemen en maakt forensische analyse ook mogelijk. Als 'log_min_error_statement' niet is ingesteld op de juiste waarde, worden berichten mogelijk niet geclassificeerd als foutberichten. Als u algemene logboekberichten beschouwt als foutberichten, kan het lastig zijn om werkelijke fouten te vinden, terwijl u alleen strengere ernstniveaus overweegt, omdat foutberichten werkelijke fouten kunnen overslaan om hun SQL-instructies te registreren. De vlag 'log_min_error_statement' moet worden ingesteld overeenkomstig het logboekregistratiebeleid van de organisatie. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_temp_files' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 0

Beschrijving: PostgreSQL kan een tijdelijk bestand maken voor acties zoals sorteren, hashen en tijdelijke queryresultaten wanneer deze bewerkingen groter zijn dan 'work_mem'. De vlag 'log_temp_files' bepaalt namen van logboekregistraties en de bestandsgrootte wanneer deze wordt verwijderd. Als u 'log_temp_files' configureert op 0, worden alle tijdelijke bestandsgegevens vastgelegd, terwijl alleen bestanden met positieve waarden worden geregistreerd waarvan de grootte groter is dan of gelijk is aan het opgegeven aantal kilobytes. Een waarde van '-1' schakelt de logboekregistratie van tijdelijke bestandsgegevens uit. Als alle tijdelijke bestanden niet worden geregistreerd, kan het lastiger zijn om potentiële prestatieproblemen te identificeren die kunnen worden veroorzaakt door slechte toepassingscodering of opzettelijke pogingen om resources te verhongeren.

Ernst: Laag

Zorg ervoor dat VM-schijven voor kritieke VM's zijn versleuteld met door de klant geleverde versleutelingssleutel

Beschrijving: Door de klant geleverde versleutelingssleutels (CSEK) zijn een functie in Google Cloud Storage en Google Compute Engine. Als u uw eigen versleutelingssleutels opgeeft, gebruikt Google uw sleutel om de door Google gegenereerde sleutels te beveiligen die worden gebruikt voor het versleutelen en ontsleutelen van uw gegevens. Google Compute Engine versleutelt standaard alle data-at-rest. Compute Engine verwerkt en beheert deze versleuteling voor u zonder extra acties. Als u deze versleuteling echter zelf wilt beheren en beheren, kunt u uw eigen versleutelingssleutels opgeven. Google Compute Engine versleutelt standaard alle data-at-rest. Compute Engine verwerkt en beheert deze versleuteling voor u zonder extra acties. Als u deze versleuteling echter zelf wilt beheren en beheren, kunt u uw eigen versleutelingssleutels opgeven. Als u uw eigen versleutelingssleutels opgeeft, gebruikt Compute Engine uw sleutel om de door Google gegenereerde sleutels te beveiligen die worden gebruikt voor het versleutelen en ontsleutelen van uw gegevens. Alleen gebruikers die de juiste sleutel kunnen opgeven, kunnen resources gebruiken die worden beveiligd door een door de klant geleverde versleutelingssleutel. Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel. Op zijn minst bedrijfskritieke VM's moeten VM-schijven zijn versleuteld met CSEK.

Ernst: gemiddeld

Voor GCP-projecten moet automatische inrichting van Azure Arc zijn ingeschakeld

Beschrijving: Voor volledige zichtbaarheid van de beveiligingsinhoud van Microsoft Defender voor servers moeten GCP VM-exemplaren zijn verbonden met Azure Arc. Om ervoor te zorgen dat alle in aanmerking komende VM-exemplaren automatisch Azure Arc ontvangen, schakelt u automatische inrichting van Defender voor Cloud in op GCP-projectniveau. Meer informatie over Azure Arc en Microsoft Defender voor Servers.

Ernst: Hoog

GCP VM-exemplaren moeten zijn verbonden met Azure Arc

Beschrijving: Verbind uw virtuele GCP-machines met Azure Arc om volledige zichtbaarheid te hebben van de beveiligingsinhoud van Microsoft Defender for Servers. Meer informatie over Azure Arc en over Microsoft Defender voor Servers in een hybride cloudomgeving.

Ernst: Hoog

Voor GCP VM-exemplaren moet de configuratieagent van het besturingssysteem zijn geïnstalleerd

Beschrijving: Voor het ontvangen van de volledige defender voor servers-mogelijkheden met automatische inrichting van Azure Arc moeten voor GCP-VM's de configuratieagent van het besturingssysteem zijn ingeschakeld.

Ernst: Hoog

De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoRepair', 'value': true.

Ernst: gemiddeld

De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoUpgrade', 'value': true.

Ernst: Hoog

Bewaking op GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.

Ernst: gemiddeld

Gerelateerde inhoud