Aanbevelingen voor gegevensbeveiliging

In dit artikel vindt u alle aanbevelingen voor gegevensbeveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Aanbevelingen voor Azure-gegevens

Azure Cosmos DB moet openbare netwerktoegang uitschakelen

Beschrijving: Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Cosmos DB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Cosmos DB-account beperken. Meer informatie. (Gerelateerd beleid: Azure Cosmos DB moet openbare netwerktoegang uitschakelen).

Ernst: gemiddeld

(Inschakelen indien nodig) Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/cosmosdb-cmk. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Versleuteling in rust van uw Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels (CMK). Standaard worden de klantgegevens versleuteld met door service beheerde sleutels, maar CMK‘s zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/azureml-workspaces-cmk. (Gerelateerd beleid: Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK).

Ernst: Laag

Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren

Beschrijving: TLS-versie instellen op 1.2 of hoger verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. (Gerelateerd beleid: In Azure SQL Database moet TLS-versie 1.2 of hoger worden uitgevoerd.

Ernst: gemiddeld

Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen

Beschrijving: Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Meer informatie over openbare netwerktoegang. (Gerelateerd beleid: Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen).

Ernst: gemiddeld

Cosmos DB-accounts moeten private link gebruiken

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Wanneer privé-eindpunten worden toegewezen aan uw Cosmos DB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen. (Gerelateerd beleid: Cosmos DB-accounts moeten gebruikmaken van private link).

Ernst: gemiddeld

(Inschakelen indien nodig) MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor MySQL-servers).

Ernst: Laag

(Inschakelen indien nodig) PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor PostgreSQL-servers).

Ernst: Laag

(Inschakelen indien nodig) Met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: Beheerde SQL-exemplaren moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Beveilig uw opslagaccount met meer flexibiliteit met behulp van door klant beheerde sleutels (CMK's). Wanneer u een CMK opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van CMK's biedt extra mogelijkheden voor het beheren van de rotatie van de sleutelversleutelingssleutel of het cryptografisch wissen van gegevens. (Gerelateerd beleid: Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling.

Ernst: Laag

Alle advanced threat protection-typen moeten zijn ingeschakeld in geavanceerde instellingen voor gegevensbeveiliging van SQL Managed Instance

Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging in te schakelen op uw beheerde SQL-exemplaren. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)

Ernst: gemiddeld

Alle advanced threat protection-typen moeten zijn ingeschakeld in geavanceerde beveiligingsinstellingen voor SQL Server-gegevens

Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging op uw SQL-servers in te schakelen. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)

Ernst: gemiddeld

API Management-services moeten een virtueel netwerk gebruiken

Beschrijving: Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service in een niet-internet routeerbaar netwerk te plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. (Gerelateerd beleid: API Management-services moeten gebruikmaken van een virtueel netwerk).

Ernst: gemiddeld

Voor App Configuration moeten privékoppelingen worden gebruikt

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. (Gerelateerd beleid: App Configuration moet gebruikmaken van private link).

Ernst: gemiddeld

Controleretentie voor SQL-servers moet worden ingesteld op ten minste 90 dagen

Beschrijving: SQL-servers controleren die zijn geconfigureerd met een bewaarperiode voor controle van minder dan 90 dagen. (Gerelateerd beleid: SQL-servers moeten worden geconfigureerd met 90 dagen controleretentie of hoger.)

Ernst: Laag

Controle op SQL Server moet zijn ingeschakeld

Beschrijving: Schakel controle op uw SQL Server in om databaseactiviteiten in alle databases op de server bij te houden en op te slaan in een auditlogboek. (Gerelateerd beleid: Controle op SQL Server moet zijn ingeschakeld).

Ernst: Laag

Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen

Beschrijving: Om te controleren op beveiligingsproblemen en bedreigingen, verzamelt Microsoft Defender voor Cloud gegevens van uw virtuele Azure-machines. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. (Gerelateerd beleid: Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement.

Ernst: Laag

Azure Cache voor Redis moet zich in een virtueel netwerk bevinden

Beschrijving: De implementatie van Azure Virtual Network (VNet) biedt verbeterde beveiliging en isolatie voor uw Azure Cache voor Redis, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een Azure Cache voor Redis exemplaar is geconfigureerd met een VNet, is het niet openbaar adresseerbaar en kan het alleen worden geopend vanuit virtuele machines en toepassingen binnen het VNet. (Gerelateerd beleid: Azure Cache voor Redis zich in een virtueel netwerk moet bevinden).

Ernst: gemiddeld

Azure Database for MySQL moet een Azure Active Directory-beheerder hebben ingericht

Beschrijving: Richt een Azure AD-beheerder in voor uw Azure Database for MySQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer mogelijk voor databasegebruikers en andere Microsoft-services (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor MySQL-servers).

Ernst: gemiddeld

Azure Database for PostgreSQL moet een Azure Active Directory-beheerder hebben ingericht

Beschrijving: Richt een Azure AD-beheerder in voor uw Azure Database for PostgreSQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk
(Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor PostgreSQL-servers).

Ernst: gemiddeld

Flexibele Azure Database for PostgreSQL-server moet alleen Microsoft Entra-verificatie hebben ingeschakeld

Beschrijving: Het uitschakelen van lokale verificatiemethoden en het vereisen van Microsoft Entra-verificatie verbetert de beveiliging door ervoor te zorgen dat de flexibele Server van Azure Database for PostgreSQL alleen toegankelijk is voor Microsoft Entra-identiteiten (gerelateerd beleid: Flexibele Azure PostgreSQL-server moet alleen Microsoft Entra-verificatie hebben ingeschakeld).

Ernst: gemiddeld

Azure Cosmos DB-accounts moeten firewallregels bevatten

Beschrijving: Firewallregels moeten worden gedefinieerd voor uw Azure Cosmos DB-accounts om te voorkomen dat verkeer afkomstig is van onbevoegde bronnen. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten firewallregels hebben).

Ernst: gemiddeld

Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Event Grid-domeinen in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid-domeinen moeten gebruikmaken van private link).

Ernst: gemiddeld

Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw onderwerpen in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid-onderwerpen moeten gebruikmaken van private link).

Ernst: gemiddeld

Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw Azure Machine Learning-werkruimten toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/azureml-workspaces-privatelink. (Gerelateerd beleid: Azure Machine Learning-werkruimten moeten gebruikmaken van private link).

Ernst: gemiddeld

Voor Azure SignalR Service moet Private Link worden gebruikt

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw SignalR-resources in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/asrs/privatelink. (Gerelateerd beleid: Azure SignalR Service moet private link gebruiken).

Ernst: gemiddeld

Azure Spring Cloud moet netwerkinjectie gebruiken

Beschrijving: Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. (Gerelateerd beleid: Azure Spring Cloud moet netwerkinjectie gebruiken).

Ernst: gemiddeld

SQL-servers moeten een Azure Active Directory-beheerder hebben ingericht

Beschrijving: Richt een Azure AD-beheerder in voor uw SQL-server om Azure AD-verificatie in te schakelen. Met Azure AD-verificatie zijn vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk. (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers).

Ernst: Hoog

Verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn

Beschrijving: De verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn, maar alleen verificatiemethoden van Azure Active Directory verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Azure AD-identiteiten vereisen voor verificatie. Meer informatie. (Gerelateerd beleid: Synapse-werkruimten mogen alleen Azure Active Directory-identiteiten gebruiken voor verificatie).

Ernst: gemiddeld

In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost

Beschrijving: Defender voor DevOps heeft beveiligingsproblemen gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)

Ernst: gemiddeld

De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost

Beschrijving: Defender voor DevOps heeft beveiligingsproblemen gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)

Ernst: gemiddeld

Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost

Beschrijving: Defender voor DevOps heeft infrastructuur gevonden als problemen met de configuratie van codebeveiliging in opslagplaatsen. De onderstaande problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen. (Geen gerelateerd beleid)

Ernst: gemiddeld

Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost

Beschrijving: Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Security DevOps CredScan alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen. (Geen gerelateerd beleid)

Ernst: Hoog

Voor Cognitive Services-accounts moet gegevensversleuteling zijn ingeschakeld

Beschrijving: Dit beleid controleert alle Cognitive Services-accounts die geen gegevensversleuteling gebruiken. Voor elk account met opslag moet u gegevensversleuteling inschakelen met een door de klant beheerde of door Microsoft beheerde sleutel. (Gerelateerd beleid: Cognitive Services-accounts moeten gegevensversleuteling inschakelen).

Ernst: Laag

Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen

Beschrijving: Met dit beleid worden alle Cognitive Services-accounts gecontroleerd die geen gebruik maken van opslag in eigendom van de klant of gegevensversleuteling. Voor alle Cognitive Services-accounts met opslag gebruikt u opslag van de klant of schakelt u gegevensversleuteling in. Is afgestemd op Microsoft Cloud Security Benchmark. (Gerelateerd beleid: Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen.)

Ernst: Laag

Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld).

Ernst: Laag

E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld

Beschrijving: Schakel e-mailmeldingen in voor waarschuwingen met een hoge ernst in Defender voor Cloud om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er een mogelijke beveiligingsschending in een van uw abonnementen is. (Gerelateerd beleid: E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).

Ernst: Laag

E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld

Beschrijving: Stel e-mailmeldingen in op abonnementseigenaren voor waarschuwingen met een hoge ernst in Defender voor Cloud om ervoor te zorgen dat uw abonnementseigenaren op de hoogte worden gesteld wanneer er sprake is van een mogelijke beveiligingsschending in hun abonnement. (Gerelateerd beleid: E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).

Ernst: gemiddeld

SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers

Beschrijving: Azure Database for MySQL ondersteunt het verbinden van uw Azure Database for MySQL-server met clienttoepassingen met behulp van Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers).

Ernst: gemiddeld

SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers

Beschrijving: Azure Database for PostgreSQL ondersteunt het verbinden van uw Azure Database for PostgreSQL-server met clienttoepassingen met ssl (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers).

Ernst: gemiddeld

Functie-apps moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Het scannen van runtimeproblemen op functies scant uw functie-apps op beveiligingsproblemen en toont gedetailleerde bevindingen. Het oplossen van de beveiligingsproblemen kan de beveiligingsstatus van uw serverloze toepassingen aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Geen gerelateerd beleid)

Ernst: Hoog

Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB

Beschrijving: Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB).

Ernst: Laag

Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL

Beschrijving: Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL).

Ernst: Laag

Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL

Beschrijving: Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL).

Ernst: Laag

Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld

Beschrijving: GitHub gebruikt codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid)

Ernst: gemiddeld

Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld

Beschrijving: GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid)

Ernst: gemiddeld

Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld

Beschrijving: GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor Azure SQL Database-servers moeten zijn ingeschakeld

Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database en het detecteren en classificeren van gevoelige gegevens.

Beveiligingen van dit abonnement worden in rekening gebracht, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen Azure SQL Database-servers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure SQL Database-servers in dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio.

Meer informatie vindt u in Inleiding tot Microsoft Defender voor SQL. (Gerelateerd beleid: Azure Defender voor Azure SQL Database-servers moeten zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor DNS moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Defender voor DNS waarschuwt u voor verdachte activiteiten op de DNS-laag. Meer informatie vindt u in Inleiding tot Microsoft Defender voor DNS. Als u dit Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor opensource-relationele databases moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie vindt u in Inleiding tot Microsoft Defender voor opensource-relationele databases.

Als u dit plan inschakelt, worden er kosten in rekening gebracht voor het beveiligen van uw opensource-relationele databases. Als u geen opensource-relationele databases in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst opensource-relationele databases voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor Resource Manager moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Defender voor Cloud bedreigingen detecteert en waarschuwt u over verdachte activiteiten. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Resource Manager. Als u dit Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor SQL op computers moet zijn ingeschakeld voor werkruimten

Beschrijving: Microsoft Defender voor servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender voor servers in een werkruimte inschakelt, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender ook inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)

Ernst: gemiddeld

Microsoft Defender voor SQL-servers op computers moeten zijn ingeschakeld

Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database en het detecteren en classificeren van gevoelige gegevens.

Als u deze aanbeveling verhelpt, worden kosten in rekening gebracht voor het beveiligen van uw SQL-servers op computers. Als u geen SQL-servers op computers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst SQL-servers op computers maakt voor dit abonnement, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie over Microsoft Defender voor SQL-servers op computers. (Gerelateerd beleid: Azure Defender voor SQL-servers op computers moeten zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers

Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven in prijsgegevens per regio. (Gerelateerd beleid: Geavanceerde gegevensbeveiliging moet zijn ingeschakeld op uw SQL-servers).

Ernst: Hoog

Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances

Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven in prijsgegevens per regio. (Gerelateerd beleid: Geavanceerde gegevensbeveiliging moet zijn ingeschakeld voor SQL Managed Instance).

Ernst: Hoog

Microsoft Defender voor Storage moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor opslag detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts.

Beveiligingen van dit abonnement worden in rekening gebracht, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen Azure Storage-accounts in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure Storage-accounts voor dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Storage. (Gerelateerd beleid: Azure Defender voor Storage moet zijn ingeschakeld).

Ernst: Hoog

Network Watcher moet zijn ingeschakeld

Beschrijving: Network Watcher is een regionale service waarmee u voorwaarden kunt bewaken en diagnosticeren op netwerkscenarioniveau in, naar en van Azure. Met bewaking op scenarioniveau kunt u problemen vaststellen in een end-to-end netwerkniveauweergave. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen. (Gerelateerd beleid: Network Watcher moet zijn ingeschakeld).

Ernst: Laag

Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld

Beschrijving: Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door privéconnectiviteit met Azure SQL Database in te schakelen. (Gerelateerd beleid: Privé-eindpuntverbindingen in Azure SQL Database moeten zijn ingeschakeld).

Ernst: gemiddeld

Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers

Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for MariaDB in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers).

Ernst: gemiddeld

Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers

Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for MySQL in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor MySQL-servers).

Ernst: gemiddeld

Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers

Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for PostgreSQL in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers).

Ernst: gemiddeld

Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld

Beschrijving: Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. (Gerelateerd beleid: Openbare netwerktoegang in Azure SQL Database moet worden uitgeschakeld).

Ernst: gemiddeld

Openbare netwerktoegang moet zijn uitgeschakeld voor Cognitive Services-accounts

Beschrijving: Met dit beleid worden alle Cognitive Services-accounts in uw omgeving gecontroleerd waarvoor openbare netwerktoegang is ingeschakeld. De toegang tot openbare netwerken moet zijn uitgeschakeld zodat alleen verbindingen van privé-eindpunten zijn toegestaan. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor Cognitive Services-accounts).

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers

Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for MariaDB alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers).

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers

Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers).

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers

Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for PostgreSQL alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers).

Ernst: gemiddeld

Redis Cache mag alleen toegang via SSL toestaan

Beschrijving: Schakel alleen verbindingen in via SSL naar Redis Cache. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking. (Gerelateerd beleid: Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld).

Ernst: Hoog

SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost

Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (gerelateerd beleid: Beveiligingsproblemen in uw SQL-databases moeten worden hersteld).

Ernst: Hoog

Voor BEHEERDE SQL-exemplaren moet evaluatie van beveiligingsproblemen zijn geconfigureerd

Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance).

Ernst: Hoog

SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost

Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (Gerelateerd beleid: Beveiligingsproblemen op uw SQL-servers op de computer moeten worden hersteld).

Ernst: Hoog

SQL-servers moeten een Azure Active Directory-beheerder hebben ingericht

Beschrijving: Richt een Azure AD-beheerder in voor uw SQL-server om Azure AD-verificatie in te schakelen. Met Azure AD-verificatie zijn vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk. (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers).

Ernst: Hoog

SQL-servers moeten evaluatie van beveiligingsproblemen hebben geconfigureerd

Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op uw SQL-servers).

Ernst: Hoog

Voor een opslagaccount moet een verbinding via een privékoppeling worden gebruikt

Beschrijving: Privékoppelingen dwingen beveiligde communicatie af door privéconnectiviteit met het opslagaccount te bieden (gerelateerd beleid: Opslagaccount moet een private link-verbinding gebruiken).

Ernst: gemiddeld

Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources

Beschrijving: Als u wilt profiteren van nieuwe mogelijkheden in Azure Resource Manager, kunt u bestaande implementaties migreren vanuit het klassieke implementatiemodel. Resource Manager maakt beveiligingsverbeteringen mogelijk, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van ARM, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer. Meer informatie (gerelateerd beleid: Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources).

Ernst: Laag

Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen

Beschrijving: Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory-referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. (Gerelateerd beleid: beleid)

Ernst: gemiddeld

Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken

Beschrijving: Bescherm uw opslagaccounts tegen mogelijke bedreigingen met behulp van regels voor virtuele netwerken als voorkeursmethode in plaats van filteren op basis van IP. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. (Gerelateerd beleid: Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken).

Ernst: gemiddeld

Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten

Beschrijving: Als u ervoor wilt zorgen dat de relevante personen in uw organisatie op de hoogte worden gesteld wanneer er een mogelijke beveiligingsschending in een van uw abonnementen is, stelt u een beveiligingscontactpersoon in om e-mailmeldingen van Defender voor Cloud te ontvangen. (Gerelateerd beleid: Abonnementen moeten een e-mailadres voor contactpersonen hebben voor beveiligingsproblemen)

Ernst: Laag

Transparent Data Encryption in SQL-databases moet zijn ingeschakeld

Beschrijving: Transparante gegevensversleuteling inschakelen om data-at-rest te beveiligen en te voldoen aan nalevingsvereisten (Gerelateerd beleid: Transparent Data Encryption op SQL-databases moet zijn ingeschakeld).

Ernst: Laag

VM Image Builder-sjablonen moeten een private link gebruiken

Beschrijving: Vm Image Builder-sjablonen controleren waarvoor geen virtueel netwerk is geconfigureerd. Wanneer een virtueel netwerk niet is geconfigureerd, wordt er een openbaar IP-adres gemaakt en gebruikt, waardoor resources mogelijk rechtstreeks beschikbaar worden gemaakt op internet en de potentiële kwetsbaarheid voor aanvallen kan toenemen. (Gerelateerd beleid: VM Image Builder-sjablonen moeten gebruikmaken van private link).

Ernst: gemiddeld

Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway

Beschrijving: Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels. (Gerelateerd beleid: WaF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway.

Ernst: Laag

WaF (Web Application Firewall) moet zijn ingeschakeld voor de Azure Front Door Service-service

Beschrijving: Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels. (Gerelateerd beleid: WaF (Web Application Firewall) moet zijn ingeschakeld voor Azure Front Door Service?service)

Ernst: Laag

Aanbevelingen voor AWS-gegevens

Amazon Aurora-clusters moeten backtracking hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Backtracking is ingeschakeld voor Amazon Aurora-clusters. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken ook de tolerantie van uw systemen. Aurora-backtracking vermindert de tijd om een database te herstellen naar een bepaald tijdstip. Hiervoor hoeft geen databaseherstel te worden uitgevoerd. Zie Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora User Guide) voor meer informatie over backtracking in Aurora.

Ernst: gemiddeld

Amazon EBS-momentopnamen mogen niet openbaar worden overgeslagen

Beschrijving: Amazon EBS-momentopnamen mogen niet openbaar worden aangepast door iedereen, tenzij expliciet is toegestaan, om onbedoelde blootstelling van gegevens te voorkomen. Bovendien moet de machtiging voor het wijzigen van Amazon EBS-configuraties alleen worden beperkt tot geautoriseerde AWS-accounts.

Ernst: Hoog

Amazon ECS-taakdefinities moeten beveiligde netwerkmodi en gebruikersdefinities hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of een actieve Amazon ECS-taakdefinitie met de hostnetwerkmodus ook uitgebreide of gebruikerscontainerdefinities heeft. Het besturingselement mislukt voor taakdefinities met hostnetwerkmodus en containerdefinities waarbij privileged=false of leeg is en gebruiker=root of leeg is. Als een taakdefinitie verhoogde bevoegdheden heeft, komt dit doordat de klant specifiek heeft gekozen voor die configuratie. Met dit besturingselement wordt gecontroleerd op onverwachte escalatie van bevoegdheden wanneer voor een taakdefinitie hostnetwerken zijn ingeschakeld, maar de klant zich niet heeft aangemeld voor verhoogde bevoegdheden.

Ernst: Hoog

Amazon Elasticsearch Service-domeinen moeten gegevens versleutelen die worden verzonden tussen knooppunten

Beschrijving: Met dit besturingselement wordt gecontroleerd of Voor Amazon ES-domeinen knooppuntversleuteling is ingeschakeld. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers netwerkverkeer kunnen afluisteren of manipuleren met behulp van personen in het midden of vergelijkbare aanvallen. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het inschakelen van knooppunt-naar-knooppuntversleuteling voor Amazon ES-domeinen zorgt ervoor dat communicatie tussen clusters in transit wordt versleuteld. Er kan een prestatiestraf zijn gekoppeld aan deze configuratie. Voordat u deze optie inschakelt, moet u rekening houden met de prestaties en deze functie testen.

Ernst: gemiddeld

Amazon Elasticsearch Service-domeinen moeten versleuteling-at-rest hebben ingeschakeld

Beschrijving: Het is belangrijk om versleutelings rest van Amazon ES-domeinen in te schakelen om gevoelige gegevens te beveiligen

Ernst: gemiddeld

Amazon RDS-database moet worden versleuteld met behulp van de door de klant beheerde sleutel

Beschrijving: Met deze controle worden RDS-databases geïdentificeerd die zijn versleuteld met standaard KMS-sleutels en niet met door de klant beheerde sleutels. Als toonaangevende praktijk gebruikt u door de klant beheerde sleutels om de gegevens op uw RDS-databases te versleutelen en de controle over uw sleutels en gegevens op gevoelige workloads te behouden.

Ernst: gemiddeld

Amazon RDS-exemplaar moet worden geconfigureerd met automatische back-upinstellingen

Beschrijving: Deze controle identificeert RDS-exemplaren, die niet zijn ingesteld met de automatische back-upinstelling. Als Automatische back-up is ingesteld, maakt RDS een momentopname van het opslagvolume van uw DB-exemplaar, waarbij een back-up wordt gemaakt van het hele DB-exemplaar en niet alleen afzonderlijke databases, die herstel naar een bepaald tijdstip mogelijk maken. De automatische back-up vindt plaats tijdens de opgegeven tijdsperiode van het back-upvenster en bewaart de back-ups gedurende een beperkte periode, zoals gedefinieerd in de bewaarperiode. Het is raadzaam om automatische back-ups in te stellen voor uw kritieke RDS-servers die u helpen bij het herstelproces van gegevens.

Ernst: gemiddeld

Amazon Redshift-clusters moeten auditlogboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon Redshift-cluster auditlogboekregistratie heeft ingeschakeld. Amazon Redshift-auditlogboekregistratie biedt aanvullende informatie over verbindingen en gebruikersactiviteiten in uw cluster. Deze gegevens kunnen worden opgeslagen en beveiligd in Amazon S3 en kunnen nuttig zijn bij beveiligingscontroles en onderzoeken. Zie databasecontrolelogboekregistratie in de Handleiding voor Amazon Redshift-clusterbeheer voor meer informatie.

Ernst: gemiddeld

Amazon Redshift-clusters moeten automatische momentopnamen hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Redshift-clusters geautomatiseerde momentopnamen hebben ingeschakeld. Ook wordt gecontroleerd of de bewaarperiode voor momentopnamen groter is dan of gelijk is aan zeven. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken de tolerantie van uw systemen. Amazon Redshift maakt standaard periodieke momentopnamen. Met dit besturingselement wordt gecontroleerd of automatische momentopnamen zijn ingeschakeld en gedurende ten minste zeven dagen worden bewaard. Zie geautomatiseerde momentopnamen van Amazon Redshift in de Handleiding voor amazon Redshift-clusterbeheer voor meer informatie over geautomatiseerde momentopnamen van Amazon Redshift.

Ernst: gemiddeld

Amazon Redshift-clusters moeten openbare toegang verbieden

Beschrijving: We raden Amazon Redshift-clusters aan om openbare toegankelijkheid te voorkomen door het veld Openbaar toegankelijk te evalueren in het clusterconfiguratie-item.

Ernst: Hoog

Amazon Redshift moet automatische upgrades naar primaire versies hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van primaire versies zijn ingeschakeld voor het Amazon Redshift-cluster. Als u automatische upgrades voor primaire versies inschakelt, zorgt u ervoor dat de meest recente updates van de primaire versie voor Amazon Redshift-clusters worden geïnstalleerd tijdens het onderhoudsvenster. Deze updates kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: gemiddeld

Amazon SQS-wachtrijen moeten at-rest worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon SQS-wachtrijen at rest zijn versleuteld. Met versleuteling aan de serverzijde (SSE) kunt u gevoelige gegevens verzenden in versleutelde wachtrijen. Om de inhoud van berichten in wachtrijen te beveiligen, gebruikt SSE sleutels die worden beheerd in AWS KMS. Zie Versleuteling-at-rest in de ontwikkelaarshandleiding voor Amazon Simple Queue Service voor meer informatie.

Ernst: gemiddeld

Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke clustergebeurtenissen

Beschrijving: Met dit besturingselement wordt gecontroleerd of er een Amazon RDS-gebeurtenisabonnement bestaat dat meldingen heeft ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBCluster: [Onderhoud en storing]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Er moet een abonnement op RDS-gebeurtenismeldingen worden geconfigureerd voor kritieke database-exemplaargebeurtenissen

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBInstance: [Onderhoud, configuratiewijziging en fout]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke gebeurtenissen van de databaseparametergroep

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBParameterGroup: ["configuration","change"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Een RDS-gebeurtenismeldingenabonnement moet worden geconfigureerd voor kritieke gebeurtenissen van de databasebeveiligingsgroep

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBSecurityGroup: [Configuratie, wijziging, fout]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Deze meldingen zorgen voor een snelle reactie. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

API Gateway REST en WebSocket API-logboekregistratie moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of alle fasen van een Amazon API Gateway REST of WebSocket-API logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als logboekregistratie niet is ingeschakeld voor alle methoden van een fase of als logboekregistratieniveau geen FOUT of INFO is. API Gateway REST- of WebSocket-API-fasen moeten relevante logboeken hebben ingeschakeld. Api Gateway REST en WebSocket API-uitvoeringslogboeken bieden gedetailleerde records van aanvragen die zijn gedaan voor API Gateway REST- en WebSocket-API-fasen. De fasen omvatten back-endreacties voor API-integratie, Lambda-autorisatiereacties en de requestId voor AWS-integratie-eindpunten.

Ernst: gemiddeld

REST API-cachegegevens van API Gateway moeten in rust worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of alle methoden in REST API-fasen van API Gateway waarvoor cache is ingeschakeld, zijn versleuteld. Het besturingselement mislukt als een methode in een REST API-fase van API Gateway is geconfigureerd voor cache en de cache niet is versleuteld. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt nog een set toegangsbeheer toegevoegd om onbevoegde gebruikers de toegang tot de gegevens te beperken. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. REST API-caches van API Gateway moeten in rust worden versleuteld voor een extra beveiligingslaag.

Ernst: gemiddeld

REST API-fasen van API Gateway moeten worden geconfigureerd voor het gebruik van SSL-certificaten voor back-endverificatie

Beschrijving: Met dit besturingselement wordt gecontroleerd of de REST API-fasen van Amazon API Gateway SSL-certificaten hebben geconfigureerd. Back-endsystemen gebruiken deze certificaten om te verifiëren dat binnenkomende aanvragen afkomstig zijn van API Gateway. REST API-fasen van API Gateway moeten worden geconfigureerd met SSL-certificaten, zodat back-endsystemen kunnen verifiëren dat aanvragen afkomstig zijn van API Gateway.

Ernst: gemiddeld

REST API-fasen van API Gateway moeten AWS X-Ray-tracering hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of ACTIEVE AWS X-Ray-tracering is ingeschakeld voor de REST API-fasen van uw Amazon API Gateway. X-Ray actieve tracering maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Wijzigingen in de prestaties kunnen leiden tot een gebrek aan beschikbaarheid van de API. X-Ray actieve tracering biedt realtime metrische gegevens over gebruikersaanvragen die stromen door de REST API-bewerkingen en verbonden services van uw API Gateway.

Ernst: Laag

API Gateway moet worden gekoppeld aan een AWS WAF-web-ACL

Beschrijving: Met dit besturingselement wordt gecontroleerd of een API Gateway-fase gebruikmaakt van een AWS WAF-webtoegangsbeheerlijst (ACL). Dit besturingselement mislukt als een AWS WAF-web-ACL niet is gekoppeld aan een REST API Gateway-fase. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een ACL configureren. Dit is een set regels waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw API Gateway-fase is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.

Ernst: gemiddeld

Logboekregistratie van toepassings- en klassieke load balancers moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of de application Load Balancer en de klassieke load balancer logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als access_logs.s3.enabled dit onwaar is. Elastische taakverdeling biedt toegangslogboeken waarmee gedetailleerde informatie wordt vastgelegd over aanvragen die naar uw load balancer worden verzonden. Elk logboek bevat informatie zoals het tijdstip waarop de aanvraag is ontvangen, het IP-adres, de latentie van de client, aanvraagpaden en serverreacties. U kunt toegangslogboeken gebruiken om verkeerspatronen te analyseren en problemen op te lossen. Zie Access-logboeken voor uw klassieke load balancer in de gebruikershandleiding voor klassieke load balancers voor meer informatie.

Ernst: gemiddeld

Gekoppelde EBS-volumes moeten at-rest worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of de EBS-volumes met een gekoppelde status zijn versleuteld. Als u deze controle wilt doorgeven, moeten EBS-volumes worden gebruikt en versleuteld. Als het EBS-volume niet is gekoppeld, is het niet onderhevig aan deze controle. Voor een extra beveiligingslaag van uw gevoelige gegevens in EBS-volumes moet u EBS-versleuteling in rust inschakelen. Amazon EBS-versleuteling biedt een eenvoudige versleutelingsoplossing voor uw EBS-resources waarvoor u uw eigen infrastructuur voor sleutelbeheer niet hoeft te bouwen, onderhouden en beveiligen. Hierbij wordt CMK (AWS KMS Customer Master Keys) gebruikt bij het maken van versleutelde volumes en momentopnamen. Zie Amazon EBS-versleuteling in de Amazon EC2-gebruikershandleiding voor Linux-exemplaren voor meer informatie over Amazon EBS-versleuteling .

Ernst: gemiddeld

Replicatie-exemplaren van AWS Database Migration Service mogen niet openbaar zijn

Beschrijving: Om uw gerepliceerde exemplaren te beschermen tegen bedreigingen. Een privéreplicatie-exemplaar moet een privé-IP-adres hebben dat u buiten het replicatienetwerk niet kunt openen. Een replicatie-exemplaar moet een privé-IP-adres hebben wanneer de bron- en doeldatabases zich in hetzelfde netwerk bevinden en het netwerk is verbonden met de VPC van het replicatie-exemplaar met behulp van een VPN, AWS Direct Connect of VPC-peering. U moet er ook voor zorgen dat de toegang tot de configuratie van uw AWS DMS-exemplaar is beperkt tot alleen geautoriseerde gebruikers. Hiervoor beperkt u de IAM-machtigingen van gebruikers om AWS DMS-instellingen en -resources te wijzigen.

Ernst: Hoog

Klassieke Load Balancer-listeners moeten worden geconfigureerd met HTTPS- of TLS-beëindiging

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw klassieke Load Balancer-listeners zijn geconfigureerd met HTTPS- of TLS-protocol voor front-endverbindingen (client naar load balancer). Het besturingselement is van toepassing als een klassieke load balancer listeners heeft. Als uw klassieke load balancer geen listener heeft geconfigureerd, rapporteert het besturingselement geen resultaten. Het besturingselement wordt doorgegeven als de klassieke Load Balancer-listeners zijn geconfigureerd met TLS of HTTPS voor front-endverbindingen. Het besturingselement mislukt als de listener niet is geconfigureerd met TLS of HTTPS voor front-endverbindingen. Voordat u een load balancer gaat gebruiken, moet u een of meer listeners toevoegen. Een listener is een proces dat gebruikmaakt van het geconfigureerde protocol en de poort om te controleren op verbindingsaanvragen. Listeners kunnen zowel HTTP- als HTTPS/TLS-protocollen ondersteunen. U moet altijd een HTTPS- of TLS-listener gebruiken, zodat de load balancer tijdens overdracht het werk van versleuteling en ontsleuteling uitvoert.

Ernst: gemiddeld

Klassieke Load Balancers moeten verbindingsafvoer hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of klassieke Load Balancers verbindingsafvoer is ingeschakeld. Als u het leegmaken van verbindingen voor klassieke Load Balancers inschakelt, zorgt u ervoor dat de load balancer stopt met het verzenden van aanvragen naar exemplaren die de registratie ongedaan maken of niet in orde zijn. De bestaande verbindingen blijven geopend. Dit is handig voor exemplaren in groepen voor automatisch schalen om ervoor te zorgen dat verbindingen niet plotseling worden verbroken.

Ernst: gemiddeld

CloudFront-distributies moeten AWS WAF hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of CloudFront-distributies zijn gekoppeld aan AWS WAF- of AWS WAFv2-web-ACL's. Het besturingselement mislukt als de distributie niet is gekoppeld aan een web-ACL. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een set regels configureren, een zogenaamde webtoegangsbeheerlijst (web-ACL), waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw CloudFront-distributie is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.

Ernst: gemiddeld

CloudFront-distributies moeten logboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of logboekregistratie voor servertoegang is ingeschakeld op CloudFront-distributies. Het besturingselement mislukt als logboekregistratie van toegang niet is ingeschakeld voor een distributie. CloudFront-toegangslogboeken bieden gedetailleerde informatie over elke gebruikersaanvraag die CloudFront ontvangt. Elk logboek bevat informatie zoals de datum en tijd waarop de aanvraag is ontvangen, het IP-adres van de viewer die de aanvraag heeft ingediend, de bron van de aanvraag en het poortnummer van de aanvraag van de viewer. Deze logboeken zijn handig voor toepassingen zoals beveiligings- en toegangscontroles en forensisch onderzoek. Zie Amazon CloudFront-logboeken opvragen in de Gebruikershandleiding voor Amazon CloudFront voor meer informatie over het analyseren van toegangslogboeken.

Ernst: gemiddeld

CloudFront-distributies moeten versleuteling in transit vereisen

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon CloudFront-distributie kijkers HTTPS rechtstreeks moeten gebruiken of of er omleiding wordt gebruikt. Het besturingselement mislukt als ViewerProtocolPolicy is ingesteld op allow-all voor defaultCacheBehavior of voor cacheBehaviors. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.

Ernst: gemiddeld

CloudTrail-logboeken moeten in rust worden versleuteld met KMS-CMK's

Beschrijving: We raden u aan CloudTrail te configureren voor het gebruik van SSE-KMS. CloudTrail configureren voor het gebruik van SSE-KMS biedt meer vertrouwelijkheidsbesturingselementen voor logboekgegevens omdat een bepaalde gebruiker S3 leesmachtigingen moet hebben voor de bijbehorende logboekbucket en moet de ontsleutelingsmachtigingen worden verleend door het CMK-beleid.

Ernst: gemiddeld

Verbindingen met Amazon Redshift-clusters moeten tijdens overdracht worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Amazon Redshift-clusters vereist zijn voor het gebruik van versleuteling tijdens overdracht. De controle mislukt als de amazon Redshift-clusterparameter require_SSL niet is ingesteld op 1. TLS kan worden gebruikt om te voorkomen dat potentiële aanvallers personen in het midden of vergelijkbare aanvallen gebruiken om netwerkverkeer af te luisteren of te manipuleren. Alleen versleutelde verbindingen via TLS moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.

Ernst: gemiddeld

Verbindingen met Elasticsearch-domeinen moeten worden versleuteld met TLS 1.2

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Elasticsearch-domeinen vereist zijn voor het gebruik van TLS 1.2. De controle mislukt als het Elasticsearch-domein TLSSecurityPolicy niet Policy-Min-TLS-1-2-2019-07 is. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS. TLS 1.2 biedt verschillende beveiligingsverbeteringen ten opzichte van eerdere versies van TLS.

Ernst: gemiddeld

DynamoDB-tabellen moeten herstel naar een bepaald tijdstip hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of herstel naar een bepaald tijdstip (PITR) is ingeschakeld voor een Amazon DynamoDB-tabel. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken ook de tolerantie van uw systemen. Met herstel naar een bepaald tijdstip worden back-ups voor DynamoDB-tabellen geautomatiseerd. Het vermindert de tijd om te herstellen van onbedoelde verwijderings- of schrijfbewerkingen. DynamoDB-tabellen waarvoor PITR is ingeschakeld, kunnen worden hersteld naar elk tijdstip in de afgelopen 35 dagen.

Ernst: gemiddeld

EBS-standaardversleuteling moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of versleuteling op accountniveau standaard is ingeschakeld voor Amazon Elastic Block Store (Amazon EBS). Het besturingselement mislukt als versleuteling op accountniveau niet is ingeschakeld. Wanneer versleuteling is ingeschakeld voor uw account, worden Amazon EBS-volumes en momentopnamekopieën in rust versleuteld. Hiermee voegt u nog een beveiligingslaag voor uw gegevens toe. Zie Versleuteling standaard in de Gebruikershandleiding voor Amazon EC2 voor Linux-exemplaren voor meer informatie.

De volgende exemplaartypen bieden geen ondersteuning voor versleuteling: R1, C1 en M1.

Ernst: gemiddeld

Elastic Beanstalk-omgevingen moeten verbeterde statusrapportage hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde statusrapportage is ingeschakeld voor uw AWS Elastic Beanstalk-omgevingen. Elastische Beanstalk verbeterde statusrapportage maakt een snellere reactie op wijzigingen in de status van de onderliggende infrastructuur mogelijk. Deze wijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de toepassing. Elastic Beanstalk verbeterde statusrapportage biedt een statusdescriptor om de ernst van de geïdentificeerde problemen te meten en mogelijke oorzaken te identificeren die moeten worden onderzocht. De Elastic Beanstalk-statusagent, opgenomen in ondersteunde Amazon Machine Images (URI's), evalueert logboeken en metrische gegevens van EC2-exemplaren van de omgeving.

Ernst: Laag

Updates van het beheerde platform voor Elastic Beanstalk moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of beheerde platformupdates zijn ingeschakeld voor de Elastic Beanstalk-omgeving. Door beheerde platformupdates in te schakelen, zorgt u ervoor dat de nieuwste beschikbare platformoplossingen, updates en functies voor de omgeving worden geïnstalleerd. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: Hoog

Elastische load balancer mag geen ACM-certificaat binnen 90 dagen verlopen of verlopen.

Beschrijving: Deze controle identificeert ELB (Elastic Load Balancers) die ACM-certificaten gebruiken die binnen 90 dagen verlopen of verlopen. AWS Certificate Manager (ACM) is het favoriete hulpprogramma voor het inrichten, beheren en implementeren van uw servercertificaten. Met ACM. U kunt een certificaat aanvragen of een bestaand ACM- of extern certificaat implementeren in AWS-resources. Het wordt aanbevolen om verlopen/verlopen certificaten opnieuw te importeren, terwijl de ELB-koppelingen van het oorspronkelijke certificaat behouden blijven.

Ernst: Hoog

Logboekregistratie van elasticsearch-domeinfouten naar CloudWatch-logboeken moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd voor het verzenden van foutenlogboeken naar CloudWatch-logboeken. Schakel foutlogboeken in voor Elasticsearch-domeinen en verzend deze logboeken naar CloudWatch-logboeken voor retentie en reactie. Domeinfoutlogboeken kunnen helpen bij beveiligings- en toegangscontroles en kunnen helpen bij het vaststellen van beschikbaarheidsproblemen.

Ernst: gemiddeld

Elasticsearch-domeinen moeten worden geconfigureerd met ten minste drie toegewezen hoofdknooppunten

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie toegewezen hoofdknooppunten. Dit besturingselement mislukt als het domein geen toegewezen hoofdknooppunten gebruikt. Dit besturingselement wordt doorgegeven als Elasticsearch-domeinen vijf toegewezen hoofdknooppunten hebben. Het gebruik van meer dan drie hoofdknooppunten is echter mogelijk niet nodig om het beschikbaarheidsrisico te beperken en leidt tot meer kosten. Een Elasticsearch-domein vereist ten minste drie toegewezen hoofdknooppunten voor hoge beschikbaarheid en fouttolerantie. Toegewezen hoofdknooppuntresources kunnen worden belast tijdens blauw/groene implementaties van gegevensknooppunten, omdat er meer knooppunten zijn om te beheren. Het implementeren van een Elasticsearch-domein met ten minste drie toegewezen hoofdknooppunten zorgt voor voldoende resourcecapaciteit van hoofdknooppunten en clusterbewerkingen als een knooppunt mislukt.

Ernst: gemiddeld

Elasticsearch-domeinen moeten ten minste drie gegevensknooppunten hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie gegevensknooppunten en zoneAwarenessEnabled waar is. Een Elasticsearch-domein vereist ten minste drie gegevensknooppunten voor hoge beschikbaarheid en fouttolerantie. Het implementeren van een Elasticsearch-domein met ten minste drie gegevensknooppunten zorgt ervoor dat clusterbewerkingen worden uitgevoerd als een knooppunt mislukt.

Ernst: gemiddeld

Elasticsearch-domeinen moeten auditlogboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of elasticsearch-domeinen auditlogboekregistratie hebben ingeschakeld. Dit besturingselement mislukt als voor een Elasticsearch-domein geen auditlogboekregistratie is ingeschakeld. Auditlogboeken zijn zeer aanpasbaar. Hiermee kunt u gebruikersactiviteiten op uw Elasticsearch-clusters bijhouden, waaronder geslaagde en mislukte verificaties, aanvragen voor OpenSearch, indexwijzigingen en binnenkomende zoekquery's.

Ernst: gemiddeld

Verbeterde bewaking moet worden geconfigureerd voor RDS DB-exemplaren en -clusters

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde bewaking is ingeschakeld voor uw RDS DB-exemplaren. Verbeterde bewaking in Amazon RDS maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Deze prestatiewijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de gegevens. Verbeterde bewaking biedt realtime metrische gegevens van het besturingssysteem waarop uw RDS DB-exemplaar wordt uitgevoerd. Er wordt een agent geïnstalleerd op het exemplaar. De agent kan nauwkeuriger metrische gegevens verkrijgen dan mogelijk is via de hypervisorlaag. Verbeterde bewakingsgegevens zijn handig als u wilt zien hoe verschillende processen of threads op een DB-exemplaar gebruikmaken van de CPU. Zie Verbeterde bewaking in de Gebruikershandleiding voor Amazon RDS voor meer informatie.

Ernst: Laag

Controleren of roulatie voor door de klant gemaakte CMK's is ingeschakeld

Beschrijving: AWS Key Management Service (KMS) stelt klanten in staat om de backingsleutel te draaien. Dit is sleutelmateriaal dat is opgeslagen in de KMS die is gekoppeld aan de sleutel-id van de door de klant gemaakte hoofdsleutel (CMK). Het is de back-upsleutel die wordt gebruikt voor het uitvoeren van cryptografische bewerkingen, zoals versleuteling en ontsleuteling. Automatische sleutelrotatie behoudt momenteel alle eerdere back-upsleutels, zodat ontsleuteling van versleutelde gegevens transparant kan plaatsvinden. Het wordt aanbevolen om CMK-sleutelrotatie in te schakelen. Het roteren van versleutelingssleutels helpt de potentiële impact van een aangetaste sleutel te verminderen, omdat gegevens die zijn versleuteld met een nieuwe sleutel, niet kunnen worden geopend met een eerdere sleutel die mogelijk beschikbaar is gemaakt.

Ernst: gemiddeld

Zorg ervoor dat logboekregistratie voor S3-buckettoegang is ingeschakeld in de CloudTrail S3-bucket

Beschrijving: S3 Bucket Access Logging genereert een logboek dat toegangsrecords bevat. Zorg ervoor dat S3 bucket-toegangslogboek is ingeschakeld in de CloudTrail S3-bucket voor elke aanvraag die is ingediend bij uw S3-bucket. Een toegangslogboekrecord bevat details over de aanvraag, zoals het aanvraagtype, de resources die in de aanvraag zijn opgegeven, en de tijd en datum waarop de aanvraag is verwerkt. Het wordt aanbevolen om logboekregistratie voor buckettoegang in de CloudTrail S3-bucket in te schakelen. Door logboekregistratie van S3-buckets in te schakelen voor doel-S3-buckets, is het mogelijk om alle gebeurtenissen vast te leggen, wat van invloed kan zijn op objecten binnen doelbuckets. Door logboeken te configureren die in een afzonderlijke bucket moeten worden geplaatst, heeft u toegang tot logboekgegevens. Dit kan handig zijn in werkstromen voor beveiligings- en incidentrespons.

Ernst: Laag

Zorg ervoor dat de S3-bucket die wordt gebruikt voor het opslaan van CloudTrail-logboeken niet openbaar toegankelijk is

Beschrijving: CloudTrail registreert een record van elke API-aanroep in uw AWS-account. Deze logboekbestanden worden opgeslagen in een S3-bucket. Het wordt aanbevolen dat het bucketbeleid of de toegangsbeheerlijst (ACL) wordt toegepast op de S3-bucket die CloudTrail-logboeken gebruikt om openbare toegang tot de CloudTrail-logboeken te voorkomen. Het toestaan van openbare toegang tot CloudTrail-logboekinhoud kan een kwaadwillende persoon helpen bij het identificeren van zwakke punten in het gebruik of de configuratie van het betrokken account.

Ernst: Hoog

IAM mag geen verlopen SSL/TLS-certificaten hebben

Beschrijving: Deze controle identificeert verlopen SSL/TLS-certificaten. Als u HTTPS-verbindingen met uw website of toepassing in AWS wilt inschakelen, hebt u een SSL/TLS-servercertificaat nodig. U kunt ACM of IAM gebruiken om servercertificaten op te slaan en te implementeren. Het verwijderen van verlopen SSL/TLS-certificaten elimineert het risico dat een ongeldig certificaat per ongeluk wordt geïmplementeerd op een resource zoals AWS Elastic Load Balancer (ELB), die de geloofwaardigheid van de toepassing/website achter de ELB kan beschadigen. Met deze controle worden waarschuwingen gegenereerd als er verlopen SSL/TLS-certificaten zijn opgeslagen in AWS IAM. Het wordt aanbevolen verlopen certificaten te verwijderen.

Ernst: Hoog

Geïmporteerde ACM-certificaten moeten na een opgegeven periode worden vernieuwd

Beschrijving: Met dit besturingselement wordt gecontroleerd of ACM-certificaten in uw account binnen 30 dagen zijn gemarkeerd voor vervaldatum. Het controleert zowel geïmporteerde certificaten als certificaten die worden geleverd door AWS Certificate Manager. ACM kan automatisch certificaten vernieuwen die gebruikmaken van DNS-validatie. Voor certificaten die gebruikmaken van e-mailvalidatie, moet u reageren op een domeinvalidatie-e-mail. ACM verlengt ook niet automatisch certificaten die u importeert. U moet geïmporteerde certificaten handmatig vernieuwen. Zie Beheerde verlenging voor ACM-certificaten in de gebruikershandleiding voor AWS Certificate Manager voor meer informatie over beheerde verlenging voor ACM-certificaten .

Ernst: gemiddeld

Over-ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen

Beschrijving: Door te ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.

Ernst: gemiddeld

RdS automatische secundaire versie-upgrades moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van secundaire versies zijn ingeschakeld voor het RDS-database-exemplaar. Als u automatische upgrades voor secundaire versies inschakelt, zorgt u ervoor dat de meest recente updates van secundaire versies voor het relationele databasebeheersysteem (RDBMS) zijn geïnstalleerd. Deze upgrades kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: Hoog

Momentopnamen van RDS-clusters en databasemomentopnamen moeten in rust worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-momentopnamen zijn versleuteld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor momentopnamen van Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het versleutelen van data-at-rest vermindert het risico dat een niet-geverifieerde gebruiker toegang krijgt tot gegevens die op schijf zijn opgeslagen. Gegevens in RDS-momentopnamen moeten in rust worden versleuteld voor een extra beveiligingslaag.

Ernst: gemiddeld

RDS-clusters moeten verwijderingsbeveiliging hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS-clusters verwijderingsbeveiliging hebben ingeschakeld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het inschakelen van clusterverwijderingsbeveiliging is een andere beveiligingslaag tegen onbedoeld verwijderen of verwijderen van databases door een niet-geautoriseerde entiteit. Wanneer verwijderingsbeveiliging is ingeschakeld, kan een RDS-cluster niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.

Ernst: Laag

RDS DB-clusters moeten worden geconfigureerd voor meerdere Beschikbaarheidszones

Beschrijving: RDS DB-clusters moeten worden geconfigureerd voor meerdere gegevens die zijn opgeslagen. Met implementatie naar meerdere Beschikbaarheidszones kunt u Beschikbaarheidszones automatiseren om de beschikbaarheid van een failover te garanderen in het geval van een beschikbaarheidsprobleem in de beschikbaarheidszone en tijdens regelmatige RDS-onderhoudsgebeurtenissen.

Ernst: gemiddeld

RDS DB-clusters moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen

Beschrijving: Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-clusters, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-databaseclusters. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende databaseclusters overnemen.

Ernst: Laag

RDS DB-exemplaren moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-exemplaren zijn geconfigureerd voor het kopiëren van alle tags naar momentopnamen wanneer de momentopnamen worden gemaakt. Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-exemplaren, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-database-exemplaren. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende database-exemplaren overnemen.

Ernst: Laag

RDS DB-exemplaren moeten worden geconfigureerd met meerdere Beschikbaarheidszones

Beschrijving: Met dit besturingselement wordt gecontroleerd of hoge beschikbaarheid is ingeschakeld voor uw RDS DB-exemplaren. RDS DB-exemplaren moeten worden geconfigureerd voor meerdere Beschikbaarheidszones (AZ's). Dit zorgt voor de beschikbaarheid van de gegevens die zijn opgeslagen. Implementaties met meerdere AZ's maken geautomatiseerde failover mogelijk als er een probleem is met beschikbaarheidszone en tijdens regelmatig RDS-onderhoud.

Ernst: gemiddeld

RDS DB-exemplaren moeten verwijderingsbeveiliging hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw RDS DB-exemplaren die een van de vermelde database-engines gebruiken, verwijderingsbeveiliging hebben ingeschakeld. Het inschakelen van beveiliging tegen het verwijderen van exemplaren is een andere beveiligingslaag tegen onbedoelde databaseverwijdering of verwijdering door een niet-geautoriseerde entiteit. Hoewel verwijderingsbeveiliging is ingeschakeld, kan een RDS DB-exemplaar niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.

Ernst: Laag

RDS DB-exemplaren moeten versleuteling-at-rest hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of opslagversleuteling is ingeschakeld voor uw Amazon RDS DB-exemplaren. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Voor een extra beveiligingslaag voor uw gevoelige gegevens in RDS DB-exemplaren moet u uw RDS DB-exemplaren zo configureren dat ze at-rest worden versleuteld. Als u uw RDS DB-exemplaren en momentopnamen in rust wilt versleutelen, schakelt u de versleutelingsoptie in voor uw RDS DB-exemplaren. Gegevens die in rust zijn versleuteld, bevatten de onderliggende opslag voor DB-exemplaren, de geautomatiseerde back-ups, leesreplica's en momentopnamen. Met RDS versleutelde DB-exemplaren wordt het open standaard AES-256-versleutelingsalgoritmen gebruikt om uw gegevens te versleutelen op de server waarop uw RDS DB-exemplaren worden gehost. Nadat uw gegevens zijn versleuteld, verwerkt Amazon RDS verificatie van toegang en ontsleuteling van uw gegevens transparant met een minimale impact op de prestaties. U hoeft uw databaseclienttoepassingen niet te wijzigen om versleuteling te gebruiken. Amazon RDS-versleuteling is momenteel beschikbaar voor alle database-engines en opslagtypen. Amazon RDS-versleuteling is beschikbaar voor de meeste DB-exemplaarklassen. Zie Amazon RDS-resources versleutelen in de Gebruikershandleiding voor Amazon RDS voor meer informatie over DB-exemplaarklassen die geen ondersteuning bieden voor Amazon RDS-versleuteling.

Ernst: gemiddeld

RDS DB-exemplaren moeten openbare toegang verbieden

Beschrijving: U wordt aangeraden er ook voor te zorgen dat de toegang tot de configuratie van uw RDS-exemplaar wordt beperkt tot alleen geautoriseerde gebruikers, door de IAM-machtigingen van gebruikers te beperken om de instellingen en resources van RDS-exemplaren te wijzigen.

Ernst: Hoog

RDS-momentopnamen moeten openbare toegang verbieden

Beschrijving: We raden u aan alleen geautoriseerde principals toegang te geven tot de momentopname en amazon RDS-configuratie te wijzigen.

Ernst: Hoog

Ongebruikte Secrets Manager-geheimen verwijderen

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen binnen een opgegeven aantal dagen zijn geopend. De standaardwaarde is 90 dagen. Als er geen geheim is geopend binnen het gedefinieerde aantal dagen, mislukt dit besturingselement. Het verwijderen van ongebruikte geheimen is net zo belangrijk als het roteren van geheimen. Ongebruikte geheimen kunnen worden misbruikt door hun voormalige gebruikers, die geen toegang meer nodig hebben tot deze geheimen. Als meer gebruikers toegang krijgen tot een geheim, heeft iemand het mogelijk verkeerd verwerkt en gelekt naar een niet-geautoriseerde entiteit, waardoor het risico op misbruik toeneemt. Als u ongebruikte geheimen verwijdert, kunt u geheime toegang intrekken van gebruikers die deze niet meer nodig hebben. Het helpt ook om de kosten van het gebruik van Secrets Manager te verlagen. Daarom is het essentieel om ongebruikte geheimen regelmatig te verwijderen.

Ernst: gemiddeld

Voor S3-buckets moet replicatie tussen regio's zijn ingeschakeld

Beschrijving: Het inschakelen van S3-replicatie tussen regio's zorgt ervoor dat er meerdere versies van de gegevens beschikbaar zijn in verschillende regio's. Hiermee kunt u uw S3-bucket beschermen tegen DDoS-aanvallen en gegevensbeschadigingsgebeurtenissen.

Ernst: Laag

S3-buckets moeten versleuteling aan serverzijde hebben ingeschakeld

Beschrijving: Schakel versleuteling aan de serverzijde in om gegevens in uw S3-buckets te beveiligen. Door de gegevens te versleutelen, kan de toegang tot gevoelige gegevens worden voorkomen in het geval van een gegevenslek.

Ernst: gemiddeld

Geheimenbeheergeheimen die zijn geconfigureerd met automatische rotatie, moeten met succes worden gedraaid

Beschrijving: Met dit besturingselement wordt gecontroleerd of een AWS Secrets Manager-geheim is gedraaid op basis van het rotatieschema. Het besturingselement mislukt als RotationOccurringAsScheduled onwaar is. Het besturingselement evalueert geen geheimen waarvoor geen rotatie is geconfigureerd. Secrets Manager helpt u de beveiligingspostuur van uw organisatie te verbeteren. Geheimen zijn databasereferenties, wachtwoorden en API-sleutels van derden. U kunt Secrets Manager gebruiken om geheimen centraal op te slaan, geheimen automatisch te versleutelen, de toegang tot geheimen te beheren en geheimen veilig en automatisch te roteren. Secrets Manager kan geheimen draaien. U kunt rotatie gebruiken om geheimen op lange termijn te vervangen door korte termijn geheimen. Als u uw geheimen roteert, wordt beperkt hoelang een onbevoegde gebruiker een gecompromitteerd geheim kan gebruiken. Daarom moet u uw geheimen regelmatig roteren. Naast het configureren van geheimen om automatisch te draaien, moet u ervoor zorgen dat deze geheimen correct draaien op basis van het draaischema. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.

Ernst: gemiddeld

Geheimenbeheergeheimen moeten binnen een opgegeven aantal dagen worden geroteerd

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen ten minste eenmaal binnen 90 dagen zijn gedraaid. Het roteren van geheimen kan u helpen om het risico te beperken dat uw geheimen niet worden gebruikt in uw AWS-account. Voorbeelden hiervan zijn databasereferenties, wachtwoorden, API-sleutels van derden en zelfs willekeurige tekst. Als u uw geheimen gedurende een lange periode niet wijzigt, zijn de geheimen waarschijnlijker gecompromitteerd. Naarmate meer gebruikers toegang krijgen tot een geheim, kan het waarschijnlijker worden dat iemand deze verkeerd heeft verwerkt en gelekt naar een niet-geautoriseerde entiteit. Geheimen kunnen worden gelekt via logboeken en cachegegevens. Ze kunnen worden gedeeld voor foutopsporing en kunnen niet worden gewijzigd of ingetrokken zodra de foutopsporing is voltooid. Om al deze redenen moeten geheimen regelmatig worden gedraaid. U kunt uw geheimen configureren voor automatische rotatie in AWS Secrets Manager. Met automatische rotatie kunt u geheimen op lange termijn vervangen door kortetermijngeheimen, waardoor het risico op inbreuk aanzienlijk wordt verminderd. Security Hub raadt u aan om rotatie in te schakelen voor uw Secrets Manager-geheimen. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.

Ernst: gemiddeld

SNS-onderwerpen moeten in rust worden versleuteld met BEHULP van AWS KMS

Beschrijving: Met dit besturingselement wordt gecontroleerd of een SNS-onderwerp in rust is versleuteld met BEHULP van AWS KMS. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt ook een andere set toegangsbeheer toegevoegd om de mogelijkheid van onbevoegde gebruikers te beperken tot toegang tot de gegevens. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. SNS-onderwerpen moeten at-rest worden versleuteld voor een extra beveiligingslaag. Zie Voor meer informatie versleuteling-at-rest in de Handleiding voor ontwikkelaars van Amazon Simple Notification Service.

Ernst: gemiddeld

VPC-stroomlogboekregistratie moet zijn ingeschakeld in alle VPN's

Beschrijving: VPC-stroomlogboeken bieden inzicht in netwerkverkeer dat de VPC passeert en kan worden gebruikt om afwijkend verkeer of inzicht te detecteren tijdens beveiligingsgebeurtenissen.

Ernst: gemiddeld

Aanbevelingen voor GCP-gegevens

Zorg ervoor dat de databasevlag 3625 (traceringsvlag) voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 3625 (traceringsvlag) voor het Cloud SQL Server-exemplaar in te stellen op 'uit'. Traceringsvlaggen worden vaak gebruikt om prestatieproblemen vast te stellen of om opgeslagen procedures of complexe computersystemen op te sporen, maar ze kunnen ook worden aanbevolen door Microsoft Ondersteuning om gedrag op te lossen dat een specifieke workload negatief beïnvloedt. Alle gedocumenteerde traceringsvlagmen en de markeringen die door Microsoft Ondersteuning worden aanbevolen, worden volledig ondersteund in een productieomgeving wanneer ze worden gebruikt zoals omgeleid. "3625(traceerlogboek)" Beperkt de hoeveelheid informatie die wordt geretourneerd aan gebruikers die geen lid zijn van de vaste serverfunctie sysadmin, door de parameters van sommige foutberichten te maskeren met behulp van '******'. Dit kan helpen bij het voorkomen van openbaarmaking van gevoelige informatie. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'externe scripts ingeschakeld' voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'externe scripts ingeschakeld' in te stellen voor het Cloud SQL Server-exemplaar om uit te schakelen. Met 'externe scripts ingeschakeld' kunt u scripts uitvoeren met bepaalde externe taalextensies. Deze eigenschap is standaard UITGESCHAKELD. Wanneer Advanced Analytics Services is geïnstalleerd, kan setup deze eigenschap desgewenst instellen op true. Omdat de functie 'Externe scripts ingeschakeld' scripts toestaat die zich buiten SQL bevinden, zoals bestanden die zich in een R-bibliotheek bevinden, kunnen worden uitgevoerd, wat de beveiliging van het systeem nadelig kan beïnvloeden, moet dit daarom worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'externe toegang' voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'externe toegang' in te stellen voor het SQL Server-exemplaar van Cloud SQL Server op 'uit'. De optie Externe toegang bepaalt de uitvoering van opgeslagen procedures van lokale of externe servers waarop exemplaren van SQL Server worden uitgevoerd. Deze standaardwaarde voor deze optie is 1. Hiermee verleent u toestemming om lokale opgeslagen procedures uit te voeren vanaf externe servers of externe opgeslagen procedures van de lokale server. Om te voorkomen dat lokale opgeslagen procedures worden uitgevoerd vanaf een externe server of externe opgeslagen procedures worden uitgevoerd op de lokale server, moet dit worden uitgeschakeld. De optie Externe toegang bepaalt de uitvoering van lokale opgeslagen procedures op externe servers of externe opgeslagen procedures op de lokale server. De functionaliteit 'Externe toegang' kan worden misbruikt om een DoS-aanval (Denial of Service) op externe servers te starten door queryverwerking uit te laden naar een doel, daarom moet dit worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar is ingesteld op 'aan'

Beschrijving: Het is raadzaam om de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar in te stellen op 'aan'. De databasevlag 'skip_show_database' voorkomt dat personen de instructie SHOW DATABASES gebruiken als ze niet de bevoegdheid SHOW DATABASES hebben. Dit kan de beveiliging verbeteren als u zich zorgen maakt over het feit dat gebruikers databases van andere gebruikers kunnen zien. Het effect is afhankelijk van de bevoegdheid SHOW DATABASES: als de variabelewaarde IS INGESCHAKELD, is de instructie SHOW DATABASES alleen toegestaan voor gebruikers met de bevoegdheid SHOW DATABASES en de instructie geeft alle databasenamen weer. Als de waarde UIT is, is SHOW DATABASES toegestaan voor alle gebruikers, maar worden alleen de namen weergegeven van de databases waarvoor de gebruiker de SHOW DATABASES of andere bevoegdheden heeft. Deze aanbeveling is van toepassing op Mysql-database-exemplaren.

Ernst: Laag

Zorg ervoor dat een door de klant beheerde versleutelingssleutel (CMEK) is opgegeven voor alle BigQuery-gegevenssets

Beschrijving: BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. De gegevens worden versleuteld met behulp van de gegevensversleutelingssleutels en gegevensversleutelingssleutels zelf worden verder versleuteld met behulp van sleutelversleutelingssleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Als u echter meer controle wilt hebben, kan CMEK (Door de klant beheerde versleutelingssleutels) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Voor meer controle over de versleuteling kunnen door de klant beheerde versleutelingssleutels (CMEK) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. Als u een door de klant beheerde standaardversleutelingssleutel (CMEK) instelt voor een gegevensset, wordt de opgegeven CMEK gebruikt voor tabellen die in de toekomst worden gemaakt.

Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft.

Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat alle BigQuery-tabellen zijn versleuteld met door de klant beheerde versleutelingssleutel (CMEK)

Beschrijving: BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. De gegevens worden versleuteld met behulp van de gegevensversleutelingssleutels en gegevensversleutelingssleutels zelf worden verder versleuteld met behulp van sleutelversleutelingssleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Als u echter meer controle wilt hebben, kan CMEK (Door de klant beheerde versleutelingssleutels) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. Als CMEK wordt gebruikt, wordt de CMEK gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Voor meer controle over de versleuteling kunnen door de klant beheerde versleutelingssleutels (CMEK) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-tabellen. De CMEK wordt gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery slaat de tabel- en CMEK-koppeling op en de versleuteling/ontsleuteling wordt automatisch uitgevoerd. Als u de door de klant beheerde standaardsleutels toepast op BigQuery-gegevenssets, zorgt u ervoor dat alle nieuwe tabellen die in de toekomst worden gemaakt, worden versleuteld met BEHULP van CMEK, maar bestaande tabellen moeten worden bijgewerkt om CMEK afzonderlijk te kunnen gebruiken.

Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat BigQuery-gegevenssets niet anoniem of openbaar toegankelijk zijn

Beschrijving: Het wordt aanbevolen dat het IAM-beleid voor BigQuery-gegevenssets anonieme en/of openbare toegang niet toestaat. Als u machtigingen verleent aan allUsers of allAuthenticatedUsers, heeft iedereen toegang tot de gegevensset. Dergelijke toegang is mogelijk niet wenselijk als gevoelige gegevens worden opgeslagen in de gegevensset. Zorg er daarom voor dat anonieme en/of openbare toegang tot een gegevensset niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud SQL-database-exemplaren zijn geconfigureerd met geautomatiseerde back-ups

Beschrijving: Het is raadzaam om alle SQL Database-exemplaren in te stellen om automatische back-ups in te schakelen. Back-ups bieden een manier om een Cloud SQL-exemplaar te herstellen om verloren gegevens te herstellen of om een probleem met dat exemplaar te herstellen. Geautomatiseerde back-ups moeten worden ingesteld voor elk exemplaar dat gegevens bevat die moeten worden beschermd tegen verlies of schade. Deze aanbeveling is van toepassing op SQL Server-, PostgreSql-, MySql-generatie 1- en MySql generatie 2-exemplaren.

Ernst: Hoog

Zorg ervoor dat Cloud SQL-database-exemplaren niet ter wereld worden geopend

Beschrijving: Database Server mag alleen verbindingen van vertrouwde netwerken/IP('s) accepteren en de toegang van de wereld beperken. Om de kwetsbaarheid voor aanvallen op een databaseserverexemplaren te minimaliseren, moeten alleen vertrouwde/bekende en vereiste IP('s) worden goedgekeurd om er verbinding mee te maken. Een geautoriseerd netwerk mag geen IP-adressen/netwerken hebben geconfigureerd op 0.0.0.0/0, waardoor toegang tot het exemplaar overal ter wereld mogelijk is. Houd er rekening mee dat geautoriseerde netwerken alleen van toepassing zijn op exemplaren met openbare IP-adressen.

Ernst: Hoog

Zorg ervoor dat cloud-SQL-database-exemplaren geen openbare IP-adressen hebben

Beschrijving: Het is raadzaam om een SQL-exemplaar van de tweede generatie te configureren voor het gebruik van privé-IP's in plaats van openbare IP-adressen. Om de kwetsbaarheid voor aanvallen van de organisatie te verlagen, mogen Cloud SQL-databases geen openbare IP-adressen hebben. Privé-IP's bieden verbeterde netwerkbeveiliging en lagere latentie voor uw toepassing.

Ernst: Hoog

Zorg ervoor dat de Cloud Storage-bucket niet anoniem of openbaar toegankelijk is

Beschrijving: Het wordt aanbevolen dat IAM-beleid voor cloudopslagbucket geen anonieme of openbare toegang toestaat. Anonieme of openbare toegang verleent machtigingen aan iedereen om toegang te krijgen tot bucketinhoud. Dergelijke toegang is mogelijk niet gewenst als u gevoelige gegevens opslaat. Zorg er daarom voor dat anonieme of openbare toegang tot een bucket niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud Storage-buckets uniforme toegang op bucketniveau hebben ingeschakeld

Beschrijving: Het wordt aanbevolen dat uniforme toegang op bucketniveau is ingeschakeld voor Cloud Storage-buckets. Het is raadzaam om uniforme toegang op bucketniveau te gebruiken om de manier waarop u toegang verleent tot uw Cloud Storage-resources te samenvoegen en te vereenvoudigen. Cloud Storage biedt twee systemen voor het verlenen van machtigingen aan gebruikers voor toegang tot uw buckets en objecten: cloudidentiteit en toegangsbeheer (Cloud IAM) en toegangsbeheerlijsten (ACL's).
Deze systemen werken parallel, zodat een gebruiker toegang heeft tot een Cloud Storage-resource, hoeft slechts één van de systemen de gebruikersmachtigingen te verlenen. Cloud-IAM wordt gebruikt in google cloud en stelt u in staat om verschillende machtigingen te verlenen op bucket- en projectniveau. ACL's worden alleen gebruikt door Cloud Storage en hebben beperkte machtigingsopties, maar u kunt hiermee machtigingen per object verlenen.

Om een uniform machtigingssysteem te ondersteunen, heeft Cloud Storage uniforme toegang op bucketniveau. Als u deze functie gebruikt, worden ACL's uitgeschakeld voor alle cloudopslagresources: toegang tot cloudopslagresources wordt vervolgens uitsluitend verleend via Cloud IAM. Het inschakelen van uniforme toegang op bucketniveau garandeert dat als een opslagbucket niet openbaar toegankelijk is, er ook geen object in de bucket openbaar toegankelijk is.

Ernst: gemiddeld

Zorg ervoor dat Compute-exemplaren Confidential Computing hebben ingeschakeld

Beschrijving: Google Cloud versleutelt data-at-rest en in-transit, maar klantgegevens moeten worden ontsleuteld voor verwerking. Confidential Computing is een baanbrekende technologie die gegevens in gebruik versleutelt terwijl deze worden verwerkt. Confidential Computing-omgevingen bewaren gegevens versleuteld in het geheugen en elders buiten de centrale verwerkingseenheid (CPU). Vertrouwelijke VM's maken gebruik van de SEV-functie (Secure Encrypted Virtualization) van AMD EPYC-CPU's. Klantgegevens blijven versleuteld terwijl ze worden gebruikt, geïndexeerd, opgevraagd of getraind. Versleutelingssleutels worden gegenereerd in hardware, per VM en kunnen niet worden geëxporteerd. Dankzij ingebouwde hardwareoptimalisaties van zowel prestaties als beveiliging is er geen aanzienlijke prestatiestraf voor Confidential Computing-workloads. Confidential Computing maakt gevoelige code van klanten en andere gegevens die tijdens de verwerking in het geheugen zijn versleuteld. Google heeft geen toegang tot de versleutelingssleutels. Vertrouwelijke VM kan helpen bij het verlichten van problemen met betrekking tot risico's met betrekking tot de afhankelijkheid van de Google-infrastructuur of de toegang van Google-insiders tot klantgegevens.

Ernst: Hoog

Zorg ervoor dat bewaarbeleid voor logboekbuckets is geconfigureerd met Bucket Lock

Beschrijving: als u bewaarbeleid inschakelt voor logboekbuckets, worden logboeken die zijn opgeslagen in cloudopslagbuckets beschermd tegen overschreven of per ongeluk verwijderd. Het is raadzaam om bewaarbeleid in te stellen en Bucket Lock te configureren voor alle opslagbuckets die worden gebruikt als logboeksinks. Logboeken kunnen worden geëxporteerd door een of meer sinks te maken die een logboekfilter en een bestemming bevatten. Omdat Stackdriver-logboekregistratie nieuwe logboekvermeldingen ontvangt, worden deze vergeleken met elke sink. Als een logboekvermelding overeenkomt met het filter van een sink, wordt een kopie van de logboekvermelding naar het doel geschreven. Sinks kunnen worden geconfigureerd voor het exporteren van logboeken in opslagbuckets. Het is raadzaam om een beleid voor gegevensretentie te configureren voor deze buckets voor cloudopslag en om het bewaarbeleid voor gegevens te vergrendelen; aldus permanent verhinderen dat het beleid wordt verminderd of verwijderd. Op deze manier, als het systeem ooit wordt aangetast door een aanvaller of een kwaadwillende insider die hun sporen wil behandelen, worden de activiteitenlogboeken zeker bewaard voor forensische en beveiligingsonderzoeken.

Ernst: Laag

Zorg ervoor dat voor het cloud-SQL-database-exemplaar alle binnenkomende verbindingen zijn vereist voor het gebruik van SSL

Beschrijving: Het is raadzaam om alle binnenkomende verbindingen met het SQL Database-exemplaar af te dwingen voor het gebruik van SSL. SQL Database-verbindingen als deze zijn vastgelopen (MITM); kan gevoelige gegevens weergeven, zoals referenties, databasequery's, query-uitvoer, enzovoort. Voor beveiliging is het raadzaam altijd SSL-versleuteling te gebruiken bij het maken van verbinding met uw exemplaar. Deze aanbeveling is van toepassing op Postgresql-, MySql-generatie 1- en MySql generatie 2-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'ingesloten databaseverificatie' voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'ingesloten databaseverificatie' in te stellen voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'. Een ingesloten database bevat alle database-instellingen en metagegevens die nodig zijn om de database te definiëren en heeft geen configuratieafhankelijkheden op het exemplaar van de database-engine waarop de database is geïnstalleerd. Gebruikers kunnen verbinding maken met de database zonder dat ze zich hoeven aan te melden op database-engineniveau. Door de database van de database-engine te isoleren, kunt u de database eenvoudig verplaatsen naar een ander exemplaar van SQL Server. Ingesloten databases hebben enkele unieke bedreigingen die moeten worden begrepen en beperkt door SQL Server Database Engine-beheerders. De meeste bedreigingen zijn gerelateerd aan het verificatieproces USER WITH PASSWORD, waarmee de verificatiegrens van het database-engineniveau wordt verplaatst naar het databaseniveau. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'eigendom van meerdere databases' voor cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'eigendomskoppeling tussen databases' in te stellen voor het Cloud SQL Server-exemplaar op 'uit'. Gebruik de optie 'eigendom van meerdere databases' voor het koppelen van ketens om eigendomsketens voor meerdere databases te configureren voor een exemplaar van Microsoft SQL Server. Met deze serveroptie kunt u het eigendom van meerdere databases beheren op databaseniveau of het koppelen van eigendom tussen databases toestaan voor alle databases. Het inschakelen van 'eigendom tussen databases' wordt niet aanbevolen, tenzij alle databases die worden gehost door het exemplaar van SQL Server, moeten deelnemen aan ketens van eigendom van meerdere databases en u op de hoogte bent van de gevolgen voor de beveiliging van deze instelling. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'local_infile' voor een Cloud SQL Mysql-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de local_infile databasevlag in te stellen voor een Cloud SQL MySQL-exemplaar om uit te schakelen. De vlag local_infile bepaalt de LOKALE functie aan de serverzijde voor LOAD DATA-instructies. Afhankelijk van de local_infile-instelling weigert of staat de server het laden van lokale gegevens toe door clients waarvoor LOCAL is ingeschakeld aan de clientzijde. Als u expliciet wilt voorkomen dat de server LOAD DATA LOCAL-instructies weigert (ongeacht hoe clientprogramma's en bibliotheken tijdens de build of runtime zijn geconfigureerd), begint mysqld u met local_infile uitgeschakeld. local_infile kan ook tijdens runtime worden ingesteld. Vanwege beveiligingsproblemen die zijn gekoppeld aan de vlag local_infile, is het raadzaam deze uit te schakelen. Deze aanbeveling is van toepassing op MySQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in IAM-machtigingen voor Cloud Storage

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor IAM-wijzigingen in cloudopslagbucket. Het bewaken van wijzigingen in machtigingen voor cloudopslagbuckets kan de tijd verminderen die nodig is voor het detecteren en corrigeren van machtigingen voor gevoelige buckets voor cloudopslag en -objecten in de bucket.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de configuratie van SQL-exemplaren

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor configuratiewijzigingen van SQL-exemplaren. Het bewaken van wijzigingen in de configuratie van SQL-exemplaren kan de tijd verminderen die nodig is om onjuiste configuraties op de SQL-server te detecteren en te corrigeren. Hieronder ziet u enkele van de configureerbare opties die van invloed kunnen zijn op de beveiligingspostuur van een SQL-exemplaar:

• Automatische back-ups en hoge beschikbaarheid inschakelen: Onjuiste configuratie kan nadelige gevolgen hebben voor bedrijfscontinuïteit, herstel na noodgevallen en hoge beschikbaarheid
• Netwerken autoriseren: onjuiste configuratie kan de blootstelling aan niet-vertrouwde netwerken verhogen

Ernst: Laag

Zorg ervoor dat er alleen door GCP beheerde serviceaccountsleutels zijn voor elk serviceaccount

Beschrijving: Door de gebruiker beheerde serviceaccounts mogen geen door de gebruiker beheerde sleutels hebben. Iedereen die toegang heeft tot de sleutels, heeft toegang tot resources via het serviceaccount. GCP-beheerde sleutels worden gebruikt door Cloud Platform-services zoals App Engine en Compute Engine. Deze sleutels kunnen niet worden gedownload. Google bewaart de sleutels en draait ze automatisch wekelijks. Door de gebruiker beheerde sleutels worden gemaakt, gedownload en beheerd door gebruikers. Ze verlopen 10 jaar na de creatie. Voor door de gebruiker beheerde sleutels moet de gebruiker eigenaar worden van belangrijke beheeractiviteiten, waaronder:

• Sleutelopslag
• Sleuteldistributie
• Sleutelintrekking
• Sleutelroulatie
• Sleutelbeveiliging tegen niet-geautoriseerde gebruikers
• Sleutelherstel

Zelfs met voorzorgsmaatregelen van de sleuteleigenaar kunnen sleutels eenvoudig worden gelekt door minder dan optimale algemene ontwikkelprocedures, zoals het controleren van sleutels in de broncode of het verlaten ervan in de map Downloads, of het per ongeluk verlaten van sleutels op ondersteuningsblogs/kanalen. Het wordt aanbevolen om door de gebruiker beheerde serviceaccountsleutels te voorkomen.

Ernst: Laag

Zorg ervoor dat de databasevlag 'gebruikersverbindingen' voor het Cloud SQL Server-exemplaar is ingesteld, indien van toepassing

Beschrijving: Het is raadzaam om de databasevlag 'gebruikersverbindingen' in te stellen voor het Cloud SQL Server-exemplaar volgens de door de organisatie gedefinieerde waarde. De optie Gebruikersverbindingen geeft het maximum aantal gelijktijdige gebruikersverbindingen op dat is toegestaan op een exemplaar van SQL Server. Het werkelijke aantal toegestane gebruikersverbindingen is ook afhankelijk van de versie van SQL Server die u gebruikt, en ook de limieten van uw toepassing of toepassingen en hardware. SQL Server staat maximaal 32.767 gebruikersverbindingen toe. Omdat gebruikersverbindingen een dynamische optie (zelf configureren) zijn, past SQL Server het maximum aantal gebruikersverbindingen automatisch aan, tot de maximaal toegestane waarde. Als er bijvoorbeeld slechts 10 gebruikers zijn aangemeld, worden er 10 gebruikersverbindingsobjecten toegewezen. In de meeste gevallen hoeft u de waarde voor deze optie niet te wijzigen. De standaardwaarde is 0, wat betekent dat de maximumgebruikersverbindingen (32.767) zijn toegestaan. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'Gebruikersopties' voor het Cloud SQL Server-exemplaar niet is geconfigureerd

Beschrijving: Het is raadzaam om de databasevlag 'gebruikersopties' voor het Cloud SQL Server-exemplaar niet te configureren. Met de optie 'gebruikersopties' worden algemene standaardwaarden voor alle gebruikers opgegeven. Er wordt een lijst met standaardopties voor queryverwerking ingesteld voor de duur van de werksessie van een gebruiker. Met de instelling voor gebruikersopties kunt u de standaardwaarden van de SET-opties wijzigen (als de standaardinstellingen van de server niet geschikt zijn). Een gebruiker kan deze standaardinstellingen overschrijven met behulp van de SET-instructie. U kunt gebruikersopties dynamisch configureren voor nieuwe aanmeldingen. Nadat u de instelling van gebruikersopties hebt gewijzigd, gebruiken nieuwe aanmeldingssessies de nieuwe instelling; huidige aanmeldingssessies worden niet beïnvloed. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Laag

Logboekregistratie voor GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.

Ernst: Hoog

Objectversiebeheer moet zijn ingeschakeld voor opslagbuckets waar sinks zijn geconfigureerd

Beschrijving: Deze aanbeveling evalueert of het ingeschakelde veld in de eigenschap versiebeheer van de bucket is ingesteld op waar.

Ernst: Hoog

Over-ingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen

Beschrijving: Door overingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.

Ernst: gemiddeld

Projecten met cryptografische sleutels mogen geen gebruikers met eigenaarsmachtigingen hebben

Beschrijving: Deze aanbeveling evalueert het IAM-beleid toestaan in projectmetagegevens voor principals toegewezen rollen/eigenaar.

Ernst: gemiddeld

Opslagbuckets die worden gebruikt als een logboeksink mogen niet openbaar toegankelijk zijn

Beschrijving: Deze aanbeveling evalueert het IAM-beleid van een bucket voor de principals allUsers of allAuthenticatedUsers, die openbare toegang verlenen.

Ernst: Hoog

Gerelateerde inhoud

• Meer informatie over beveiligingsaan aanbevelingen
• Aanbevelingen voor beveiliging controleren