Zalecenia dotyczące zabezpieczeń obliczeń

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń obliczeń wielochmurowych, które można zobaczyć w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.

Napiwek

Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

Zalecenia dotyczące usług obliczeniowych na platformie Azure

Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji)

Opis: Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania.

Ważność: Niska

Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu

Opis: Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode.

Ważność: Niska

Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach

Opis: Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, Defender dla Chmury używa uczenia maszynowego do analizowania aplikacji działających na każdej maszynie i sugerowania listy znanych aplikacji bezpiecznych. (Powiązane zasady: Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach.

Ważność: Wysoka

Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane

Opis: Monitoruj zmiany zachowania w grupach maszyn skonfigurowanych do inspekcji przez funkcje adaptacyjnego sterowania aplikacjami Defender dla Chmury. Defender dla Chmury używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. (Powiązane zasady: Należy zaktualizować reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji.

Ważność: Wysoka

Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH

Opis: Chociaż sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej w artykule Szczegółowe kroki: Tworzenie kluczy SSH na potrzeby uwierzytelniania na maszynie wirtualnej z systemem Linux na platformie Azure i zarządzanie nimi. (Powiązane zasady: Przeprowadź inspekcję maszyn z systemem Linux, które nie używają klucza SSH do uwierzytelniania).

Ważność: średni rozmiar

Zmienne konta usługi Automation powinny być szyfrowane

Opis: Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych. (Powiązane zasady: Zmienne konta usługi Automation powinny być szyfrowane).

Ważność: Wysoka

Usługa Azure Backup powinna być włączona dla maszyn wirtualnych

Opis: Ochrona danych na maszynach wirtualnych platformy Azure za pomocą usługi Azure Backup. Usługa Azure Backup to natywne, ekonomiczne, ekonomiczne rozwiązanie do ochrony danych. Tworzy punkty odzyskiwania przechowywane w magazynach odzyskiwania geograficznie nadmiarowych. Z punktu odzyskiwania można przywrócić całą maszynę wirtualną lub poszczególne pliki. (Powiązane zasady: Usługa Azure Backup powinna być włączona dla maszyn wirtualnych).

Ważność: Niska

(Wersja zapoznawcza) Serwery rozwiązania Azure Stack HCI powinny spełniać wymagania zabezpieczonego rdzenia

Opis: Upewnij się, że wszystkie serwery rozwiązania Azure Stack HCI spełniają wymagania zabezpieczonego rdzenia. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Niska

(Wersja zapoznawcza) Serwery usługi Azure Stack HCI powinny mieć spójnie wymuszane zasady kontroli aplikacji

Opis: Zastosuj co najmniej zasady podstawowe usługi Microsoft WDAC w trybie wymuszonym na wszystkich serwerach rozwiązania Azure Stack HCI. Zastosowane zasady kontroli aplikacji usługi Windows Defender (WDAC) muszą być spójne między serwerami w tym samym klastrze. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Wysoka

(Wersja zapoznawcza) Systemy rozwiązania Azure Stack HCI powinny mieć zaszyfrowane woluminy

Opis: Użyj funkcji BitLocker do szyfrowania woluminów systemu operacyjnego i danych w systemach Azure Stack HCI. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Wysoka

Hosty kontenerów powinny być skonfigurowane bezpiecznie

Opis: Korygowanie luk w zabezpieczeniach ustawień konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker w celu ochrony ich przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenerów.

Ważność: Wysoka

Dzienniki diagnostyczne w usłudze Azure Stream Analytics powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Azure Stream Analytics powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne na kontach usługi Batch powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne na kontach usługi Batch powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Event Hubs powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Event Hubs powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Logic Apps powinny być włączone

Opis: Aby mieć pewność, że można odtworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, włącz rejestrowanie. Jeśli dzienniki diagnostyczne nie są wysyłane do obszaru roboczego usługi Log Analytics, konta usługi Azure Storage lub usługi Azure Event Hubs, upewnij się, że skonfigurowano ustawienia diagnostyczne w celu wysyłania metryk platformy i dzienników platformy do odpowiednich miejsc docelowych. Dowiedz się więcej w artykule Create diagnostic settings to send platform logs and metrics to different destinations (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy do różnych miejsc docelowych). (Powiązane zasady: Dzienniki diagnostyczne w usłudze Logic Apps powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Service Bus powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Service Bus powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone).

Ważność: Wysoka

Problemy z konfiguracją EDR należy rozwiązać na maszynach wirtualnych

Opis: Aby chronić maszyny wirtualne przed najnowszymi zagrożeniami i lukami w zabezpieczeniach, rozwiąż wszystkie zidentyfikowane problemy z konfiguracją zainstalowanego rozwiązania wykrywania i reagowania na punkty końcowe (EDR). Obecnie to zalecenie dotyczy tylko zasobów z włączonym Ochrona punktu końcowego w usłudze Microsoft Defender.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Niska

Rozwiązanie EDR powinno być zainstalowane na maszynach wirtualnych

Opis: Instalowanie rozwiązania do wykrywania i reagowania na punkty końcowe (EDR) na maszynach wirtualnych jest ważne dla ochrony przed zaawansowanymi zagrożeniami. EDR pomagają zapobiegać, wykrywać, badać i reagować na te zagrożenia. Usługi Microsoft Defender for Servers można użyć do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender.

• Jeśli zasób jest klasyfikowany jako "W złej kondycji", wskazuje brak obsługiwanego rozwiązania EDR.
• Jeśli rozwiązanie EDR jest zainstalowane, ale nie można go odnaleźć zgodnie z tym zaleceniem, można go wykluczyć
• Bez rozwiązania EDR maszyny wirtualne są zagrożone zaawansowanymi zagrożeniami.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Wysoka

Należy rozwiązać problemy z kondycją programu Endpoint Protection w zestawach skalowania maszyn wirtualnych

Opis: W zestawach skalowania maszyn wirtualnych koryguj błędy kondycji ochrony punktu końcowego, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych.

Ważność: Niska

Program Endpoint Protection powinien być zainstalowany w zestawach skalowania maszyn wirtualnych

Opis: Zainstaluj rozwiązanie ochrony punktu końcowego na zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych.

Ważność: Wysoka

Monitorowanie integralności plików powinno być włączone na maszynach

Opis: Defender dla Chmury zidentyfikował maszyny, na których brakuje rozwiązania do monitorowania integralności plików. Aby monitorować zmiany plików krytycznych, kluczy rejestru i nie tylko na serwerach, włącz monitorowanie integralności plików. Po włączeniu rozwiązania do monitorowania integralności plików utwórz reguły zbierania danych, aby zdefiniować pliki do monitorowania. Aby zdefiniować reguły lub wyświetlić pliki zmienione na maszynach z istniejącymi regułami, przejdź do strony zarządzania monitorowaniem integralności plików. (Brak powiązanych zasad)

Ważność: Wysoka

Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux z obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z systemem Linux z obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych zestawów skalowania maszyn wirtualnych z włączoną obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach

Opis: Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady gościa będą dostępne, takie jak Funkcja Windows Exploit Guard powinna być włączona. (Powiązane zasady: Maszyny wirtualne powinny mieć rozszerzenie Konfiguracji gościa).

Ważność: średni rozmiar

(Wersja zapoznawcza) Sieć hostów i maszyn wirtualnych powinna być chroniona w systemach Azure Stack HCI

Opis: Ochrona danych w sieci hosta rozwiązania Azure Stack HCI i połączeń sieciowych maszyn wirtualnych. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Niska

Instalowanie rozwiązania endpoint protection na maszynach wirtualnych

Opis: Zainstaluj rozwiązanie ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center).

Ważność: Wysoka

Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost

Opis: Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę Omówienie opcji szyfrowania dysków zarządzanych, aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Understanding Azure Machine Configuration (Omówienie konfiguracji maszyny platformy Azure). (Powiązane zasady: [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost).

Zastępuje starsze zalecenie Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem. Zalecenie umożliwia inspekcję zgodności szyfrowania maszyn wirtualnych.

Ważność: Wysoka

Maszyny wirtualne z systemem Linux powinny wymuszać walidację podpisu modułu jądra

Opis: Aby pomóc w ograniczeniu ryzyka wykonania złośliwego lub nieautoryzowanego kodu w trybie jądra, wymuś walidację podpisu modułu jądra na obsługiwanych maszynach wirtualnych z systemem Linux. Sprawdzanie poprawności sygnatury modułu jądra gwarantuje, że do uruchomienia będą mogły być uruchamiane tylko zaufane moduły jądra. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu

Opis: Po włączeniu bezpiecznego rozruchu wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. (Brak powiązanych zasad)

Ważność: Niska

Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu

Opis: Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Agent usługi Log Analytics powinien być zainstalowany na maszynach z obsługą usługi Azure Arc opartych na systemie Linux

Opis: Defender dla Chmury używa agenta usługi Log Analytics (znanego również jako OMS) do zbierania zdarzeń zabezpieczeń z maszyn usługi Azure Arc. Aby wdrożyć agenta na wszystkich maszynach usługi Azure Arc, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

W miarę wycofywania korzystania z usług AMA i MMA w usłudze Defender for Servers zalecenia, które polegają na tych agentach, takich jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowane wycofanie: lipiec 2024 r.

Agent usługi Log Analytics powinien być zainstalowany w zestawach skalowania maszyn wirtualnych

Opis: Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. Dane są zbierane przy użyciu agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego na potrzeby analizy. Należy również wykonać procedurę, jeśli maszyny wirtualne są używane przez usługę zarządzaną platformy Azure, taką jak Azure Kubernetes Service lub Azure Service Fabric. Nie można skonfigurować automatycznej aprowizacji agenta dla zestawów skalowania maszyn wirtualnych platformy Azure. Aby wdrożyć agenta w zestawach skalowania maszyn wirtualnych (w tym tych używanych przez usługi zarządzane platformy Azure, takich jak Azure Kubernetes Service i Azure Service Fabric), wykonaj procedurę w krokach korygowania. (Powiązane zasady: Agent usługi Log Analytics powinien być zainstalowany w zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center.

W miarę wycofywania korzystania z usług AMA i MMA w usłudze Defender for Servers zalecenia, które polegają na tych agentach, takich jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowane wycofanie: lipiec 2024 r.

Ważność: Wysoka

Agent usługi Log Analytics powinien być zainstalowany na maszynach wirtualnych

Opis: Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. Dane są zbierane przy użyciu agenta usługi Log Analytics, znanego wcześniej jako Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Ten agent jest również wymagany, jeśli maszyny wirtualne są używane przez usługę zarządzaną platformy Azure, taką jak Azure Kubernetes Service lub Azure Service Fabric. Zalecamy skonfigurowanie automatycznej aprowizacji w celu automatycznego wdrożenia agenta. Jeśli nie chcesz używać automatycznej aprowizacji, ręcznie wdróż agenta na maszynach wirtualnych, korzystając z instrukcji w krokach korygowania. (Powiązane zasady: Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center.

W miarę wycofywania korzystania z usług AMA i MMA w usłudze Defender for Servers zalecenia, które polegają na tych agentach, takich jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowane wycofanie: lipiec 2024 r.

Ważność: Wysoka

Agent usługi Log Analytics powinien być zainstalowany na komputerach z obsługą usługi Azure Arc z systemem Windows

Opis: Defender dla Chmury używa agenta usługi Log Analytics (znanego również jako MMA) do zbierania zdarzeń zabezpieczeń z maszyn usługi Azure Arc. Aby wdrożyć agenta na wszystkich maszynach usługi Azure Arc, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

W miarę wycofywania korzystania z usług AMA i MMA w usłudze Defender for Servers zalecenia, które polegają na tych agentach, takich jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowane wycofanie: lipiec 2024 r.

Maszyny powinny być skonfigurowane bezpiecznie

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach w celu ochrony ich przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach.

To zalecenie pomaga zwiększyć poziom zabezpieczeń serwera. Defender dla Chmury rozszerza testy porównawcze usługi Center for Internet Security (CIS), zapewniając punkty odniesienia zabezpieczeń obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Dowiedz się więcej.

Ważność: Niska

Aby zastosować aktualizacje konfiguracji zabezpieczeń, należy ponownie uruchomić maszyny

Opis: Aby zastosować aktualizacje konfiguracji zabezpieczeń i chronić przed lukami w zabezpieczeniach, uruchom ponownie maszyny. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach

Opis: Defender dla Chmury regularnie sprawdza połączone maszyny, aby upewnić się, że są uruchomione narzędzia do oceny luk w zabezpieczeniach. Użyj tego zalecenia, aby wdrożyć rozwiązanie do oceny luk w zabezpieczeniach. (Powiązane zasady: Na maszynach wirtualnych należy włączyć rozwiązanie do oceny luk w zabezpieczeniach.

Ważność: średni rozmiar

Maszyny powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Rozwiąż wyniki rozwiązań do oceny luk w zabezpieczeniach na maszynach wirtualnych. (Powiązane zasady: Na maszynach wirtualnych należy włączyć rozwiązanie do oceny luk w zabezpieczeniach.

Ważność: Niska

Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time

Opis: Defender dla Chmury zidentyfikował pewne nadmiernie permissywne reguły ruchu przychodzącego dla portów zarządzania w sieciowej grupie zabezpieczeń. Włącz kontrolę dostępu just in time, aby chronić maszynę wirtualną przed atakami siłowymi opartymi na Internecie. Dowiedz się więcej w artykule Understanding just-in-time (JIT) VM access (Dostęp just in time) do maszyny wirtualnej. (Powiązane zasady: Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time.

Ważność: Wysoka

Usługa Microsoft Defender dla serwerów powinna być włączona

Opis: Usługa Microsoft Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te informacje umożliwiają szybkie korygowanie problemów z zabezpieczeniami i poprawianie zabezpieczeń serwerów.

Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę serwerów. Jeśli nie masz żadnych serwerów w tej subskrypcji, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek serwery w tej subskrypcji, będą one automatycznie chronione, a opłaty zaczną się w tym czasie. Dowiedz się więcej w temacie Wprowadzenie do usługi Microsoft Defender dla serwerów. (Powiązane zasady: Usługa Azure Defender dla serwerów powinna być włączona).

Ważność: Wysoka

Usługa Microsoft Defender dla serwerów powinna być włączona w obszarach roboczych

Opis: Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemami Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w ramach subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Wprowadzenie do usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows

Opis: Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądro i sterowniki jądra. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z systemem Windows z obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign

Opis: Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign i EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo. (Powiązane zasady: Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign.

Ważność: Wysoka

Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta

Opis: Wykonaj uwierzytelnianie klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric (powiązane zasady: Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta).

Ważność: Wysoka

Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych

Opis: Zainstaluj brakujące aktualizacje zabezpieczeń systemu i aktualizacji krytycznych, aby zabezpieczyć zestawy skalowania maszyn wirtualnych z systemem Windows i Linux. (Powiązane zasady: Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych).

W miarę korzystania z agenta usługi Azure Monitor (AMA) i agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent ( MMA) zostanie wycofany w usłudze Defender for Servers, zalecenia, które opierają się na tych agentach, podobnie jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowana amortyzacja: lipiec 2024 r. Te zalecenia są zastępowane przez nowe.

Ważność: Wysoka

Aktualizacje systemu powinny być instalowane na maszynach

Opis: Zainstaluj brakujące aktualizacje zabezpieczeń systemu i aktualizacji krytycznych, aby zabezpieczyć maszyny wirtualne i komputery z systemem Windows i Linux (powiązane zasady: Aktualizacje systemu powinny być zainstalowane na maszynach).

W miarę korzystania z agenta usługi Azure Monitor (AMA) i agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent ( MMA) zostanie wycofany w usłudze Defender for Servers, zalecenia, które opierają się na tych agentach, podobnie jak ten, zostaną usunięte. Zamiast tego funkcje usługi Defender for Servers będą używać agenta Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez polegania na mma lub ama.

Szacowana amortyzacja: lipiec 2024 r. Te zalecenia są zastępowane przez nowe.

Ważność: Wysoka

Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji)

Opis: Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście

Opis: Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej w witrynie Azure Portal, aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście. (Powiązane zasady: Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście.

Ważność: średni rozmiar

Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager

Opis: Maszyny wirtualne (klasyczne) są przestarzałe i te maszyny wirtualne powinny zostać zmigrowane do usługi Azure Resource Manager. Ponieważ usługa Azure Resource Manager ma teraz pełne możliwości IaaS i inne postępy, w dniu 28 lutego 2020 r. przestaliśmy zarządzać maszynami wirtualnymi IaaS za pośrednictwem usługi Azure Service Manager (ASM). Ta funkcja zostanie w pełni wycofana 1 marca 2023 r.

Aby wyświetlić wszystkie maszyny wirtualne, których dotyczy problem, upewnij się, że wybrano wszystkie subskrypcje platformy Azure na karcie "katalogi i subskrypcje".

Dostępne zasoby i informacje o tej migracji narzędzia i migracji: Omówienie wycofywania maszyn wirtualnych (klasycznych), krok po kroku dla migracji i dostępnych zasobów firmy Microsoft.Szczegółowe informacje o narzędziu migracji do usługi Azure Resource Manager.Migrowanie do narzędzia migracji usługi Azure Resource Manager przy użyciu programu PowerShell. (Powiązane zasady: Maszyny wirtualne należy migrować do nowych zasobów usługi Azure Resource Manager).

Ważność: Wysoka

Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji

Opis: Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) na serwer zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, co może być wynikiem bootkit infekcji lub rootkit . Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. (Brak powiązanych zasad)

Ważność: średni rozmiar

Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system

Opis: Rozszerzenie Konfiguracji gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej (Powiązane zasady: Rozszerzenie konfiguracji gościa powinno zostać wdrożone na maszynach wirtualnych platformy Azure z przypisaną przez system tożsamością zarządzaną).

Ważność: średni rozmiar

Zestawy skalowania maszyn wirtualnych należy skonfigurować bezpiecznie

Opis: W zestawach skalowania maszyn wirtualnych korygowanie luk w zabezpieczeniach w celu ochrony ich przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych.

Ważność: Wysoka

Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem

Opis: Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Aby porównać różne technologie szyfrowania dysków na platformie Azure, zobacz Omówienie opcji szyfrowania dysków zarządzanych. Za pomocą usługi Azure Disk Encryption szyfruj wszystkie te dane. Zignoruj to zalecenie, jeśli:

Używasz funkcji szyfrowania na hoście lub szyfrowania po stronie serwera w Dyski zarządzane spełnia twoje wymagania dotyczące zabezpieczeń. Dowiedz się więcej na temat szyfrowania po stronie serwera usługi Azure Disk Storage.

(Powiązane zasady: Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych)

Ważność: Wysoka

Maszyny wirtualne vTPM powinny być włączone na obsługiwanych maszynach wirtualnych

Opis: Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania.

• Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych.
• Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach z systemem Linux powinny zostać skorygowane (obsługiwane przez konfigurację gościa)

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Linux w celu ochrony ich przed atakami. (Powiązane zasady: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure).

Ważność: Niska

Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows (obsługiwane przez konfigurację gościa)

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows w celu ochrony ich przed atakami. (Brak powiązanych zasad)

Ważność: Niska

Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach

Opis: Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). (Powiązane zasady: Przeprowadź inspekcję maszyn z systemem Windows, na których nie włączono funkcji Windows Defender Exploit Guard.

Ważność: średni rozmiar

Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost

Opis: Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę Omówienie opcji szyfrowania dysków zarządzanych, aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Understanding Azure Machine Configuration (Omówienie konfiguracji maszyny platformy Azure). (Powiązane zasady: [Wersja zapoznawcza]: maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost).

Zastępuje starsze zalecenie Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem. Zalecenie umożliwia inspekcję zgodności szyfrowania maszyn wirtualnych.

Ważność: Wysoka

Serwery sieci Web systemu Windows powinny być skonfigurowane do używania bezpiecznych protokołów komunikacyjnych

Opis: Aby chronić prywatność informacji przekazywanych przez Internet, serwery internetowe powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przy użyciu certyfikatów zabezpieczeń w celu szyfrowania połączenia między maszynami. (Powiązane zasady: Przeprowadź inspekcję serwerów sieci Web systemu Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych).

Ważność: Wysoka

Zalecenia dotyczące usług AWS Compute

Wystąpienia usługi Amazon EC2 zarządzane przez program Systems Manager powinny mieć stan zgodności poprawek ZGODNY po zainstalowaniu poprawki

Opis: Ta kontrola sprawdza, czy stan zgodności zgodności z poprawkami programu Amazon EC2 Systems Manager jest zgodny, czy NON_COMPLIANT po zainstalowaniu poprawki w wystąpieniu. Sprawdza tylko wystąpienia zarządzane przez menedżera poprawek programu AWS Systems Manager. Nie sprawdza, czy poprawka została zastosowana w ramach 30-dniowego limitu określonego przez wymaganie PCI DSS "6.2". Nie sprawdza również, czy zastosowane poprawki zostały sklasyfikowane jako poprawki zabezpieczeń. Należy utworzyć grupy poprawek z odpowiednimi ustawieniami punktu odniesienia i upewnić się, że systemy w zakresie są zarządzane przez te grupy poprawek w Menedżerze systemów. Aby uzyskać więcej informacji na temat grup poprawek, zobacz AwS Systems Manager User Guide (Podręcznik użytkownika programu AWS Systems Manager).

Ważność: średni rozmiar

System Amazon EFS powinien być skonfigurowany do szyfrowania danych plików magazynowanych przy użyciu usługi AWS KMS

Opis: Ta kontrolka sprawdza, czy system plików Amazon Elastic File System jest skonfigurowany do szyfrowania danych plików przy użyciu usługi AWS KMS. Sprawdzanie kończy się niepowodzeniem w następujących przypadkach: *"Encrypted" jest ustawiona na wartość "false" w odpowiedzi DescribeFileSystems. Klucz "KmsKeyId" w odpowiedzi DescribeFileSystems nie jest zgodny z parametrem KmsKeyId dla funkcji efs-encrypted-check. Należy pamiętać, że ta kontrolka nie używa parametru "KmsKeyId" dla funkcji efs-encrypted-check. Sprawdza tylko wartość "Encrypted". W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w systemie Amazon EFS należy utworzyć zaszyfrowane systemy plików. System Amazon EFS obsługuje szyfrowanie dla magazynowanych systemów plików. Szyfrowanie danych magazynowanych można włączyć podczas tworzenia systemu plików Amazon EFS. Aby dowiedzieć się więcej na temat szyfrowania Amazon EFS, zobacz Szyfrowanie danych w systemie Amazon EFS w podręczniku użytkownika systemu plików Amazon Elastic.

Ważność: średni rozmiar

Woluminy amazon EFS powinny znajdować się w planach tworzenia kopii zapasowych

Opis: Ta kontrolka sprawdza, czy systemy plików Amazon Elastic File System (Amazon EFS) są dodawane do planów tworzenia kopii zapasowych w usłudze AWS Backup. Kontrola kończy się niepowodzeniem, jeśli systemy plików Amazon EFS nie są uwzględnione w planach tworzenia kopii zapasowych. Uwzględnienie systemów plików EFS w planach tworzenia kopii zapasowych pomaga chronić dane przed usunięciem i utratą danych.

Ważność: średni rozmiar

Należy włączyć ochronę usuwania modułu równoważenia obciążenia aplikacji

Opis: Ta kontrolka sprawdza, czy usługa Application Load Balancer ma włączoną ochronę usuwania. Kontrolka kończy się niepowodzeniem, jeśli ochrona przed usunięciem nie jest skonfigurowana. Włącz ochronę przed usuwaniem, aby chronić moduł równoważenia obciążenia aplikacji przed usunięciem.

Ważność: średni rozmiar

Automatyczne skalowanie grup skojarzonych z modułem równoważenia obciążenia powinno używać kontroli kondycji

Opis: Automatyczne skalowanie grup skojarzonych z modułem równoważenia obciążenia korzysta z kontroli kondycji elastycznego równoważenia obciążenia. PCI DSS nie wymaga równoważenia obciążenia ani konfiguracji o wysokiej dostępności. Jest to zalecane przez najlepsze rozwiązania dotyczące platformy AWS.

Ważność: Niska

Konta platformy AWS powinny mieć włączoną automatyczną aprowizację usługi Azure Arc

Opis: Aby uzyskać pełną widoczność zawartości zabezpieczeń z usługi Microsoft Defender dla serwerów, wystąpienia usługi EC2 powinny być połączone z usługą Azure Arc. Aby upewnić się, że wszystkie kwalifikujące się wystąpienia usługi EC2 automatycznie otrzymają usługę Azure Arc, włącz automatyczne aprowizowanie z Defender dla Chmury na poziomie konta platformy AWS. Dowiedz się więcej o usługach Azure Arc i Microsoft Defender for Servers.

Ważność: Wysoka

Dystrybucje usługi CloudFront powinny mieć skonfigurowane tryb failover źródła

Opis: Ta kontrolka sprawdza, czy dystrybucja usługi Amazon CloudFront jest skonfigurowana z grupą pochodzenia, która ma co najmniej dwa źródła. Tryb failover źródła usługi CloudFront może zwiększyć dostępność. Tryb failover źródła automatycznie przekierowuje ruch do pomocniczego źródła, jeśli źródło podstawowe jest niedostępne lub zwraca określone kody stanu odpowiedzi HTTP.

Ważność: średni rozmiar

Adresy URL repozytorium źródłowego Repozytorium GitHub lub Bitbucket powinny używać protokołu OAuth

Opis: Ta kontrolka sprawdza, czy adres URL źródłowego repozytorium GitHub lub Bitbucket zawiera osobiste tokeny dostępu lub nazwę użytkownika i hasło. Poświadczenia uwierzytelniania nigdy nie powinny być przechowywane ani przesyłane w postaci zwykłego tekstu ani pojawiać się w adresie URL repozytorium. Zamiast osobistych tokenów dostępu lub nazwy użytkownika i hasła należy użyć protokołu OAuth, aby udzielić autoryzacji na potrzeby uzyskiwania dostępu do repozytoriów GitHub lub Bitbucket. Użycie osobistych tokenów dostępu lub nazwy użytkownika i hasła może spowodować uwidocznienie poświadczeń niezamierzonym narażeniu danych i nieautoryzowanemu dostępowi.

Ważność: Wysoka

Zmienne środowiskowe projektu CodeBuild nie powinny zawierać poświadczeń

Opis: Ta kontrolka sprawdza, czy projekt zawiera zmienne środowiskowe AWS_ACCESS_KEY_ID i AWS_SECRET_ACCESS_KEY. Poświadczenia AWS_ACCESS_KEY_ID uwierzytelniania i AWS_SECRET_ACCESS_KEY nigdy nie powinny być przechowywane w postaci zwykłego tekstu, ponieważ może to prowadzić do niezamierzonego ujawnienia danych i nieautoryzowanego dostępu.

Ważność: Wysoka

Klastry akceleratora bazy danych DynamoDB (DAX) powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy klaster języka DAX jest zaszyfrowany w spoczynku. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Szyfrowanie dodaje kolejny zestaw kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu użytkowników do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać.

Ważność: średni rozmiar

Tabele bazy danych DynamoDB powinny automatycznie skalować pojemność z zapotrzebowaniem

Opis: Ta kontrolka sprawdza, czy tabela Amazon DynamoDB może skalować pojemność odczytu i zapisu zgodnie z potrzebami. Ta kontrolka przechodzi, jeśli w tabeli jest używany tryb pojemności na żądanie lub tryb aprowizacji ze skonfigurowanym automatycznym skalowaniem. Skalowanie pojemności z zapotrzebowaniem pozwala uniknąć wyjątków ograniczania przepustowości, co pomaga zachować dostępność aplikacji.

Ważność: średni rozmiar

Wystąpienia usługi EC2 powinny być połączone z usługą Azure Arc

Opis: Połącz wystąpienia usługi EC2 z usługą Azure Arc, aby mieć pełną widoczność zawartości zabezpieczeń usługi Microsoft Defender for Servers. Dowiedz się więcej o usłudze Azure Arc i usłudze Microsoft Defender dla serwerów w środowisku chmury hybrydowej.

Ważność: Wysoka

Wystąpienia USŁUGI EC2 powinny być zarządzane przez menedżera systemów AWS

Opis: Stan zgodności poprawek menedżera systemów Amazon EC2 to "ZGODNE" lub "NON_COMPLIANT" po instalacji poprawek w wystąpieniu. Sprawdzane są tylko wystąpienia zarządzane przez menedżera poprawek programu AWS Systems Manager. Poprawki, które zostały zastosowane w limicie 30-dniowym określonym przez wymaganie PCI DSS "6", nie są sprawdzane.

Ważność: średni rozmiar

Problemy z konfiguracją usługi EDR należy rozwiązać w usłudze EC2s

Opis: Aby chronić maszyny wirtualne przed najnowszymi zagrożeniami i lukami w zabezpieczeniach, rozwiąż wszystkie zidentyfikowane problemy z konfiguracją zainstalowanego rozwiązania wykrywania i reagowania na punkty końcowe (EDR). Obecnie to zalecenie dotyczy tylko zasobów z włączonym Ochrona punktu końcowego w usłudze Microsoft Defender.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Wysoka

Rozwiązanie EDR powinno być zainstalowane w usłudze EC2s

Opis: Aby chronić usługi EC2, zainstaluj rozwiązanie Do wykrywania i reagowania na punkty końcowe (EDR). EDR pomagają zapobiegać, wykrywać, badać i reagować na zaawansowane zagrożenia. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą usługi Microsoft Defender dla serwerów. Jeśli zasób jest klasyfikowany jako "W złej kondycji", nie ma zainstalowanego obsługiwanego rozwiązania EDR. Jeśli masz zainstalowane rozwiązanie EDR, które nie jest wykrywalne przez to zalecenie, możesz je wykluczyć.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Wysoka

Wystąpienia zarządzane przez menedżera systemów powinny mieć stan zgodności skojarzenia ZGODNY

Opis: Ta kontrola sprawdza, czy stan zgodności skojarzenia programu AWS Systems Manager jest zgodny, czy NON_COMPLIANT po uruchomieniu skojarzenia w wystąpieniu. Kontrolka przechodzi, jeśli stan zgodności skojarzenia to ZGODNE. Skojarzenie programu State Manager to konfiguracja przypisana do wystąpień zarządzanych. Konfiguracja definiuje stan, który ma być utrzymywany w wystąpieniach. Na przykład skojarzenie może określać, że oprogramowanie antywirusowe musi być zainstalowane i uruchomione na wystąpieniach lub że niektóre porty muszą być zamknięte. Po utworzeniu co najmniej jednego skojarzenia programu State Manager informacje o stanie zgodności są natychmiast dostępne w konsoli programu lub w odpowiedzi na polecenia interfejsu wiersza polecenia platformy AWS lub odpowiednie operacje interfejsu API programu Systems Manager. W przypadku skojarzeń zgodność "Konfiguracja" pokazuje stany Zgodne lub Niezgodne oraz poziom ważności przypisany do skojarzenia, taki jak Krytyczny lub Średni. Aby dowiedzieć się więcej na temat zgodności skojarzeń programu State Manager, zobacz About State Manager association compliance (Informacje o zgodności skojarzeń programu State Manager) w podręczniku użytkownika programu AWS Systems Manager. Należy skonfigurować wystąpienia usługi EC2 w zakresie dla skojarzenia menedżera systemów. Należy również skonfigurować punkt odniesienia poprawek dla oceny zabezpieczeń dostawcy poprawek i ustawić datę automatycznego stosowania zgodnie z wymaganiami PCI DSS 3.2.1 6.2. Aby uzyskać więcej wskazówek dotyczących tworzenia skojarzenia, zobacz Tworzenie skojarzenia w podręczniku użytkownika programu AWS Systems Manager. Aby uzyskać więcej informacji na temat pracy z stosowaniem poprawek w programie Systems Manager, zobacz AwS Systems Manager Patch Manager w podręczniku użytkownika programu AWS Systems Manager.

Ważność: Niska

Funkcje lambda powinny mieć skonfigurowaną kolejkę utraconych komunikatów

Opis: Ta kontrolka sprawdza, czy funkcja lambda jest skonfigurowana przy użyciu kolejki utraconych komunikatów. Kontrolka kończy się niepowodzeniem, jeśli funkcja Lambda nie jest skonfigurowana z kolejką utraconych komunikatów. Alternatywą dla miejsca docelowego awarii jest skonfigurowanie funkcji z kolejką utraconych komunikatów w celu zapisania odrzuconych zdarzeń w celu dalszego przetwarzania. Kolejka utraconych komunikatów działa tak samo jak miejsce docelowe awarii. Jest używany, gdy zdarzenie zakończy się niepowodzeniem, wszystkie próby przetwarzania lub wygaśnie bez przetwarzania. Kolejka utraconych komunikatów pozwala spojrzeć wstecz na błędy lub nieudane żądania do funkcji Lambda w celu debugowania lub identyfikowania nietypowego zachowania. Z punktu widzenia zabezpieczeń ważne jest, aby zrozumieć, dlaczego funkcja nie powiodła się, i upewnić się, że funkcja nie usuwa danych ani nie narusza zabezpieczeń danych w wyniku. Jeśli na przykład funkcja nie może komunikować się z zasobem bazowym, może to być objaw ataku typu "odmowa usługi" (DoS) w innym miejscu w sieci.

Ważność: średni rozmiar

Funkcje lambda powinny używać obsługiwanych środowisk uruchomieniowych

Opis: Ta kontrolka sprawdza, czy ustawienia funkcji lambda dla środowisk uruchomieniowych są zgodne z oczekiwanymi wartościami ustawionymi dla obsługiwanych środowisk uruchomieniowych dla każdego języka. Ta kontrolka sprawdza następujące środowiska uruchomieniowe: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1lambda runtimes są tworzone w ramach kombinacji systemów operacyjnych, języka programowania i bibliotek oprogramowania, które podlegają konserwacji i aktualizacjom zabezpieczeń. Gdy składnik środowiska uruchomieniowego nie jest już obsługiwany w przypadku aktualizacji zabezpieczeń, lambda oznacza przestarzałe środowisko uruchomieniowe. Mimo że nie można tworzyć funkcji używających przestarzałego środowiska uruchomieniowego, funkcja jest nadal dostępna do przetwarzania zdarzeń wywołania. Upewnij się, że funkcje lambda są aktualne i nie używaj nieaktualnych środowisk środowiska uruchomieniowego. Aby dowiedzieć się więcej o obsługiwanych środowiskach uruchomieniowych sprawdzanych przez tę kontrolę w obsługiwanych językach, zobacz AwS Lambda runtimes (Środowiska uruchomieniowe lambda platformy AWS) w przewodniku dewelopera usługi AWS Lambda.

Ważność: średni rozmiar

Porty zarządzania wystąpień usługi EC2 powinny być chronione za pomocą kontroli dostępu do sieci just in time

Opis: Microsoft Defender dla Chmury zidentyfikowano pewne nadmiernie permissywne reguły ruchu przychodzącego dla portów zarządzania w sieci. Włącz kontrolę dostępu just in time, aby chronić wystąpienia przed atakami siłowymi opartymi na Internecie. Dowiedz się więcej.

Ważność: Wysoka

Należy usunąć nieużywane grupy zabezpieczeń USŁUGI EC2

Opis: Grupy zabezpieczeń powinny być dołączone do wystąpień usługi Amazon EC2 lub do ENI. Znalezienie dobrej kondycji może wskazywać, że istnieją nieużywane grupy zabezpieczeń Amazon EC2.

Ważność: Niska

Zalecenia dotyczące obliczeń GCP

Maszyny wirtualne aparatu obliczeniowego powinny używać systemu operacyjnego zoptymalizowanego pod kątem kontenera

Opis: To zalecenie ocenia właściwość konfiguracji puli węzłów dla pary klucz-wartość", "imageType": "COS".

Ważność: Niska

Problemy z konfiguracją EDR należy rozwiązać na maszynach wirtualnych GCP

Opis: Aby chronić maszyny wirtualne przed najnowszymi zagrożeniami i lukami w zabezpieczeniach, rozwiąż wszystkie zidentyfikowane problemy z konfiguracją zainstalowanego rozwiązania wykrywania i reagowania na punkty końcowe (EDR). Obecnie to zalecenie dotyczy tylko zasobów z włączonym Ochrona punktu końcowego w usłudze Microsoft Defender.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Wysoka

Rozwiązanie EDR powinno być zainstalowane na maszynach wirtualnych GCP

Opis: Aby chronić maszyny wirtualne, zainstaluj rozwiązanie do wykrywania i reagowania na punkty końcowe (EDR). EDR pomagają zapobiegać, wykrywać, badać i reagować na zaawansowane zagrożenia. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą usługi Microsoft Defender dla serwerów. Jeśli zasób jest klasyfikowany jako "W złej kondycji", nie ma zainstalowanego obsługiwanego rozwiązania EDR. Jeśli masz zainstalowane rozwiązanie EDR, które nie jest wykrywalne przez to zalecenie, możesz je wykluczyć.

To zalecenie dotyczące punktu końcowego bez agenta jest dostępne, jeśli masz plan 2 usługi Defender for Servers lub plan CSPM w usłudze Defender. Dowiedz się więcej o zaleceniach dotyczących ochrony punktu końcowego bez agenta.

• Te nowe zalecenia dotyczące punktów końcowych bez agenta obsługują platformę Azure i maszyny wielochmurowe. Serwery lokalne nie są obsługiwane.
• Te nowe zalecenia dotyczące punktów końcowych bez agenta zastępują istniejące zalecenia Program Endpoint Protection powinien być zainstalowany na maszynach (wersja zapoznawcza), a problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach (wersja zapoznawcza).
• Te starsze zalecenia korzystają z agenta MMA/AMA i zostaną zastąpione, ponieważ agenci są wycofynięti w usłudze Defender for Servers.

Ważność: Wysoka

Upewnij się, że opcja "Blokuj klucze SSH dla całego projektu" jest włączona dla wystąpień maszyn wirtualnych

Opis: Zaleca się używanie kluczy SSH specyficznych dla wystąpienia zamiast używania wspólnych/udostępnionych kluczy SSH dla całego projektu w celu uzyskania dostępu do wystąpień. Klucze SSH dla całego projektu są przechowywane w obszarze Compute/Project-meta-data. Klucze SSH szerokiego projektu mogą służyć do logowania się do wszystkich wystąpień w projekcie. Użycie kluczy SSH dla całego projektu ułatwia zarządzanie kluczami SSH, ale w przypadku naruszenia zabezpieczeń stanowi zagrożenie bezpieczeństwa, które może mieć wpływ na wszystkie wystąpienia w projekcie. Zaleca się użycie kluczy SSH specyficznych dla wystąpienia, które mogą ograniczyć obszar ataków w przypadku naruszenia zabezpieczeń kluczy SSH.

Ważność: średni rozmiar

Upewnij się, że wystąpienia obliczeniowe są uruchamiane z włączoną osłoną maszyny wirtualnej

Opis: Aby bronić przed zaawansowanymi zagrożeniami i upewnić się, że moduł ładujący rozruchu i oprogramowanie układowe na maszynach wirtualnych są podpisane i nieoznaczone, zaleca się uruchomienie wystąpień obliczeniowych z włączoną osłoną maszyn wirtualnych. Chronione maszyny wirtualne to maszyny wirtualne na platformie Google Cloud Platform wzmocnione przez zestaw mechanizmów kontroli zabezpieczeń, które pomagają bronić przed rootkits bootkitsi . Chroniona maszyna wirtualna oferuje weryfikowalną integralność wystąpień maszyn wirtualnych aparatu obliczeniowego, dzięki czemu możesz mieć pewność, że wystąpienia nie zostały naruszone przez złośliwe oprogramowanie lub zestawy root na poziomie jądra. Integralność weryfikowalnej maszyny wirtualnej z osłoną jest osiągana za pomocą bezpiecznego rozruchu, wirtualnego modułu zaufanej platformy (vTPM) z włączoną obsługą mierzonego rozruchu i monitorowania integralności. Wystąpienia maszyn wirtualnych z osłoną uruchamiają oprogramowanie układowe podpisane i zweryfikowane przy użyciu urzędu certyfikacji firmy Google, zapewniając, że oprogramowanie układowe wystąpienia jest niezmodyfikowane i ustanawia katalog główny zaufania bezpiecznego rozruchu. Monitorowanie integralności pomaga zrozumieć i podejmować decyzje dotyczące stanu wystąpień maszyn wirtualnych, a maszyna wirtualna z osłoną umożliwia mierzony rozruch, wykonując pomiary wymagane do utworzenia znanego dobrego punktu odniesienia rozruchu, nazywanego punktem odniesienia zasad integralności. Punkt odniesienia zasad integralności jest używany do porównania z pomiarami z kolejnych rozruchów maszyn wirtualnych w celu określenia, czy coś się zmieniło. Bezpieczny rozruch pomaga zagwarantować, że system uruchamia tylko autentyczne oprogramowanie, weryfikując podpis cyfrowy wszystkich składników rozruchu i zatrzymując proces rozruchu, jeśli weryfikacja podpisu zakończy się niepowodzeniem.

Ważność: Wysoka

Upewnij się, że opcja "Włącz nawiązywanie połączenia z portami seryjnymi" nie jest włączona dla wystąpienia maszyny wirtualnej

Opis: Interakcja z portem szeregowym jest często określana jako konsola szeregowa, która jest podobna do okna terminalu, w tym wejściu i danych wyjściowych jest całkowicie w trybie tekstowym i nie ma interfejsu graficznego ani obsługi myszy. Jeśli włączysz interaktywną konsolę szeregową w wystąpieniu, klienci będą mogli próbować nawiązać połączenie z tym wystąpieniem z dowolnego adresu IP. W związku z tym należy wyłączyć obsługę interakcyjnej konsoli szeregowej. Wystąpienie maszyny wirtualnej ma cztery wirtualne porty szeregowe. Interakcja z portem szeregowym jest podobna do korzystania z okna terminalu, w tym wejściu i danych wyjściowych jest całkowicie w trybie tekstowym i nie ma interfejsu graficznego ani obsługi myszy. System operacyjny wystąpienia, SYSTEM BIOS i inne jednostki na poziomie systemu często zapisują dane wyjściowe na portach szeregowych i mogą akceptować dane wejściowe, takie jak polecenia lub odpowiedzi na monity. Zazwyczaj te jednostki na poziomie systemu używają pierwszego portu szeregowego (portu 1), a port szeregowy 1 jest często określany jako konsola szeregowa. Interaktywna konsola szeregowa nie obsługuje ograniczeń dostępu opartych na adresach IP, takich jak listy dozwolonych adresów IP. Jeśli włączysz interaktywną konsolę szeregową w wystąpieniu, klienci będą mogli próbować nawiązać połączenie z tym wystąpieniem z dowolnego adresu IP. Dzięki temu każda osoba może nawiązać połączenie z tym wystąpieniem, jeśli zna prawidłowy klucz SSH, nazwę użytkownika, identyfikator projektu, strefę i nazwę wystąpienia. W związku z tym należy wyłączyć obsługę interakcyjnej konsoli szeregowej.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "log_duration" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "on"

Opis: włączenie ustawienia log_hostname powoduje zarejestrowanie czasu trwania każdej ukończonej instrukcji. Nie rejestruje to tekstu zapytania i zachowuje się inaczej niż flaga log_min_duration_statement. Nie można zmienić tego parametru po rozpoczęciu sesji. Monitorowanie czasu potrzebnego do wykonania zapytań może mieć kluczowe znaczenie podczas identyfikowania zapytań hogging zasobów i oceny wydajności serwera. Aby zapewnić wydajność i stabilność serwera, można wykonać dalsze kroki, takie jak równoważenie obciążenia i użycie zoptymalizowanych zapytań. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_executor_stats" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "off"

Opis: Funkcja wykonawcza postgreSQL jest odpowiedzialna za wykonanie planu przekazanego przez planistę PostgreSQL. Funkcja wykonawcza przetwarza plan cyklicznie w celu wyodrębnienia wymaganego zestawu wierszy. Flaga "log_executor_stats" steruje dołączeniem statystyk wydajności funkcji wykonawczej PostgreSQL w dziennikach postgreSQL dla każdego zapytania. Flaga "log_executor_stats" umożliwia metodę profilowania ropy na potrzeby rejestrowania statystyk wydajności funkcji wykonawczej PostgreSQL, która mimo że może być przydatna do rozwiązywania problemów, może znacznie zwiększyć liczbę dzienników i mieć obciążenie wydajności. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_min_error_statement" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "Błąd" lub jest bardziej rygorystyczna

Opis: flaga "log_min_error_statement" definiuje minimalny poziom ważności komunikatu, który jest uznawany za instrukcję błędu. Komunikaty dotyczące instrukcji błędów są rejestrowane za pomocą instrukcji SQL. Prawidłowe wartości obejmują "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" i "PANIC". Każdy poziom ważności obejmuje kolejne poziomy wymienione powyżej. Upewnij się, że ustawiono wartość ERROR lub stricter. Inspekcja pomaga w rozwiązywaniu problemów operacyjnych, a także umożliwia analizę kryminalistyczną. Jeśli wartość "log_min_error_statement" nie jest ustawiona na poprawną, komunikaty mogą nie być odpowiednio klasyfikowane jako komunikaty o błędach. Biorąc pod uwagę ogólne komunikaty dziennika, ponieważ komunikaty o błędach byłyby trudne do znalezienia rzeczywistych błędów i biorąc pod uwagę tylko ostrzejsze poziomy ważności, ponieważ komunikaty o błędach mogą pominąć rzeczywiste błędy, aby rejestrować instrukcje SQL. Flaga "log_min_error_statement" powinna być ustawiona na wartość "BŁĄD" lub bardziej rygorystyczna. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_parser_stats" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "off"

Opis: Planista/optymalizator PostgreSQL jest odpowiedzialny za analizowanie i weryfikowanie składni każdego zapytania odebranego przez serwer. Jeśli składnia jest poprawna, zostanie skompilowane "drzewo analizy", w przeciwnym razie zostanie wygenerowany błąd. Flaga "log_parser_stats" steruje dołączeniem statystyk wydajności analizatora w dziennikach postgreSQL dla każdego zapytania. Flaga "log_parser_stats" umożliwia metodę profilowania ropy dla statystyk wydajności analizatora rejestrowania, która mimo że może być przydatna do rozwiązywania problemów, może znacznie zwiększyć liczbę dzienników i mieć obciążenie wydajności. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_planner_stats" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na "wyłączone"

Opis: To samo zapytanie SQL można wykonać na wiele sposobów i nadal generować różne wyniki. Planista/optymalizator postgreSQL jest odpowiedzialny za utworzenie optymalnego planu wykonania dla każdego zapytania. Flaga "log_planner_stats" kontroluje włączenie statystyk wydajności planisty PostgreSQL w dziennikach postgreSQL dla każdego zapytania. Flaga "log_planner_stats" umożliwia użycie metody profilowania ropy na potrzeby rejestrowania statystyk wydajności planisty PostgreSQL, które mimo że mogą być przydatne do rozwiązywania problemów, może znacznie zwiększyć liczbę dzienników i mieć obciążenie wydajności. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_statement_stats" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "off"

Opis: flaga "log_statement_stats" steruje dołączeniem statystyk wydajności end to end performance zapytania SQL w dziennikach postgreSQL dla każdego zapytania. Nie można włączyć tej funkcji z innymi statystykami modułów (log_parser_stats, log_planner_stats, log_executor_stats). Flaga "log_statement_stats" umożliwia metodę profilowania ropy naftowej na potrzeby rejestrowania statystyk końcowych wydajności zapytania SQL. Może to być przydatne w przypadku rozwiązywania problemów, ale może znacznie zwiększyć liczbę dzienników i mieć obciążenie wydajności. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że wystąpienia obliczeniowe nie mają publicznych adresów IP

Opis: Wystąpienia obliczeniowe nie powinny być skonfigurowane tak, aby miały zewnętrzne adresy IP. Aby zmniejszyć obszar ataków, wystąpienia obliczeniowe nie powinny mieć publicznych adresów IP. Zamiast tego wystąpienia należy skonfigurować za modułami równoważenia obciążenia, aby zminimalizować narażenie wystąpienia na Internet. Wystąpienia utworzone przez GKE należy wykluczyć, ponieważ niektóre z nich mają zewnętrzne adresy IP i nie można ich zmienić, edytując ustawienia wystąpienia. Te maszyny wirtualne mają nazwy rozpoczynające się od i są oznaczone etykietą gke- goog-gke-node.

Ważność: Wysoka

Upewnij się, że wystąpienia nie są skonfigurowane do używania domyślnego konta usługi

Opis: Zaleca się skonfigurowanie wystąpienia tak, aby nie używało domyślnego konta usługi Compute Engine, ponieważ ma rolę Edytor w projekcie. Domyślne konto usługi Compute Engine ma rolę Edytor w projekcie, co umożliwia dostęp do odczytu i zapisu w większości usług Google Cloud Services. Aby bronić przed eskalacjami uprawnień w przypadku naruszenia zabezpieczeń maszyny wirtualnej i uniemożliwić atakującemu uzyskanie dostępu do wszystkich projektów, zaleca się, aby nie używać domyślnego konta usługi Compute Engine. Zamiast tego należy utworzyć nowe konto usługi i przypisać tylko uprawnienia wymagane przez wystąpienie. Domyślne konto usługi Compute Engine nosi nazwę [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Należy wykluczyć maszyny wirtualne utworzone przez GKE. Te maszyny wirtualne mają nazwy rozpoczynające się od i są oznaczone etykietą gke- goog-gke-node.

Ważność: Wysoka

Upewnij się, że wystąpienia nie są skonfigurowane do używania domyślnego konta usługi z pełnym dostępem do wszystkich interfejsów API chmury

Opis: Aby zapewnić obsługę zasady najniższych uprawnień i zapobiec potencjalnemu podwyższeniu poziomu uprawnień, zaleca się, aby wystąpienia nie zostały przypisane do domyślnego konta usługi "Domyślne konto usługi aparatu obliczeniowego" z zakresem "Zezwalaj na pełny dostęp do wszystkich interfejsów API chmury". Oprócz możliwości opcjonalnego tworzenia, zarządzania i używania niestandardowych kont usług zarządzanych przez użytkownika aparat obliczeniowy Google udostępnia domyślne konto usługi "Domyślne konto usługi aparatu obliczeniowego" dla wystąpienia w celu uzyskania dostępu do niezbędnych usług w chmurze.

Rola "Edytor projektu" jest przypisywana do domyślnego konta usługi aparatu obliczeniowego, dlatego to konto usługi ma prawie wszystkie możliwości dla wszystkich usług w chmurze z wyjątkiem rozliczeń. Jednak po przypisaniu domyślnego konta usługi aparatu obliczeniowego do wystąpienia może on działać w trzech zakresach.

• Zezwalaj na dostęp domyślny: zezwala tylko na minimalny dostęp wymagany do uruchomienia wystąpienia (najmniej uprawnień).
• Zezwalaj na pełny dostęp do wszystkich interfejsów API chmury: zezwalaj na pełny dostęp do wszystkich interfejsów API/usług w chmurze (za dużo dostępu).
• Ustaw dostęp dla każdego interfejsu API: umożliwia administratorowi wystąpienia wybranie tylko tych interfejsów API, które są wymagane do wykonywania określonych funkcji biznesowych oczekiwanych przez wystąpienie.

Jeśli wystąpienie jest skonfigurowane przy użyciu domyślnego konta usługi aparatu obliczeniowego z zakresem "Zezwalaj na pełny dostęp do wszystkich interfejsów API chmury", na podstawie ról IAM przypisanych do użytkowników, którzy uzyskują dostęp do wystąpienia, może zezwolić użytkownikowi na wykonywanie operacji w chmurze/wywołań interfejsu API, których użytkownik nie powinien wykonywać, co prowadzi do pomyślnego eskalacji uprawnień.

Należy wykluczyć maszyny wirtualne utworzone przez GKE. Te maszyny wirtualne mają nazwy rozpoczynające się od i są oznaczone etykietą gke- goog-gke-node.

Ważność: średni rozmiar

Upewnij się, że przekazywanie adresów IP nie jest włączone w wystąpieniach

Opis: Wystąpienie aparatu obliczeniowego nie może przekazać pakietu, chyba że źródłowy adres IP pakietu jest zgodny z adresem IP wystąpienia. Podobnie GCP nie dostarczy pakietu, którego docelowy adres IP różni się od adresu IP wystąpienia odbierającego pakiet. Jednak obie możliwości są wymagane, jeśli chcesz używać wystąpień, aby ułatwić kierowanie pakietów. Przekazywanie pakietów danych powinno być wyłączone, aby zapobiec utracie danych lub ujawnieniu informacji. Wystąpienie aparatu obliczeniowego nie może przekazać pakietu, chyba że źródłowy adres IP pakietu jest zgodny z adresem IP wystąpienia. Podobnie GCP nie dostarczy pakietu, którego docelowy adres IP różni się od adresu IP wystąpienia odbierającego pakiet. Jednak obie możliwości są wymagane, jeśli chcesz używać wystąpień, aby ułatwić kierowanie pakietów. Aby włączyć tę źródłową i docelową kontrolę adresu IP, wyłącz pole canIpForward, które umożliwia wystąpieniu wysyłanie i odbieranie pakietów z niezgodnymi docelowymi lub źródłowymi adresami IP.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "log_checkpoints" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "włączone"

Opis: upewnij się, że flaga bazy danych log_checkpoints dla wystąpienia usługi Cloud SQL PostgreSQL jest włączona. Włączenie log_checkpoints powoduje zalogowanie punktów kontrolnych i punktów ponownego uruchomienia w dzienniku serwera. Niektóre statystyki są uwzględniane w komunikatach dziennika, w tym liczbę zapisanych i czas spędzony na ich zapisaniu. Ten parametr można ustawić tylko w pliku postgresql.conf lub w wierszu polecenia serwera. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_lock_waits" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "włączone"

Opis: Włączenie flagi "log_lock_waits" dla wystąpienia bazy danych PostgreSQL powoduje utworzenie dziennika dla wszystkich oczekujących sesji, które trwa dłużej niż przydzielony czas "deadlock_timeout" na uzyskanie blokady. Limit czasu zakleszczenia definiuje czas oczekiwania na blokadę przed sprawdzeniem wszelkich warunków. Częste przekroczenia limitu czasu zakleszczenia mogą wskazywać na podstawowy problem. Rejestrowanie takich oczekiwań na blokadach przez włączenie flagi log_lock_waits może służyć do identyfikowania niskiej wydajności z powodu opóźnień blokowania lub jeśli specjalnie spreparowany program SQL próbuje głodować zasoby przez przechowywanie blokad przez nadmierne ilości czasu. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_min_duration_statement" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "-1"

Opis: flaga "log_min_duration_statement" definiuje minimalny czas wykonywania instrukcji w milisekundach, w których jest rejestrowany całkowity czas trwania instrukcji. Upewnij się, że wartość "log_min_duration_statement" jest wyłączona, czyli ustawiono wartość -1. Rejestrowanie instrukcji SQL może zawierać poufne informacje, które nie powinny być rejestrowane w dziennikach. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_min_messages" dla wystąpienia usługi Cloud SQL PostgreSQL jest odpowiednio ustawiona

Opis: flaga "log_min_error_statement" definiuje minimalny poziom ważności komunikatu, który jest uznawany za instrukcję błędu. Komunikaty dotyczące instrukcji błędów są rejestrowane za pomocą instrukcji SQL. Prawidłowe wartości obejmują "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" i "PANIC". Każdy poziom ważności obejmuje kolejne poziomy wymienione powyżej. Aby skutecznie wyłączyć instrukcje dotyczące błędów rejestrowania, ustaw ten parametr na PANIC. Błąd jest uważany za ustawienie najlepszych rozwiązań. Zmiany powinny być wprowadzane tylko zgodnie z zasadami rejestrowania organizacji. Inspekcja pomaga w rozwiązywaniu problemów operacyjnych, a także umożliwia analizę kryminalistyczną. Jeśli wartość "log_min_error_statement" nie jest ustawiona na poprawną, komunikaty mogą nie być odpowiednio klasyfikowane jako komunikaty o błędach. Biorąc pod uwagę ogólne komunikaty dziennika jako komunikaty o błędach, trudno byłoby znaleźć rzeczywiste błędy, biorąc pod uwagę tylko ostrzejsze poziomy ważności, ponieważ komunikaty o błędach mogą pomijać rzeczywiste błędy, aby rejestrować instrukcje SQL. Flaga "log_min_error_statement" powinna być ustawiona zgodnie z zasadami rejestrowania organizacji. To zalecenie dotyczy wystąpień bazy danych PostgreSQL.

Ważność: Niska

Upewnij się, że flaga bazy danych "log_temp_files" dla wystąpienia usługi Cloud SQL PostgreSQL jest ustawiona na wartość "0"

Opis: Program PostgreSQL może utworzyć plik tymczasowy dla akcji, takich jak sortowanie, tworzenie skrótów i tymczasowe wyniki zapytania, gdy te operacje przekraczają wartość "work_mem". Flaga "log_temp_files" steruje nazwami rejestrowania i rozmiarem pliku po jego usunięciu. Skonfigurowanie wartości "log_temp_files" na wartość 0 powoduje zarejestrowanie wszystkich tymczasowych informacji o pliku, podczas gdy wartości dodatnie rejestrują tylko pliki, których rozmiar jest większy lub równy określonej liczbie kilobajtów. Wartość "-1" wyłącza tymczasowe rejestrowanie informacji o plikach. Jeśli wszystkie pliki tymczasowe nie są rejestrowane, może być trudniej zidentyfikować potencjalne problemy z wydajnością, które mogą być spowodowane złym kodowaniem aplikacji lub celowymi próbami głodu zasobów.

Ważność: Niska

Upewnij się, że dyski maszyn wirtualnych o krytycznym znaczeniu są szyfrowane przy użyciu klucza szyfrowania dostarczonego przez klienta

Opis: Klucze szyfrowania dostarczone przez klienta (CSEK) to funkcja usługi Google Cloud Storage i Google Compute Engine. Jeśli podasz własne klucze szyfrowania, firma Google używa klucza do ochrony kluczy wygenerowanych przez firmę Google używanych do szyfrowania i odszyfrowywania danych. Domyślnie aparat obliczeniowy Google szyfruje wszystkie dane magazynowane. Aparat obliczeniowy obsługuje to szyfrowanie i zarządza nim bez żadnych dodatkowych akcji. Jeśli jednak chcesz samodzielnie kontrolować to szyfrowanie i zarządzać nim, możesz podać własne klucze szyfrowania. Domyślnie aparat obliczeniowy Google szyfruje wszystkie dane magazynowane. Aparat obliczeniowy obsługuje to szyfrowanie i zarządza nim bez żadnych dodatkowych akcji. Jeśli jednak chcesz samodzielnie kontrolować to szyfrowanie i zarządzać nim, możesz podać własne klucze szyfrowania. Jeśli podasz własne klucze szyfrowania, aparat obliczeniowy używa klucza do ochrony kluczy wygenerowanych przez firmę Google używanych do szyfrowania i odszyfrowywania danych. Tylko użytkownicy, którzy mogą podać prawidłowy klucz, mogą używać zasobów chronionych przez klucz szyfrowania dostarczony przez klienta. Firma Google nie przechowuje kluczy na swoich serwerach i nie może uzyskać dostępu do chronionych danych, chyba że podasz klucz. Oznacza to również, że jeśli zapomnisz lub utracisz klucz, nie ma możliwości odzyskania klucza przez firmę Google ani odzyskania jakichkolwiek danych zaszyfrowanych przy użyciu utraconego klucza. Co najmniej krytyczne dla działania firmy maszyny wirtualne powinny mieć dyski maszyn wirtualnych zaszyfrowane przy użyciu klucza CSEK.

Ważność: średni rozmiar

Projekty GCP powinny mieć włączoną automatyczną aprowizację usługi Azure Arc

Opis: Aby uzyskać pełną widoczność zawartości zabezpieczeń z usługi Microsoft Defender dla serwerów, wystąpienia maszyn wirtualnych GCP powinny być połączone z usługą Azure Arc. Aby upewnić się, że wszystkie kwalifikujące się wystąpienia maszyn wirtualnych automatycznie otrzymują usługę Azure Arc, włącz automatyczne aprowizowanie z Defender dla Chmury na poziomie projektu GCP. Dowiedz się więcej o usługach Azure Arc i Microsoft Defender for Servers.

Ważność: Wysoka

Wystąpienia maszyn wirtualnych GCP powinny być połączone z usługą Azure Arc

Opis: Połącz maszyny wirtualne GCP z usługą Azure Arc, aby mieć pełną widoczność zawartości zabezpieczeń usługi Microsoft Defender for Servers. Dowiedz się więcej o usłudze Azure Arc i usłudze Microsoft Defender dla serwerów w środowisku chmury hybrydowej.

Ważność: Wysoka

Wystąpienia maszyn wirtualnych GCP powinny mieć zainstalowanego agenta konfiguracji systemu operacyjnego

Opis: Aby uzyskać pełne możliwości usługi Defender for Servers przy użyciu automatycznego aprowizowania usługi Azure Arc, maszyny wirtualne GCP powinny mieć włączonego agenta konfiguracji systemu operacyjnego.

Ważność: Wysoka

Funkcja automatycznego naprawiania klastra GKE powinna być włączona

Opis: To zalecenie ocenia właściwość zarządzania puli węzłów dla pary klucz-wartość, "key": "autoRepair", "value": true.

Ważność: średni rozmiar

Funkcja automatycznego uaktualniania klastra GKE powinna być włączona

Opis: To zalecenie ocenia właściwość zarządzania puli węzłów dla pary klucz-wartość, "key": "autoUpgrade", "value": true.

Ważność: Wysoka

Monitorowanie w klastrach GKE powinno być włączone

Opis: To zalecenie ocenia, czy właściwość monitoringService klastra zawiera lokalizację Monitorowanie w chmurze, która powinna służyć do pisania metryk.

Ważność: średni rozmiar

Powiązana zawartość

• dowiedz się więcej o zaleceniach dotyczących zabezpieczeń
• Przegląd zaleceń dotyczących zabezpieczeń