Zalecenia dotyczące zabezpieczeń danych

Artykuł
09/06/2024

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń danych, które mogą zostać wyświetlone w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.

Napiwek

Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

Zalecenia dotyczące danych platformy Azure

Usługa Azure Cosmos DB powinna wyłączyć dostęp do sieci publicznej

Opis: Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że twoje konto usługi Cosmos DB nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie konta usługi Cosmos DB. Dowiedz się więcej. (Powiązane zasady: Usługa Azure Cosmos DB powinna wyłączyć dostęp do sieci publicznej).

Ważność: średni rozmiar

(Włącz, jeśli jest to wymagane) Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/cosmosdb-cmk. (Powiązane zasady: Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta (CMK). Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania usługami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/azureml-workspaces-cmk. (Powiązane zasady: Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK).

Ważność: Niska

Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej

Opis: Ustawienie wersji protokołu TLS na 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database będzie dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. (Powiązane zasady: Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej).

Ważność: średni rozmiar

Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej

Opis: Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Dowiedz się więcej o dostępie do sieci publicznej. (Powiązane zasady: Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej).

Ważność: średni rozmiar

Konta usługi Cosmos DB powinny używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Gdy prywatne punkty końcowe są mapowane na konto usługi Cosmos DB, ryzyko wycieku danych jest zmniejszane. Dowiedz się więcej o linkach prywatnych. (Powiązane zasady: Konta usługi Cosmos DB powinny używać łącza prywatnego).

Ważność: średni rozmiar

(Włącz, jeśli jest to wymagane) Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. (Powiązane zasady: Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów MySQL.

Ważność: Niska

(Włącz, jeśli jest to wymagane) Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. (Powiązane zasady: Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów PostgreSQL.

Ważność: Niska

(Włącz, jeśli jest to wymagane) Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. (Powiązane zasady: Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. (Powiązane zasady: Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zabezpiecz konto magazynu z większą elastycznością przy użyciu kluczy zarządzanych przez klienta (CMKs). Po określeniu klucza zarządzanego klucz jest używany do ochrony i kontrolowania dostępu do klucza, który szyfruje dane. Korzystanie z cmKs zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. (Powiązane zasady: Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania.

Ważność: Niska

Wszystkie zaawansowane typy ochrony przed zagrożeniami powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL

Opis: Zaleca się włączenie wszystkich zaawansowanych typów ochrony przed zagrożeniami w wystąpieniach zarządzanych SQL. Włączenie wszystkich typów chroni przed wstrzyknięciem kodu SQL, lukami w zabezpieczeniach bazy danych i wszelkimi innymi nietypowymi działaniami. (Brak powiązanych zasad)

Ważność: średni rozmiar

Wszystkie zaawansowane typy ochrony przed zagrożeniami powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych programu SQL Server

Opis: Zaleca się włączenie wszystkich zaawansowanych typów ochrony przed zagrożeniami na serwerach SQL. Włączenie wszystkich typów chroni przed wstrzyknięciem kodu SQL, lukami w zabezpieczeniach bazy danych i wszelkimi innymi nietypowymi działaniami. (Brak powiązanych zasad)

Ważność: średni rozmiar

Usługi API Management powinny używać sieci wirtualnej

Opis: Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której można kontrolować dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, które umożliwiają dostęp do usług zaplecza w sieci i/lub lokalnie. Portal deweloperów i brama interfejsu API można skonfigurować tak, aby była dostępna z Internetu lub tylko w sieci wirtualnej. (Powiązane zasady: Usługi API Management powinny używać sieci wirtualnej).

Ważność: średni rozmiar

Usługa App Configuration powinna używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. (Powiązane zasady: Usługa App Configuration powinna używać linku prywatnego).

Ważność: średni rozmiar

Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni

Opis: Przeprowadź inspekcję serwerów SQL skonfigurowanych z okresem przechowywania inspekcji krótszym niż 90 dni. (Powiązane zasady: Serwery SQL powinny być skonfigurowane z 90-dniowym okresem przechowywania lub nowszym).

Ważność: Niska

Inspekcja na serwerze SQL powinna być włączona

Opis: Włącz inspekcję w programie SQL Server, aby śledzić działania bazy danych we wszystkich bazach danych na serwerze i zapisywać je w dzienniku inspekcji. (Powiązane zasady: Inspekcja na serwerze SQL powinna być włączona.

Ważność: Niska

Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w subskrypcjach

Opis: Aby monitorować luki w zabezpieczeniach i zagrożenia, Microsoft Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. (Powiązane zasady: Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji).

Ważność: Niska

Usługa Azure Cache for Redis powinna znajdować się w sieci wirtualnej

Opis: Wdrożenie usługi Azure Virtual Network (VNet) zapewnia zwiększone zabezpieczenia i izolację dla usługi Azure Cache for Redis, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Gdy wystąpienie usługi Azure Cache for Redis jest skonfigurowane z siecią wirtualną, nie można go publicznie adresować i można uzyskać do niego tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. (Powiązane zasady: Usługa Azure Cache for Redis powinna znajdować się w sieci wirtualnej).

Ważność: średni rozmiar

Usługa Azure Database for MySQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory

Opis: Aprowizuj administratora usługi Azure AD dla usługi Azure Database for MySQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft (powiązane zasady: Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów MySQL).

Ważność: średni rozmiar

Usługa Azure Database for PostgreSQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory

Opis: Aprowizuj administratora usługi Azure AD dla usługi Azure Database for PostgreSQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft
(Powiązane zasady: Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów PostgreSQL.

Ważność: średni rozmiar

Serwer elastyczny usługi Azure Database for PostgreSQL powinien mieć włączone tylko uwierzytelnianie entra firmy Microsoft

Opis: Wyłączenie lokalnych metod uwierzytelniania i wymaganie uwierzytelniania entra firmy Microsoft zwiększa bezpieczeństwo, zapewniając, że elastyczny serwer usługi Azure Database for PostgreSQL może być dostępny tylko przez tożsamości firmy Microsoft Entra (powiązane zasady: serwer elastyczny Usługi Azure PostgreSQL powinien mieć włączone tylko uwierzytelnianie entra firmy Microsoft).

Ważność: średni rozmiar

Konta usługi Azure Cosmos DB powinny mieć reguły zapory

Opis: Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. (Powiązane zasady: Konta usługi Azure Cosmos DB powinny mieć reguły zapory.

Ważność: średni rozmiar

Domeny usługi Azure Event Grid powinny używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. (Powiązane zasady: Domeny usługi Azure Event Grid powinny używać łącza prywatnego).

Ważność: średni rozmiar

Tematy usługi Azure Event Grid powinny używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na tematy zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. (Powiązane zasady: Tematy usługi Azure Event Grid powinny używać łącza prywatnego).

Ważność: średni rozmiar

Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/azureml-workspaces-privatelink. (Powiązane zasady: Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego).

Ważność: średni rozmiar

Usługa Azure SignalR Service powinna używać łącza prywatnego

Opis: Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasoby usługi SignalR zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/asrs/privatelink. (Powiązane zasady: Usługa Azure SignalR Service powinna używać łącza prywatnego).

Ważność: średni rozmiar

Usługa Azure Spring Cloud powinna używać iniekcji sieci

Opis: Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. (Powiązane zasady: Usługa Azure Spring Cloud powinna używać iniekcji sieci).

Ważność: średni rozmiar

Serwery SQL powinny mieć zainicjowaną aprowizację administratora usługi Azure Active Directory

Opis: Aprowizuj administratora usługi Azure AD dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft. (Powiązane zasady: Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL.

Ważność: Wysoka

Tryb uwierzytelniania obszaru roboczego usługi Azure Synapse powinien być tylko w usłudze Azure Active Directory

Opis: Tryb uwierzytelniania obszaru roboczego usługi Azure Synapse powinien mieć wartość Tylko usługa Azure Active Directory tylko w usłudze Azure Active Directory zwiększa bezpieczeństwo, zapewniając, że obszary robocze usługi Synapse wymagają wyłącznie tożsamości usługi Azure AD na potrzeby uwierzytelniania. Dowiedz się więcej. (Powiązane zasady: Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Azure Active Directory do uwierzytelniania).

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania kodu

Opis: Usługa Defender for DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania dependabot

Ważność: średni rozmiar

Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu

Opis: Usługa Defender for DevOps znalazła infrastrukturę jako problemy z konfiguracją zabezpieczeń kodu w repozytoriach. Problemy przedstawione poniżej zostały wykryte w plikach szablonów. Aby poprawić stan zabezpieczeń powiązanych zasobów w chmurze, zdecydowanie zaleca się skorygowanie tych problemów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania wpisów tajnych

Opis: Usługa Defender for DevOps znalazła wpis tajny w repozytoriach kodu. Powinno to zostać natychmiast skorygowane, aby zapobiec naruszeniu zabezpieczeń. Wpisy tajne znalezione w repozytoriach mogą być ujawnione lub wykryte przez przeciwników, co prowadzi do naruszenia zabezpieczeń aplikacji lub usługi. W przypadku usługi Azure DevOps narzędzie Microsoft Security DevOps CredScan skanuje tylko kompilacje, na których został skonfigurowany do uruchomienia. W związku z tym wyniki mogą nie odzwierciedlać pełnego stanu wpisów tajnych w repozytoriach. (Brak powiązanych zasad)

Ważność: Wysoka

Konta usług Cognitive Services powinny włączyć szyfrowanie danych

Opis: Te zasady przeprowadzają inspekcję kont usług Cognitive Services, które nie korzystają z szyfrowania danych. Dla każdego konta z magazynem należy włączyć szyfrowanie danych za pomocą klucza zarządzanego przez klienta lub zarządzanego przez firmę Microsoft. (Powiązane zasady: Konta usług Cognitive Services powinny włączać szyfrowanie danych).

Ważność: Niska

Konta usług Cognitive Services powinny używać magazynu należącego do klienta lub włączyć szyfrowanie danych

Opis: Te zasady sprawdzają, czy żadne konto usług Cognitive Services nie korzysta z magazynu należącego do klienta ani szyfrowania danych. Dla każdego konta usług Cognitive Services z magazynem użyj magazynu należącego do klienta lub włącz szyfrowanie danych. Jest zgodny z testem porównawczym zabezpieczeń w chmurze firmy Microsoft. (Powiązane zasady: Konta usług Cognitive Services powinny używać magazynu należącego do klienta lub włączyć szyfrowanie danych).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Azure Data Lake Store powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Azure Data Lake Store powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Data Lake Analytics powinny być włączone

Ważność: Niska

Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone

Opis: Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w Defender dla Chmury. (Powiązane zasady: Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone).

Ważność: Niska

Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności

Opis: Aby upewnić się, że właściciele subskrypcji są powiadamiani, gdy istnieje potencjalne naruszenie zabezpieczeń w subskrypcji, ustaw powiadomienia e-mail właścicieli subskrypcji na potrzeby alertów o wysokiej ważności w Defender dla Chmury. (Powiązane zasady: Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności.

Ważność: średni rozmiar

Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL

Opis: Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. (Powiązane zasady: Wymuś połączenie SSL powinno być włączone dla serwerów baz danych MySQL.

Ważność: średni rozmiar

Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL

Opis: Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. (Powiązane zasady: Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL).

Ważność: średni rozmiar

Aplikacje funkcji powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Skanowanie w zabezpieczeniach środowiska uruchomieniowego pod kątem funkcji skanuje aplikacje funkcji pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń aplikacji bezserwerowych i chronić je przed atakami. (Brak powiązanych zasad)

Ważność: Wysoka

Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB

Opis: Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu, aby zapewnić opcje odzyskiwania w przypadku awarii regionu. Konfigurowanie magazynu geograficznie nadmiarowego na potrzeby kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. (Powiązane zasady: Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB.

Ważność: Niska

Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL

Opis: Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu, aby zapewnić opcje odzyskiwania w przypadku awarii regionu. Konfigurowanie magazynu geograficznie nadmiarowego na potrzeby kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. (Powiązane zasady: Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MySQL.

Ważność: Niska

Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL

Opis: Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu, aby zapewnić opcje odzyskiwania w przypadku awarii regionu. Konfigurowanie magazynu geograficznie nadmiarowego na potrzeby kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. (Powiązane zasady: Dla usługi Azure Database for PostgreSQL należy włączyć geograficznie nadmiarową kopię zapasową.

Ważność: Niska

Repozytoria GitHub powinny mieć włączone skanowanie kodu

Opis: Usługa GitHub używa skanowania kodu do analizowania kodu w celu znalezienia luk w zabezpieczeniach i błędów w kodzie. Skanowanie kodu może służyć do znajdowania, klasyfikowania i określania priorytetów poprawek istniejących problemów w kodzie. Skanowanie kodu może również uniemożliwić deweloperom wprowadzanie nowych problemów. Skanowania mogą być zaplanowane przez określone dni i godziny lub skanowania mogą być wyzwalane, gdy w repozytorium wystąpi określone zdarzenie, takie jak wypychanie. Jeśli skanowanie kodu wykryje potencjalną lukę w zabezpieczeniach lub błąd w kodzie, usługa GitHub wyświetli alert w repozytorium. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria GitHub powinny mieć włączone skanowanie dependabotów

Opis: Usługa GitHub wysyła alerty Dependabot, gdy wykrywa luki w zabezpieczeniach zależności kodu, które mają wpływ na repozytoria. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu lub innych projektów korzystających z jego kodu. Luki w zabezpieczeniach różnią się w zależności od typu, ważności i metody ataku. Gdy kod zależy od pakietu, który ma lukę w zabezpieczeniach, ta zależność podatna na zagrożenia może spowodować szereg problemów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria GitHub powinny mieć włączone skanowanie wpisów tajnych

Opis: Usługa GitHub skanuje repozytoria pod kątem znanych typów wpisów tajnych, aby zapobiec fałszywemu użyciu wpisów tajnych, które zostały przypadkowo zatwierdzone w repozytoriach. Skanowanie wpisów tajnych spowoduje skanowanie całej historii usługi Git we wszystkich gałęziach znajdujących się w repozytorium GitHub pod kątem wszystkich wpisów tajnych. Przykłady wpisów tajnych to tokeny i klucze prywatne, które dostawca usług może wystawiać na potrzeby uwierzytelniania. Jeśli wpis tajny zostanie zaewidencjonowany w repozytorium, każdy, kto ma dostęp do odczytu do repozytorium, może użyć wpisu tajnego, aby uzyskać dostęp do usługi zewnętrznej z tymi uprawnieniami. Wpisy tajne powinny być przechowywane w dedykowanej, bezpiecznej lokalizacji poza repozytorium projektu. (Brak powiązanych zasad)

Ważność: Wysoka

Serwery usługi Microsoft Defender dla usługi Azure SQL Database powinny być włączone

Opis: Microsoft Defender for SQL to ujednolicony pakiet, który zapewnia zaawansowane funkcje zabezpieczeń SQL. Obejmuje ona funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenie dla bazy danych oraz odnajdywanie i klasyfikowanie poufnych danych.

Opłaty za ochronę z tego planu są naliczane, jak pokazano na stronie planów usługi Defender. Jeśli w tej subskrypcji nie masz żadnych serwerów usługi Azure SQL Database, nie zostaną naliczone opłaty. Jeśli później utworzysz serwery usługi Azure SQL Database w tej subskrypcji, zostaną one automatycznie chronione i rozpocznie się naliczanie opłat. Dowiedz się więcej o szczegółach cennika na region.

Dowiedz się więcej w temacie Introduction to Microsoft Defender for SQL (Wprowadzenie do usługi Microsoft Defender for SQL). (Powiązane zasady: Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone).

Ważność: Wysoka

Usługa Microsoft Defender dla systemu DNS powinna być włączona

Opis: Usługa Microsoft Defender for DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze przez ciągłe monitorowanie wszystkich zapytań DNS z zasobów platformy Azure. Usługa Defender for DNS powiadamia o podejrzanych działaniach w warstwie DNS. Dowiedz się więcej w temacie Introduction to Microsoft Defender for DNS (Wprowadzenie do usługi Microsoft Defender dla systemu DNS). Włączenie tego planu usługi Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika Defender dla Chmury: Defender dla Chmury Cennik. (Brak powiązanych zasad)

Ważność: Wysoka

Usługa Microsoft Defender dla relacyjnych baz danych typu open source powinna być włączona

Opis: Usługa Microsoft Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej w artykule Wprowadzenie do usługi Microsoft Defender dla relacyjnych baz danych typu open source.

Włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Jeśli w tej subskrypcji nie masz żadnych relacyjnych baz danych typu open source, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek relacyjne bazy danych typu open source w tej subskrypcji, zostaną one automatycznie chronione, a opłaty zaczną się w tym czasie. (Brak powiązanych zasad)

Ważność: Wysoka

Usługa Microsoft Defender dla usługi Resource Manager powinna być włączona

Opis: Usługa Microsoft Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Defender dla Chmury wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Resource Manager (Wprowadzenie do usługi Microsoft Defender dla usługi Resource Manager). Włączenie tego planu usługi Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika Defender dla Chmury: Defender dla Chmury Cennik. (Brak powiązanych zasad)

Ważność: Wysoka

Usługa Microsoft Defender for SQL na maszynach powinna być włączona w obszarach roboczych

Opis: Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemami Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w ramach subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Wprowadzenie do usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Należy włączyć usługę Microsoft Defender dla serwerów SQL na maszynach

Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę serwerów SQL na maszynach. Jeśli nie masz żadnych serwerów SQL na maszynach w tej subskrypcji, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek serwery SQL na maszynach w tej subskrypcji, zostaną one automatycznie chronione, a opłaty zaczną się w tym czasie. Dowiedz się więcej o serwerach Microsoft Defender for SQL na maszynach. (Powiązane zasady: Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach).

Ważność: Wysoka

Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL

Opis: Microsoft Defender for SQL to ujednolicony pakiet, który zapewnia zaawansowane funkcje zabezpieczeń SQL. Przedstawia ona potencjalne luki w zabezpieczeniach bazy danych i wykrywa nietypowe działania, które mogą wskazywać na zagrożenie dla bazy danych. Usługa Microsoft Defender for SQL jest rozliczana zgodnie ze szczegółami cen w poszczególnych regionach. (Powiązane zasady: Na serwerach SQL należy włączyć zaawansowane zabezpieczenia danych.

Ważność: Wysoka

Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL

Opis: Microsoft Defender for SQL to ujednolicony pakiet, który zapewnia zaawansowane funkcje zabezpieczeń SQL. Przedstawia ona potencjalne luki w zabezpieczeniach bazy danych i wykrywa nietypowe działania, które mogą wskazywać na zagrożenie dla bazy danych. Usługa Microsoft Defender for SQL jest rozliczana zgodnie ze szczegółami cen w poszczególnych regionach. (Powiązane zasady: Zaawansowane zabezpieczenia danych powinny być włączone w usłudze SQL Managed Instance).

Ważność: Wysoka

Usługa Microsoft Defender for Storage powinna być włączona

Opis: Usługa Microsoft Defender dla magazynu wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich.

Opłaty za ochronę z tego planu są naliczane, jak pokazano na stronie planów usługi Defender. Jeśli nie masz żadnych kont usługi Azure Storage w tej subskrypcji, nie zostaną naliczone opłaty. Jeśli później utworzysz konta usługi Azure Storage w tej subskrypcji, zostaną one automatycznie chronione i rozpocznie się naliczanie opłat. Dowiedz się więcej o szczegółach cennika na region. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Storage (Wprowadzenie do usługi Microsoft Defender for Storage). (Powiązane zasady: Usługa Azure Defender for Storage powinna być włączona).

Ważność: Wysoka

Usługa Network Watcher powinna być włączona

Opis: Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów w widoku kompleksowego poziomu sieci. Narzędzia do diagnostyki i wizualizacji sieci dostępne w usłudze Network Watcher ułatwiają zrozumienie, diagnozowanie i uzyskiwanie szczegółowych informacji o sieci na platformie Azure. (Powiązane zasady: Usługa Network Watcher powinna być włączona).

Ważność: Niska

Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database

Opis: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. (Powiązane zasady: Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database).

Ważność: średni rozmiar

Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB

Opis: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. (Powiązane zasady: Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB.

Ważność: średni rozmiar

Prywatny punkt końcowy powinien być włączony dla serwerów MySQL

Opis: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. (Powiązane zasady: Prywatny punkt końcowy powinien być włączony dla serwerów MySQL).

Ważność: średni rozmiar

Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL

Opis: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. (Powiązane zasady: Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL).

Ważność: średni rozmiar

Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony

Opis: Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony.

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla kont usług Cognitive Services

Opis: Te zasady przeprowadzają inspekcję dowolnego konta usług Cognitive Services w środowisku z włączonym dostępem do sieci publicznej. Dostęp do sieci publicznej powinien być wyłączony, aby dozwolone są tylko połączenia z prywatnych punktów końcowych. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla kont usług Cognitive Services).

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB

Opis: Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB.

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL

Opis: Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL).

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL

Opis: Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL).

Ważność: średni rozmiar

Pamięć podręczna Redis Cache powinna zezwalać na dostęp tylko za pośrednictwem protokołu SSL

Opis: Włącz tylko połączenia za pośrednictwem protokołu SSL z pamięcią podręczną Redis Cache. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji. (Powiązane zasady: Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis).

Ważność: Wysoka

Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. Dowiedz się więcej (Powiązane zasady: Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane).

Ważność: Wysoka

Wystąpienia zarządzane SQL powinny mieć skonfigurowaną ocenę luk w zabezpieczeniach

Opis: Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. (Powiązane zasady: Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance).

Ważność: Wysoka

Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Ważność: Wysoka

Serwery SQL powinny mieć zainicjowaną aprowizację administratora usługi Azure Active Directory

Ważność: Wysoka

Serwery SQL powinny mieć skonfigurowaną ocenę luk w zabezpieczeniach

Ważność: Wysoka

Konto magazynu powinno używać połączenia łącza prywatnego

Opis: Łącza prywatne wymuszają bezpieczną komunikację, zapewniając prywatną łączność z kontem magazynu (powiązane zasady: Konto magazynu powinno używać połączenia łącza prywatnego).

Ważność: średni rozmiar

Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager

Opis: Aby skorzystać z nowych funkcji w usłudze Azure Resource Manager, możesz migrować istniejące wdrożenia z klasycznego modelu wdrażania. Usługa Resource Manager umożliwia ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na usłudze ARM i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD oraz obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami. Dowiedz się więcej (Powiązane zasady: Konta magazynu powinny być migrowane do nowych zasobów usługi Azure Resource Manager).

Ważność: Niska

Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego

Opis: Wymaganie inspekcji usługi Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji usługa Azure AD zapewnia doskonałe zabezpieczenia i łatwość korzystania z klucza współużytkowanego i jest zalecana przez firmę Microsoft. (Powiązane zasady: zasady)

Ważność: średni rozmiar

Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej

Opis: Ochrona kont magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. (Powiązane zasady: Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej).

Ważność: średni rozmiar

Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami

Opis: Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail od Defender dla Chmury. (Powiązane zasady: W przypadku problemów z zabezpieczeniami subskrypcje powinny mieć kontaktowy adres e-mail)

Ważność: Niska

Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL

Opis: Włącz przezroczyste szyfrowanie danych, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności (powiązane zasady: Funkcja Transparent Data Encryption w bazach danych SQL powinna być włączona).

Ważność: Niska

Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego

Opis: Przeprowadź inspekcję szablonów konstruktora obrazów maszyny wirtualnej, które nie mają skonfigurowanej sieci wirtualnej. Gdy sieć wirtualna nie jest skonfigurowana, publiczny adres IP jest tworzony i używany zamiast tego, co może bezpośrednio uwidaczniać zasoby w Internecie i zwiększać potencjalny obszar ataków. (Powiązane zasady: Szablony konstruktora obrazów maszyn wirtualnych powinny używać linku prywatnego).

Ważność: średni rozmiar

Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway

Opis: Wdróż usługę Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów/regionów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. (Powiązane zasady: Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway.

Ważność: Niska

Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Azure Front Door Service

Ważność: Niska

Zalecenia dotyczące danych platformy AWS

Klastry Amazon Aurora powinny mieć włączone wycofywanie

Opis: Ta kontrolka sprawdza, czy klastry Amazon Aurora mają włączone wycofywanie. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one również odporność systemów. Wycofywanie aurora skraca czas odzyskiwania bazy danych do punktu w czasie. Nie wymaga to przywrócenia bazy danych. Aby uzyskać więcej informacji na temat wycofywania w programie Aurora, zobacz Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Wycofywanie klastra Aurora DB w podręczniku użytkownika amazon Aurora).

Ważność: średni rozmiar

Migawki amazon EBS nie powinny być publicznie przywracane

Opis: Migawki amazon EBS nie powinny być publicznie przywracane przez wszystkich, chyba że jawnie dozwolone, aby uniknąć przypadkowego ujawnienia danych. Ponadto uprawnienia do zmiany konfiguracji usługi Amazon EBS powinny być ograniczone tylko do autoryzowanych kont platformy AWS.

Ważność: Wysoka

Definicje zadań usługi Amazon ECS powinny mieć bezpieczne tryby sieciowe i definicje użytkowników

Opis: Ta kontrolka sprawdza, czy aktywna definicja zadania usługi Amazon ECS, która ma tryb sieci hosta, ma również definicje kontenera uprzywilejowanego lub użytkownika. Kontrolka kończy się niepowodzeniem dla definicji zadań, które mają tryb sieciowy hosta i definicje kontenera, w których privileged=false lub jest pusty, a user=root lub jest pusty. Jeśli definicja zadania ma podwyższony poziom uprawnień, jest to spowodowane tym, że klient zdecydował się na wykonanie tej konfiguracji. Ta kontrolka sprawdza nieoczekiwaną eskalację uprawnień, gdy definicja zadania ma włączoną sieć hosta, ale klient nie zdecydował się na podniesienie uprawnień.

Ważność: Wysoka

Domeny usługi Amazon Elasticsearch Service powinny szyfrować dane wysyłane między węzłami

Opis: Ta kontrolka sprawdza, czy domeny Amazon ES mają włączone szyfrowanie typu node-to-node. Protokół HTTPS (TLS) może służyć do zapobiegania podsłuchiwanie potencjalnych osób atakujących lub manipulowanie ruchem sieciowym przy użyciu ataków typu person-in-the-middle lub podobnych. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Włączenie szyfrowania węzła do węzła dla domen Amazon ES gwarantuje, że komunikacja wewnątrz klastra jest szyfrowana podczas przesyłania. Może istnieć kara za wydajność skojarzona z tą konfiguracją. Przed włączeniem tej opcji należy pamiętać i przetestować kompromis wydajności.

Ważność: średni rozmiar

Domeny usługi Amazon Elasticsearch Service powinny mieć włączone szyfrowanie magazynowane

Opis: Ważne jest, aby umożliwić szyfrowanie pozostałym domenom Amazon ES w celu ochrony poufnych danych

Ważność: średni rozmiar

Baza danych usługi Amazon RDS powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta

Opis: Ta kontrola identyfikuje bazy danych usług pulpitu zdalnego, które są szyfrowane przy użyciu domyślnych kluczy usługi KMS, a nie z kluczami zarządzanymi przez klienta. W ramach wiodącej praktyki użyj kluczy zarządzanych przez klienta, aby zaszyfrować dane w bazach danych usług pulpitu zdalnego i zachować kontrolę nad kluczami i danymi w poufnych obciążeniach.

Ważność: średni rozmiar

Wystąpienie usługi Amazon RDS powinno być skonfigurowane z ustawieniami automatycznej kopii zapasowej

Opis: Ta kontrola identyfikuje wystąpienia usług pulpitu zdalnego, które nie są ustawiane przy użyciu ustawienia automatycznego tworzenia kopii zapasowej. Jeśli automatyczne tworzenie kopii zapasowej jest ustawione, rdS tworzy migawkę woluminu magazynu wystąpienia bazy danych, tworząc kopię zapasową całego wystąpienia bazy danych, a nie tylko pojedyncze bazy danych, które zapewniają odzyskiwanie do punktu w czasie. Automatyczne tworzenie kopii zapasowej odbywa się w określonym przedziale czasu tworzenia kopii zapasowej i przechowuje kopie zapasowe przez ograniczony okres, zgodnie z definicją w okresie przechowywania. Zaleca się ustawienie automatycznych kopii zapasowych dla krytycznych serwerów usług pulpitu zdalnego, które ułatwiają proces przywracania danych.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny mieć włączone rejestrowanie inspekcji

Opis: Ta kontrolka sprawdza, czy klaster Amazon Redshift ma włączone rejestrowanie inspekcji. Rejestrowanie inspekcji amazon Redshift zawiera dodatkowe informacje o połączeniach i działaniach użytkowników w klastrze. Te dane mogą być przechowywane i zabezpieczone w usłudze Amazon S3 i mogą być pomocne w inspekcjach zabezpieczeń i badaniach. Aby uzyskać więcej informacji, zobacz Rejestrowanie inspekcji bazy danych w Przewodniku zarządzania klastrem Amazon Redshift.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny mieć włączone automatyczne migawki

Opis: Ta kontrolka sprawdza, czy klastry Amazon Redshift mają włączone automatyczne migawki. Sprawdza również, czy okres przechowywania migawki jest większy niż lub równy siedmiu. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one odporność systemów. Amazon Redshift domyślnie wykonuje okresowe migawki. Ta kontrolka sprawdza, czy automatyczne migawki są włączone i przechowywane przez co najmniej siedem dni. Aby uzyskać więcej informacji na temat automatycznych migawek usługi Amazon Redshift, zobacz Zautomatyzowane migawki w przewodniku zarządzania klastrami Amazon Redshift.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy klastry Amazon Redshift, aby uniknąć dostępności publicznej, oceniając pole "publiclyAccessible" w elemencie konfiguracji klastra.

Ważność: Wysoka

Usługa Amazon Redshift powinna mieć włączone automatyczne uaktualnienia do wersji głównych

Opis: Ta kontrolka sprawdza, czy automatyczne uaktualnienia wersji głównej są włączone dla klastra Amazon Redshift. Włączenie automatycznych uaktualnień wersji głównych gwarantuje, że podczas okna obsługi są instalowane najnowsze aktualizacje wersji głównej klastrów Amazon Redshift. Te aktualizacje mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: średni rozmiar

Kolejki amazon SQS powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy kolejki amazon SQS są szyfrowane w spoczynku. Szyfrowanie po stronie serwera (SSE) umożliwia przesyłanie poufnych danych w zaszyfrowanych kolejkach. Aby chronić zawartość komunikatów w kolejkach, usługa SSE używa kluczy zarządzanych w usłudze AWS KMS. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w Przewodniku dewelopera usługi Amazon Simple Queue Service.

Ważność: średni rozmiar

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń klastra

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS, która ma włączone powiadomienia dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBCluster: [Konserwacja i niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń wystąpienia bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBInstance: [Konserwacja, zmiana konfiguracji i niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana dla krytycznych zdarzeń grupy parametrów bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBParameterGroup: ["configuration","change"]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń grupy zabezpieczeń bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBSecurityGroup: [Konfiguracja, zmiana, niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Interfejs API Gateway REST i rejestrowanie interfejsu API Protokołu WebSocket powinny być włączone

Opis: Ta kontrolka sprawdza, czy wszystkie etapy interfejsu API REST usługi Amazon API Gateway lub interfejsu API Protokołu WebSocket mają włączone rejestrowanie. Kontrolka kończy się niepowodzeniem, jeśli rejestrowanie nie jest włączone dla wszystkich metod etapu lub jeśli poziom rejestrowania nie jest ani BŁĘDEM, ani INFORMACJAMI. Etapy interfejsu API REST lub WebSocket API powinny mieć włączone odpowiednie dzienniki. Usługa API Gateway REST i rejestrowanie wykonywania interfejsu API Protokołu WebSocket udostępnia szczegółowe rekordy żądań wysyłanych do etapów interfejsu API REST usługi API Gateway i interfejsu API WebSocket. Etapy obejmują odpowiedzi zaplecza integracji interfejsu API, odpowiedzi autoryzatora lambda i identyfikator requestId dla punktów końcowych integracji platformy AWS.

Ważność: średni rozmiar

Dane pamięci podręcznej interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy wszystkie metody w etapach interfejsu API REST usługi API Gateway z włączoną pamięcią podręczną są szyfrowane. Kontrolka kończy się niepowodzeniem, jeśli jakakolwiek metoda na etapie interfejsu API REST usługi API Gateway jest skonfigurowana do buforowania, a pamięć podręczna nie jest szyfrowana. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje kolejny zestaw kontroli dostępu, aby ograniczyć nieautoryzowanym użytkownikom dostęp do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Pamięci podręczne interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.

Ważność: średni rozmiar

Etapy interfejsu API REST usługi API Gateway należy skonfigurować do używania certyfikatów SSL na potrzeby uwierzytelniania zaplecza

Opis: Ta kontrolka sprawdza, czy etapy interfejsu API REST usługi Amazon API Gateway mają skonfigurowane certyfikaty SSL. Systemy zaplecza używają tych certyfikatów do uwierzytelniania żądań przychodzących z usługi API Gateway. Etapy interfejsu API REST usługi API Gateway należy skonfigurować przy użyciu certyfikatów SSL, aby umożliwić systemom zaplecza uwierzytelnianie żądań pochodzących z usługi API Gateway.

Ważność: średni rozmiar

Etapy interfejsu API REST usługi API Gateway powinny mieć włączone śledzenie X-Ray platformy AWS

Opis: Ta kontrolka sprawdza, czy aktywne śledzenie usługi AWS X-Ray jest włączone dla etapów interfejsu API REST usługi Amazon API Gateway. Śledzenie aktywne X-Ray umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Zmiany wydajności mogą spowodować brak dostępności interfejsu API. Śledzenie aktywne X-Ray zapewnia metryki w czasie rzeczywistym żądań użytkowników przepływających przez operacje interfejsu API REST usługi API Gateway i połączone usługi.

Ważność: Niska

Brama interfejsu API powinna być skojarzona z internetową listą ACL zapory aplikacji internetowej platformy AWS

Opis: Ta kontrolka sprawdza, czy na etapie bramy interfejsu API jest używana lista kontroli dostępu do sieci Web zapory aplikacji internetowej (ACL) platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli internetowa lista ACL zapory aplikacji internetowej platformy AWS nie jest dołączona do etapu bramy interfejsu API REST. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie listy ACL, która jest zestawem reguł, które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że etap bramy interfejsu API jest skojarzony z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.

Ważność: średni rozmiar

Rejestrowanie aplikacji i klasycznych modułów równoważenia obciążenia powinno być włączone

Opis: Ta kontrolka sprawdza, czy usługa Application Load Balancer i klasyczny moduł równoważenia obciążenia mają włączone rejestrowanie. Kontrolka kończy się niepowodzeniem, jeśli access_logs.s3.enabled ma wartość false. Usługa Elastic Load Balancing udostępnia dzienniki dostępu, które przechwytują szczegółowe informacje o żądaniach wysyłanych do modułu równoważenia obciążenia. Każdy dziennik zawiera informacje, takie jak czas odebrania żądania, adres IP klienta, opóźnienia, ścieżki żądań i odpowiedzi serwera. Dzienniki dostępu umożliwiają analizowanie wzorców ruchu i rozwiązywanie problemów. Aby dowiedzieć się więcej, zobacz Dzienniki dostępu dla klasycznego modułu równoważenia obciążenia w podręczniku użytkownika dla klasycznych modułów równoważenia obciążenia.

Ważność: średni rozmiar

Dołączone woluminy EBS powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy woluminy EBS, które znajdują się w stanie dołączonym, są szyfrowane. Aby przejść tę kontrolę, woluminy EBS muszą być używane i szyfrowane. Jeśli wolumin EBS nie jest dołączony, nie podlega to kontroli. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w woluminach EBS należy włączyć szyfrowanie EBS magazynowane. Szyfrowanie Amazon EBS oferuje proste rozwiązanie szyfrowania dla zasobów EBS, które nie wymaga tworzenia, konserwacji i zabezpieczania własnej infrastruktury zarządzania kluczami. Używa ona kluczy głównych klienta usługi AWS KMS (CMK) podczas tworzenia zaszyfrowanych woluminów i migawek. Aby dowiedzieć się więcej na temat szyfrowania Amazon EBS, zobacz Szyfrowanie Amazon EBS w przewodniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.

Ważność: średni rozmiar

Wystąpienia replikacji usługi AWS Database Migration Service nie powinny być publiczne

Opis: Aby chronić replikowane wystąpienia przed zagrożeniami. Wystąpienie replikacji prywatnej powinno mieć prywatny adres IP, do którego nie można uzyskać dostępu poza siecią replikacji. Wystąpienie replikacji powinno mieć prywatny adres IP, gdy źródłowe i docelowe bazy danych znajdują się w tej samej sieci, a sieć jest połączona z wystąpieniem replikacji VPC przy użyciu sieci VPN, AWS Direct Connect lub komunikacji równorzędnej VPC. Należy również upewnić się, że dostęp do konfiguracji wystąpienia usługi AWS DMS jest ograniczony tylko do autoryzowanych użytkowników. W tym celu należy ograniczyć uprawnienia zarządzania dostępem i tożsamościami użytkowników do modyfikowania ustawień i zasobów usługi AWS DMS.

Ważność: Wysoka

Klasyczne odbiorniki modułu równoważenia obciążenia powinny być skonfigurowane z kończeniem żądań PROTOKOŁU HTTPS lub TLS

Opis: Ta kontrolka sprawdza, czy odbiorniki klasycznego modułu równoważenia obciążenia są skonfigurowane przy użyciu protokołu HTTPS lub TLS dla połączeń frontonu (klienta do modułu równoważenia obciążenia). Kontrolka ma zastosowanie, jeśli klasyczny moduł równoważenia obciążenia ma odbiorniki. Jeśli klasyczny moduł równoważenia obciążenia nie ma skonfigurowanego odbiornika, kontrolka nie zgłasza żadnych wyników. Kontrolka przechodzi, jeśli klasyczne odbiorniki usługi Load Balancer są skonfigurowane z protokołem TLS lub HTTPS dla połączeń frontonu. Kontrolka kończy się niepowodzeniem, jeśli odbiornik nie jest skonfigurowany z protokołem TLS lub HTTPS dla połączeń frontonu. Przed rozpoczęciem korzystania z modułu równoważenia obciążenia należy dodać co najmniej jeden odbiornik. Odbiornik to proces, który używa skonfigurowanego protokołu i portu do sprawdzania żądań połączenia. Odbiorniki mogą obsługiwać protokoły HTTP i HTTPS/TLS. Zawsze należy używać odbiornika HTTPS lub TLS, aby moduł równoważenia obciążenia działał podczas szyfrowania i odszyfrowywania podczas przesyłania.

Ważność: średni rozmiar

Klasyczne moduły równoważenia obciążenia powinny mieć włączone opróżnianie połączeń

Opis: Ta kontrolka sprawdza, czy klasyczne moduły równoważenia obciążenia mają włączone opróżnianie połączeń. Włączenie opróżniania połączeń w klasycznych modułach równoważenia obciążenia gwarantuje, że moduł równoważenia obciążenia przestanie wysyłać żądania do wystąpień, które są wyrejestrowane lub w złej kondycji. Utrzymuje otwarte istniejące połączenia. Jest to przydatne w przypadku wystąpień w grupach automatycznego skalowania, aby upewnić się, że połączenia nie są nagle przerywane.

Ważność: średni rozmiar

Dystrybucje usługi CloudFront powinny mieć włączoną zaporę aplikacji internetowej platformy AWS

Opis: Ta kontrolka sprawdza, czy dystrybucje usługi CloudFront są skojarzone z zaporą aplikacji internetowej AWS lub listami ACL sieci Web platformy AWS WAFv2. Kontrolka kończy się niepowodzeniem, jeśli dystrybucja nie jest skojarzona z listą ACL sieci Web. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie zestawu reguł nazywanych listą kontroli dostępu do sieci Web (web ACL), które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że dystrybucja usługi CloudFront jest skojarzona z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.

Ważność: średni rozmiar

Dystrybucje CloudFront powinny mieć włączoną funkcję rejestrowania

Opis: Ta kontrola sprawdza, czy rejestrowanie dostępu do serwera jest włączone w dystrybucjach CloudFront. Kontrola kończy się niepowodzeniem, jeśli rejestrowanie dostępu nie jest włączone dla dystrybucji. Dzienniki dostępu cloudFront zawierają szczegółowe informacje o każdym żądaniu użytkownika odbieranych przez usługę CloudFront. Każdy dziennik zawiera informacje, takie jak data i godzina odebrania żądania, adres IP przeglądarki, która złożyła żądanie, źródło żądania i numer portu żądania z przeglądarki. Te dzienniki są przydatne w przypadku aplikacji, takich jak inspekcje zabezpieczeń i dostępu oraz badanie śledcze. Aby uzyskać więcej informacji na temat analizowania dzienników dostępu, zobacz Querying Amazon CloudFront logs (Wykonywanie zapytań dotyczących dzienników usługi Amazon CloudFront) w podręczniku użytkownika amazonthe.

Ważność: średni rozmiar

Dystrybucje CloudFront powinny wymagać szyfrowania podczas przesyłania

Opis: Ta kontrolka sprawdza, czy dystrybucja usługi Amazon CloudFront wymaga, aby osoby przeglądające korzystały bezpośrednio z protokołu HTTPS, czy używa przekierowania. Kontrolka kończy się niepowodzeniem, jeśli parametr ViewerProtocolPolicy ma ustawioną wartość allow-all dla parametru defaultCacheBehavior lub cacheBehaviors. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.

Ważność: średni rozmiar

Dzienniki usługi CloudTrail powinny być szyfrowane podczas magazynowania przy użyciu zestawów CMKs usługi KMS

Opis: Zalecamy skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS. Skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS zapewnia większą poufność kontroli danych dziennika, ponieważ dany użytkownik musi mieć uprawnienia do odczytu S3 w odpowiednim zasobniku dziennika i musi mieć przyznane uprawnienie odszyfrowywania przez zasady klucza zarządzanego przez klienta.

Ważność: średni rozmiar

Połączenia z klastrami Amazon Redshift powinny być szyfrowane podczas przesyłania

Opis: Ta kontrolka sprawdza, czy połączenia z klastrami Amazon Redshift są wymagane do korzystania z szyfrowania podczas przesyłania. Sprawdzanie nie powiedzie się, jeśli parametr klastra Amazon Redshift require_SSL nie jest ustawiony na 1. Protokół TLS może służyć do zapobiegania potencjalnym osobom atakującym korzystania z osób w środku lub podobnych ataków w celu podsłuchiwania lub manipulowania ruchem sieciowym. Powinny być dozwolone tylko szyfrowane połączenia za pośrednictwem protokołu TLS. Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.

Ważność: średni rozmiar

Połączenia z domenami elasticsearch powinny być szyfrowane przy użyciu protokołu TLS 1.2

Opis: Ta kontrolka sprawdza, czy połączenia z domenami elasticsearch są wymagane do korzystania z protokołu TLS 1.2. Sprawdzanie nie powiedzie się, jeśli domena Elasticsearch TLSSecurityPolicy nie jest Policy-Min-TLS-1-2-2019-07. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS. Protokół TLS 1.2 zapewnia kilka ulepszeń zabezpieczeń w porównaniu z poprzednimi wersjami protokołu TLS.

Ważność: średni rozmiar

Tabele DynamoDB powinny mieć włączone odzyskiwanie do punktu w czasie

Opis: Ta kontrolka sprawdza, czy odzyskiwanie do punktu w czasie (PITR) jest włączone dla tabeli Amazon DynamoDB. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one również odporność systemów. Odzyskiwanie do punktu w czasie bazy danych DynamoDB automatyzuje tworzenie kopii zapasowych dla tabel DynamoDB. Skraca czas odzyskiwania po przypadkowych operacjach usuwania lub zapisu. Tabele dynamoDB z włączoną usługą PITR można przywrócić do dowolnego punktu w czasie w ciągu ostatnich 35 dni.

Ważność: średni rozmiar

Należy włączyć domyślne szyfrowanie EBS

Opis: Ta kontrolka sprawdza, czy szyfrowanie na poziomie konta jest domyślnie włączone dla usługi Amazon Elastic Block Store (Amazon EBS). Kontrolka kończy się niepowodzeniem, jeśli szyfrowanie na poziomie konta nie jest włączone. Po włączeniu szyfrowania dla konta woluminy Amazon EBS i kopie migawek są szyfrowane w spoczynku. Spowoduje to dodanie kolejnej warstwy ochrony danych. Aby uzyskać więcej informacji, zobacz Szyfrowanie domyślnie w podręczniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.

Następujące typy wystąpień nie obsługują szyfrowania: R1, C1 i M1.

Ważność: średni rozmiar

Środowiska Elastic BeansTalk powinny mieć włączone ulepszone raportowanie kondycji

Opis: Ta kontrolka sprawdza, czy ulepszone raportowanie kondycji jest włączone dla środowisk AWS Elastic Beanstalk. Funkcja Elastic Beanstalk ulepszone raportowanie kondycji umożliwia szybsze reagowanie na zmiany w kondycji podstawowej infrastruktury. Te zmiany mogą spowodować brak dostępności aplikacji. Funkcja Elastic Beanstalk ulepszonego raportowania kondycji udostępnia deskryptor stanu, aby ocenić ważność zidentyfikowanych problemów i zidentyfikować możliwe przyczyny do zbadania. Agent kondycji Elastic Beanstalk, dołączony do obsługiwanych obrazów Amazon Machine Images (AMI), ocenia dzienniki i metryki wystąpień środowiska EC2.

Ważność: Niska

Aktualizacje platformy zarządzanej elastic Beanstalk powinny być włączone

Opis: Ta kontrolka sprawdza, czy aktualizacje platformy zarządzanej są włączone dla środowiska Elastic Beanstalk. Włączenie aktualizacji platformy zarządzanej gwarantuje, że są zainstalowane najnowsze dostępne poprawki, aktualizacje i funkcje środowiska. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: Wysoka

Usługa Elastic Load Balancer nie powinna mieć certyfikatu ACM wygasłego ani wygasającego w ciągu 90 dni.

Opis: Ta kontrola identyfikuje elastyczne moduły równoważenia obciążenia (ELB), które używają certyfikatów usługi ACM wygasły lub wygasają w ciągu 90 dni. Menedżer certyfikatów platformy AWS (ACM) to preferowane narzędzie do aprowizowania i wdrażania certyfikatów serwera oraz zarządzania nimi. Z usługą ACM. Możesz zażądać certyfikatu lub wdrożyć istniejący certyfikat ACM lub certyfikat zewnętrzny w zasobach platformy AWS. Najlepszym rozwiązaniem jest ponowne importowanie wygasających/wygasłych certyfikatów przy zachowaniu skojarzeń ELB oryginalnego certyfikatu.

Ważność: Wysoka

Rejestrowanie błędów domeny elasticsearch w dziennikach usługi CloudWatch powinno być włączone

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane do wysyłania dzienników błędów do dzienników usługi CloudWatch. Należy włączyć dzienniki błędów dla domen elasticsearch i wysłać te dzienniki do dzienników CloudWatch na potrzeby przechowywania i odpowiedzi. Dzienniki błędów domeny mogą pomóc w inspekcji zabezpieczeń i dostępu oraz mogą pomóc w diagnozowaniu problemów z dostępnością.

Ważność: średni rozmiar

Domeny elasticsearch powinny być skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi. Ta kontrolka kończy się niepowodzeniem, jeśli domena nie używa dedykowanych węzłów głównych. Ta kontrolka przechodzi, jeśli domeny elasticsearch mają pięć dedykowanych węzłów głównych. Jednak użycie więcej niż trzech węzłów głównych może być niepotrzebne w celu ograniczenia ryzyka dostępności i spowoduje zwiększenie kosztów. Domena Elasticsearch wymaga co najmniej trzech dedykowanych węzłów głównych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Zasoby dedykowanego węzła głównego mogą być przeciążone podczas wdrożeń niebieski/zielonych węzłów danych, ponieważ istnieje więcej węzłów do zarządzania. Wdrożenie domeny Elasticsearch z co najmniej trzema dedykowanymi węzłami głównymi zapewnia wystarczającą pojemność zasobu węzła głównego i operacje klastra w przypadku awarii węzła.

Ważność: średni rozmiar

Domeny elasticsearch powinny mieć co najmniej trzy węzły danych

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema węzłami danych i strefąAwarenessEnabled ma wartość true. Domena Elasticsearch wymaga co najmniej trzech węzłów danych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Wdrożenie domeny Elasticsearch z co najmniej trzema węzłami danych zapewnia operacje klastra w przypadku awarii węzła.

Ważność: średni rozmiar

Domeny Elasticsearch powinny mieć włączone rejestrowanie inspekcji

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch mają włączone rejestrowanie inspekcji. Ta kontrolka kończy się niepowodzeniem, jeśli domena Elasticsearch nie ma włączonego rejestrowania inspekcji. Dzienniki inspekcji są wysoce konfigurowalne. Umożliwiają one śledzenie aktywności użytkowników w klastrach Elasticsearch, w tym sukcesów i niepowodzeń uwierzytelniania, żądań do usługi OpenSearch, zmian indeksu i przychodzących zapytań wyszukiwania.

Ważność: średni rozmiar

Należy skonfigurować rozszerzone monitorowanie dla wystąpień i klastrów bazy danych usług pulpitu zdalnego

Opis: Ta kontrolka sprawdza, czy ulepszone monitorowanie jest włączone dla wystąpień usługi RDS DB. W usłudze Amazon RDS rozszerzone monitorowanie umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Te zmiany wydajności mogą spowodować brak dostępności danych. Rozszerzone monitorowanie zapewnia metryki w czasie rzeczywistym systemu operacyjnego, na których działa wystąpienie usługi RDS DB. Agent jest instalowany na wystąpieniu. Agent może uzyskać metryki dokładniej niż jest to możliwe w warstwie funkcji hypervisor. Rozszerzone metryki monitorowania są przydatne, gdy chcesz zobaczyć, jak różne procesy lub wątki w wystąpieniu bazy danych używają procesora CPU. Aby uzyskać więcej informacji, zobacz Rozszerzone monitorowanie w podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Upewnij się, że włączono rotację utworzonych przez klienta zestawów cmks

Opis: usługa AWS usługa zarządzania kluczami (KMS) umożliwia klientom obracanie klucza zapasowego, który jest kluczowym materiałem przechowywanym w usłudze KMS powiązanym z identyfikatorem klucza klucza głównego klienta utworzonego przez klienta (CMK). Jest to klucz zapasowy używany do wykonywania operacji kryptograficznych, takich jak szyfrowanie i odszyfrowywanie. Automatyczna rotacja kluczy zachowuje obecnie wszystkie wcześniejsze klucze zapasowe, dzięki czemu odszyfrowywanie zaszyfrowanych danych może odbywać się w sposób niewidoczny. Zaleca się włączenie rotacji kluczy cmK. Rotacja kluczy szyfrowania pomaga zmniejszyć potencjalny wpływ naruszonego klucza, ponieważ dane zaszyfrowane przy użyciu nowego klucza nie mogą być dostępne przy użyciu poprzedniego klucza, który mógł zostać ujawniony.

Ważność: średni rozmiar

Upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3

Opis: Rejestrowanie dostępu do zasobnika S3 generuje dziennik zawierający rekordy dostępu upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3 dla każdego żądania skierowanego do zasobnika S3. Rekord dziennika dostępu zawiera szczegółowe informacje o żądaniu, takie jak typ żądania, zasoby określone w żądaniu zadziałały oraz godzina i data przetworzenia żądania. Zaleca się włączenie rejestrowania dostępu do zasobnika w zasobniku CloudTrail S3. Włączenie rejestrowania zasobnika S3 na docelowych zasobnikach S3 umożliwia przechwycenie wszystkich zdarzeń, które mogą mieć wpływ na obiekty w zasobnikach docelowych. Konfigurowanie dzienników do umieszczenia w oddzielnym zasobniku umożliwia dostęp do informacji dziennika, które mogą być przydatne w przepływach pracy reagowania na zdarzenia i zabezpieczenia.

Ważność: Niska

Upewnij się, że zasobnik S3 używany do przechowywania dzienników usługi CloudTrail nie jest publicznie dostępny

Opis: CloudTrail rejestruje rekord każdego wywołania interfejsu API wykonanego na koncie platformy AWS. Te pliki dziennika są przechowywane w zasobniku S3. Zaleca się, aby zasady zasobnika lub lista kontroli dostępu (ACL) były stosowane do zasobnika S3, które rejestruje usługa CloudTrail, aby zapobiec publicznemu dostępowi do dzienników cloudTrail. Zezwolenie na publiczny dostęp do zawartości dziennika CloudTrail może pomóc przeciwnikowi w identyfikowaniu słabych stron w użyciu lub konfiguracji konta, którego dotyczy problem.

Ważność: Wysoka

Zarządzanie dostępem i tożsamościami nie powinno mieć wygasłych certyfikatów SSL/TLS

Opis: Ta kontrola identyfikuje wygasłe certyfikaty SSL/TLS. Aby włączyć połączenia HTTPS z witryną internetową lub aplikacją na platformie AWS, potrzebny jest certyfikat serwera SSL/TLS. Certyfikaty serwera można przechowywać i wdrażać przy użyciu usługi ACM lub IAM. Usunięcie wygasłych certyfikatów SSL/TLS eliminuje ryzyko przypadkowego wdrożenia nieprawidłowego certyfikatu w zasobie, takim jak AWS Elastic Load Balancer (ELB), co może zaszkodzić wiarygodności aplikacji/witryny internetowej za ELB. Ta kontrola generuje alerty, jeśli istnieją wygasłe certyfikaty SSL/TLS przechowywane w usłudze AWS IAM. Najlepszym rozwiązaniem jest usunięcie wygasłych certyfikatów.

Ważność: Wysoka

Zaimportowane certyfikaty usługi ACM należy odnowić po określonym przedziale czasu

Opis: Ta kontrolka sprawdza, czy certyfikaty usługi ACM na Twoim koncie są oznaczone do wygaśnięcia w ciągu 30 dni. Sprawdza zarówno zaimportowane certyfikaty, jak i certyfikaty udostępniane przez Menedżera certyfikatów platformy AWS. Usługa ACM może automatycznie odnawiać certyfikaty korzystające z weryfikacji DNS. W przypadku certyfikatów korzystających z weryfikacji poczty e-mail należy odpowiedzieć na adres e-mail weryfikacji domeny. Usługa ACM nie odnawia również automatycznie importowanych certyfikatów. Zaimportowane certyfikaty należy odnowić ręcznie. Aby uzyskać więcej informacji na temat odnawiania zarządzanego certyfikatów usługi ACM, zobacz Zarządzanie odnawianiem certyfikatów usługi ACM w podręczniku użytkownika Menedżera certyfikatów platformy AWS.

Ważność: średni rozmiar

Należy zbadać nadmiernie aprowizowane tożsamości na kontach, aby zmniejszyć indeks pełzania uprawnień (PCI)

Opis: Należy zbadać nadmierną aprowizację tożsamości na kontach w celu zmniejszenia indeksu pełzania uprawnień (PCI) i ochrony infrastruktury. Zmniejsz pci, usuwając nieużywane przypisania uprawnień wysokiego ryzyka. Wysoka wartość PCI odzwierciedla ryzyko związane z tożsamościami z uprawnieniami, które przekraczają normalne lub wymagane użycie.

Ważność: średni rozmiar

Automatyczne uaktualnienia wersji pomocniczej usług pulpitu zdalnego powinny być włączone

Opis: Ta kontrolka sprawdza, czy dla wystąpienia bazy danych usług pulpitu zdalnego są włączone automatyczne uaktualnienia wersji pomocniczej. Włączenie automatycznych uaktualnień wersji pomocniczych gwarantuje, że zainstalowano najnowsze aktualizacje wersji pomocniczej systemu zarządzania relacyjnymi bazami danych (RDBMS). Te uaktualnienia mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: Wysoka

Migawki klastra usług pulpitu zdalnego i migawki bazy danych powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy migawki bazy danych usług pulpitu zdalnego są szyfrowane. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Może jednak również generować wyniki dla migawek wystąpień bazy danych Aurora DB, wystąpień Bazy danych Neptuna i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że nieuwierzytelniony użytkownik uzyskuje dostęp do danych przechowywanych na dysku. Dane w migawkach usług pulpitu zdalnego powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.

Ważność: średni rozmiar

Klastry usług pulpitu zdalnego powinny mieć włączoną ochronę przed usuwaniem

Opis: Ta kontrolka sprawdza, czy klastry usług pulpitu zdalnego mają włączoną ochronę usuwania. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Włączenie ochrony przed usunięciem klastra to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć klastra usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.

Ważność: Niska

Klastry usługi RDS DB powinny być skonfigurowane dla wielu Strefy dostępności

Opis: Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane dla wielu przechowywanych danych. Wdrożenie na wiele Strefy dostępności umożliwia zautomatyzowanie Strefy dostępności w celu zapewnienia dostępności trybu failover w przypadku problemu z dostępnością strefy dostępności i podczas regularnych zdarzeń konserwacji usług pulpitu zdalnego.

Ważność: średni rozmiar

Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane do kopiowania tagów do migawek

Opis: Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich klastrów usługi RDS DB, aby można było ocenić ich stan zabezpieczeń i działać na potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne klastry baz danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi swoich nadrzędnych klastrów baz danych.

Ważność: Niska

Wystąpienia usługi RDS DB powinny być skonfigurowane do kopiowania tagów do migawek

Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego są skonfigurowane do kopiowania wszystkich tagów do migawek podczas tworzenia migawek. Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich wystąpień bazy danych usług pulpitu zdalnego, aby można było ocenić ich stan zabezpieczeń i podjąć działania w potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne wystąpienia bazy danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi ich nadrzędnych wystąpień bazy danych.

Ważność: Niska

Wystąpienia usługi RDS DB należy skonfigurować z wieloma Strefy dostępności

Opis: Ta kontrolka sprawdza, czy dla wystąpień usługi RDS DB włączono wysoką dostępność. Wystąpienia usługi RDS DB należy skonfigurować dla wielu Strefy dostępności (AZ). Zapewnia to dostępność przechowywanych danych. Wdrożenia z wieloma az umożliwiają automatyczne przechodzenie w tryb failover, jeśli występuje problem z dostępnością strefy dostępności i podczas regularnej konserwacji usług pulpitu zdalnego.

Ważność: średni rozmiar

Wystąpienia usługi RDS DB powinny mieć włączoną ochronę przed usuwaniem

Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego korzystające z jednego z wymienionych aparatów baz danych mają włączoną ochronę przed usuwaniem. Włączenie ochrony przed usunięciem wystąpienia to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć wystąpienia bazy danych usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.

Ważność: Niska

Wystąpienia usługi RDS DB powinny mieć włączone szyfrowanie magazynowane

Opis: Ta kontrolka sprawdza, czy szyfrowanie magazynu jest włączone dla wystąpień usługi Amazon RDS DB. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w wystąpieniach usługi RDS DB należy skonfigurować wystąpienia bazy danych usług pulpitu zdalnego do szyfrowania w spoczynku. Aby zaszyfrować wystąpienia bazy danych usług pulpitu zdalnego i migawki magazynowane, włącz opcję szyfrowania dla wystąpień bazy danych usług pulpitu zdalnego. Dane zaszyfrowane w spoczynku obejmują podstawowy magazyn dla wystąpień bazy danych, automatyczne kopie zapasowe, repliki do odczytu i migawki. Wystąpienia zaszyfrowanej bazy danych usług pulpitu zdalnego używają otwartego algorytmu szyfrowania AES-256 do szyfrowania danych na serwerze hostujących wystąpienia usługi RDS DB. Po zaszyfrowaniu danych usługa Amazon RDS obsługuje uwierzytelnianie dostępu i odszyfrowywania danych w sposób niewidoczny z minimalnym wpływem na wydajność. Nie musisz modyfikować aplikacji klienckich bazy danych w celu używania szyfrowania. Szyfrowanie usługi Amazon RDS jest obecnie dostępne dla wszystkich aparatów baz danych i typów magazynu. Szyfrowanie usługi Amazon RDS jest dostępne dla większości klas wystąpień bazy danych. Aby dowiedzieć się więcej o klasach wystąpień bazy danych, które nie obsługują szyfrowania usługi Amazon RDS, zobacz Szyfrowanie zasobów usługi Amazon RDS w podręczniku użytkownika usługi Amazon RDS.

Ważność: średni rozmiar

Wystąpienia usługi RDS DB powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy również upewnienie się, że dostęp do konfiguracji wystąpienia usług pulpitu zdalnego jest ograniczony tylko do autoryzowanych użytkowników, ograniczając uprawnienia użytkowników do zarządzania dostępem i tożsamościami do modyfikowania ustawień i zasobów wystąpień usług pulpitu zdalnego.

Ważność: Wysoka

Migawki usług pulpitu zdalnego powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy zezwolenie tylko autoryzowanym podmiotom zabezpieczeń na dostęp do migawki i zmianę konfiguracji usługi Amazon RDS.

Ważność: Wysoka

Usuwanie nieużywanych wpisów tajnych menedżera wpisów tajnych

Opis: Ta kontrolka sprawdza, czy dostęp do wpisów tajnych był uzyskiwany w ciągu określonej liczby dni. Wartość domyślna to 90 dni. Jeśli dostęp do wpisu tajnego nie był uzyskiwany w ciągu zdefiniowanej liczby dni, ta kontrolka kończy się niepowodzeniem. Usuwanie nieużywanych wpisów tajnych jest równie ważne, jak rotacja wpisów tajnych. Nieużywane wpisy tajne mogą być nadużywane przez ich byłych użytkowników, którzy nie potrzebują już dostępu do tych wpisów tajnych. Ponadto, ponieważ więcej użytkowników uzyskuje dostęp do wpisu tajnego, ktoś mógł źle pracować i wyciekł go do nieautoryzowanej jednostki, co zwiększa ryzyko nadużyć. Usunięcie nieużywanych wpisów tajnych pomaga odwołać dostęp tajny od użytkowników, którzy już ich nie potrzebują. Pomaga również zmniejszyć koszty korzystania z menedżera wpisów tajnych. W związku z tym ważne jest rutynowe usuwanie nieużywanych wpisów tajnych.

Ważność: średni rozmiar

Zasobniki S3 powinny mieć włączoną replikację między regionami

Opis: Włączenie replikacji między regionami S3 zapewnia dostępność wielu wersji danych w różnych regionach. Dzięki temu można chronić zasobnik S3 przed atakami DDoS i zdarzeniami uszkodzenia danych.

Ważność: Niska

Zasobniki S3 powinny mieć włączone szyfrowanie po stronie serwera

Opis: Włącz szyfrowanie po stronie serwera, aby chronić dane w zasobnikach S3. Szyfrowanie danych może uniemożliwić dostęp do poufnych danych w przypadku naruszenia zabezpieczeń danych.

Ważność: średni rozmiar

Wpisy tajne menedżera wpisów tajnych skonfigurowanych z automatycznym obracaniem powinno się pomyślnie obracać

Opis: Ta kontrolka sprawdza, czy wpis tajny menedżera wpisów tajnych platformy AWS został pomyślnie obracany na podstawie harmonogramu rotacji. Kontrolka kończy się niepowodzeniem, jeśli wartość RotationOccurringAsScheduled ma wartość false. Kontrolka nie ocenia wpisów tajnych, które nie mają skonfigurowanej rotacji. Menedżer wpisów tajnych pomaga zwiększyć poziom zabezpieczeń organizacji. Wpisy tajne obejmują poświadczenia bazy danych, hasła i klucze interfejsu API innych firm. Menedżer wpisów tajnych umożliwia centralne przechowywanie wpisów tajnych, automatyczne szyfrowanie wpisów tajnych, kontrolowanie dostępu do wpisów tajnych oraz bezpieczne i automatyczne obracanie wpisów tajnych. Menedżer wpisów tajnych może obracać wpisy tajne. Rotacja służy do zastępowania długoterminowych wpisów tajnych krótkoterminowymi. Rotacja wpisów tajnych ogranicza czas, przez jaki nieautoryzowany użytkownik może używać naruszonego wpisu tajnego. Z tego powodu należy często wymieniać wpisy tajne. Oprócz konfigurowania wpisów tajnych do automatycznego obracania, należy upewnić się, że te wpisy tajne zostaną pomyślnie obracane na podstawie harmonogramu rotacji. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.

Ważność: średni rozmiar

Wpisy tajne menedżera wpisów tajnych powinny być obracane w ciągu określonej liczby dni

Opis: Ta kontrolka sprawdza, czy wpisy tajne zostały obrócone co najmniej raz w ciągu 90 dni. Rotacja wpisów tajnych może pomóc zmniejszyć ryzyko nieautoryzowanego użycia wpisów tajnych na koncie platformy AWS. Przykłady obejmują poświadczenia bazy danych, hasła, klucze interfejsu API innych firm, a nawet dowolny tekst. Jeśli nie zmienisz wpisów tajnych przez długi czas, wpisy tajne będą bardziej narażone na naruszenie zabezpieczeń. W miarę jak coraz więcej użytkowników uzyskuje dostęp do wpisu tajnego, może stać się bardziej prawdopodobne, że ktoś błędnie potraktował go i wyciekł do nieautoryzowanej jednostki. Wpisy tajne można wyciekać za pośrednictwem dzienników i danych pamięci podręcznej. Można je udostępniać do celów debugowania, a nie zmieniać ani odwoływać po zakończeniu debugowania. Ze wszystkich tych powodów wpisy tajne powinny być często obracane. Wpisy tajne można skonfigurować pod kątem automatycznej rotacji w programie AWS Secrets Manager. Dzięki automatycznej rotacji można zastąpić długoterminowe wpisy tajne krótkoterminowymi, co znacznie zmniejsza ryzyko naruszenia zabezpieczeń. Usługa Security Hub zaleca włączenie rotacji dla wpisów tajnych menedżera wpisów tajnych. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.

Ważność: średni rozmiar

Opis: Ta kontrolka sprawdza, czy temat SNS jest szyfrowany w spoczynku przy użyciu usługi AWS KMS. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje również kolejny zestaw kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu użytkowników do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Tematy SNS powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w przewodniku dla deweloperów usługi Amazon Simple Notification Service.

Ważność: średni rozmiar

Rejestrowanie przepływu VPC powinno być włączone we wszystkich sieciach VPN

Opis: Dzienniki przepływu VPC zapewniają wgląd w ruch sieciowy przechodzący przez VPC i mogą służyć do wykrywania nietypowego ruchu lub szczegółowych informacji podczas zdarzeń zabezpieczeń.

Ważność: średni rozmiar

Zalecenia dotyczące danych GCP

Upewnij się, że flaga bazy danych "3625 (flaga śledzenia)" dla wystąpienia usługi Cloud SQL Server jest ustawiona na wartość "off"

Opis: Zaleca się ustawienie flagi bazy danych "3625 (flaga śledzenia)" dla wystąpienia usługi Cloud SQL Server na wartość "off". Flagi śledzenia są często używane do diagnozowania problemów z wydajnością lub debugowania procedur składowanych lub złożonych systemów komputerowych, ale mogą być również zalecane przez pomoc techniczna firmy Microsoft w celu rozwiązania problemów, które negatywnie wpływają na określone obciążenie. Wszystkie udokumentowane flagi śledzenia i zalecane przez pomoc techniczna firmy Microsoft są w pełni obsługiwane w środowisku produkcyjnym, gdy są używane zgodnie z zaleceniami. "3625(dziennik śledzenia)" ogranicza ilość informacji zwracanych do użytkowników, którzy nie są członkami stałej roli serwera sysadmin, maskując parametry niektórych komunikatów o błędach przy użyciu polecenia "******". Może to pomóc zapobiec ujawnieniu poufnych informacji. Dlatego zaleca się wyłączenie tej flagi. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "włączone skrypty zewnętrzne" dla wystąpienia usługi Cloud SQL Server jest ustawiona na "wyłączone"

Opis: Zaleca się ustawienie flagi bazy danych "włączone skrypty zewnętrzne" dla wystąpienia programu SQL Server w chmurze na wartość wyłączone. "Włączone skrypty zewnętrzne" umożliwiają wykonywanie skryptów z określonymi rozszerzeniami języka zdalnego. Ta właściwość jest domyślnie wyłączona. Po zainstalowaniu usług Advanced Analytics Services instalator może opcjonalnie ustawić tę właściwość na wartość true. Ponieważ funkcja "Włączone skrypty zewnętrzne" umożliwia wykonywanie skryptów zewnętrznych dla języka SQL, takich jak pliki znajdujące się w bibliotece języka R, co może niekorzystnie wpłynąć na bezpieczeństwo systemu, dlatego powinno to zostać wyłączone. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: Wysoka

Upewnij się, że flaga bazy danych dostępu zdalnego dla wystąpienia programu SQL Server w chmurze jest ustawiona na wartość "wyłączone"

Opis: Zaleca się ustawienie flagi bazy danych "dostęp zdalny" dla wystąpienia usługi Cloud SQL Server na wartość "wyłączone". Opcja "dostęp zdalny" kontroluje wykonywanie procedur składowanych z lokalnych lub zdalnych serwerów, na których działają wystąpienia programu SQL Server. Ta wartość domyślna dla tej opcji to 1. Daje to uprawnienie do uruchamiania lokalnych procedur składowanych z serwerów zdalnych lub zdalnych procedur składowanych z serwera lokalnego. Aby zapobiec uruchamianiu lokalnych procedur składowanych z serwera zdalnego lub zdalnych procedur składowanych na serwerze lokalnym, należy to wyłączyć. Opcja Dostęp zdalny kontroluje wykonywanie lokalnych procedur składowanych na serwerach zdalnych lub zdalnych procedurach składowanych na serwerze lokalnym. Funkcja "Dostęp zdalny" może być nadużywana w celu uruchomienia ataku typu "odmowa usługi" (DoS) na serwery zdalne przez odciążanie przetwarzania zapytań do obiektu docelowego, dlatego powinno to być wyłączone. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: Wysoka

Upewnij się, że flaga bazy danych "skip_show_database" dla wystąpienia usługi Cloud SQL Mysql jest ustawiona na wartość "on"

Opis: Zaleca się ustawienie flagi bazy danych "skip_show_database" dla wystąpienia usługi Cloud SQL Mysql na wartość "on". Flaga bazy danych "skip_show_database" uniemożliwia użytkownikom korzystanie z instrukcji SHOW DATABASES, jeśli nie mają uprawnień SHOW DATABASES. Może to poprawić bezpieczeństwo, jeśli masz obawy dotyczące możliwości wyświetlenia baz danych należących do innych użytkowników. Jego wpływ zależy od uprawnień SHOW DATABASES: jeśli wartość zmiennej jest WŁĄCZONa, instrukcja SHOW DATABASES jest dozwolona tylko dla użytkowników, którzy mają uprawnienia SHOW DATABASES, a instrukcja wyświetla wszystkie nazwy baz danych. Jeśli wartość jest wyłączona, opcja SHOW DATABASES jest dozwolona dla wszystkich użytkowników, ale wyświetla nazwy tylko tych baz danych, dla których użytkownik ma uprawnienia SHOW DATABASES lub inne uprawnienia. To zalecenie dotyczy wystąpień bazy danych Mysql.

Ważność: Niska

Upewnij się, że dla wszystkich zestawów danych BigQuery określono domyślny klucz szyfrowania zarządzany przez klienta (CMEK)

Opis: Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Dane są szyfrowane przy użyciu kluczy szyfrowania danych, a same klucze szyfrowania danych są dalej szyfrowane przy użyciu kluczy szyfrowania kluczy. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Jeśli jednak chcesz mieć większą kontrolę, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Aby uzyskać większą kontrolę nad szyfrowaniem, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Ustawienie domyślnego klucza szyfrowania zarządzanego przez klienta (CMEK) dla zestawu danych zapewnia, że wszystkie tabele utworzone w przyszłości będą używać określonego klucza CMEK, jeśli nie podano żadnego innego.

Firma Google nie przechowuje kluczy na swoich serwerach i nie może uzyskać dostępu do chronionych danych, chyba że podasz klucz.

Oznacza to również, że jeśli zapomnisz lub utracisz klucz, nie ma możliwości odzyskania klucza przez firmę Google ani odzyskania jakichkolwiek danych zaszyfrowanych przy użyciu utraconego klucza.

Ważność: średni rozmiar

Upewnij się, że wszystkie tabele BigQuery są szyfrowane przy użyciu klucza szyfrowania zarządzanego przez klienta (CMEK)

Opis: Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Dane są szyfrowane przy użyciu kluczy szyfrowania danych, a same klucze szyfrowania danych są dalej szyfrowane przy użyciu kluczy szyfrowania kluczy. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Jeśli jednak chcesz mieć większą kontrolę, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Jeśli klucz CMEK jest używany, klucz CMEK jest używany do szyfrowania kluczy szyfrowania danych zamiast przy użyciu kluczy szyfrowania zarządzanych przez firmę Google. Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Aby uzyskać większą kontrolę nad szyfrowaniem, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla tabel BigQuery. Klucz CMEK służy do szyfrowania kluczy szyfrowania danych zamiast używania kluczy szyfrowania zarządzanych przez firmę Google. BigQuery przechowuje tabelę i skojarzenie CMEK, a szyfrowanie/odszyfrowywanie odbywa się automatycznie. Zastosowanie domyślnych kluczy zarządzanych przez klienta w zestawach danych BigQuery gwarantuje, że wszystkie nowe tabele utworzone w przyszłości będą szyfrowane przy użyciu klucza CMEK, ale istniejące tabele muszą zostać zaktualizowane w celu indywidualnego używania klucza CMEK.

Firma Google nie przechowuje kluczy na swoich serwerach i nie może uzyskać dostępu do chronionych danych, chyba że podasz klucz. Oznacza to również, że jeśli zapomnisz lub utracisz klucz, nie ma możliwości odzyskania klucza przez firmę Google ani odzyskania jakichkolwiek danych zaszyfrowanych przy użyciu utraconego klucza.

Ważność: średni rozmiar

Upewnij się, że zestawy danych BigQuery nie są anonimowe ani publicznie dostępne

Opis: Zaleca się, aby zasady zarządzania dostępem i tożsamościami w zestawach danych BigQuery nie zezwalały na dostęp anonimowy i/lub publiczny. Udzielanie uprawnień wszystkimUżytkownikom lub wszystkimUżytkownikomAuthenticatedUsers umożliwia każdemu dostęp do zestawu danych. Taki dostęp może nie być pożądany, jeśli dane poufne są przechowywane w zestawie danych. W związku z tym upewnij się, że dostęp anonimowy i/lub publiczny do zestawu danych nie jest dozwolony.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze są skonfigurowane z automatycznymi kopiami zapasowymi

Opis: Zaleca się, aby wszystkie wystąpienia bazy danych SQL zostały ustawione w celu włączenia automatycznych kopii zapasowych. Kopie zapasowe umożliwiają przywrócenie wystąpienia sql w chmurze w celu odzyskania utraconych danych lub odzyskania po wystąpieniu problemu z tym wystąpieniem. Automatyczne kopie zapasowe należy ustawić dla dowolnego wystąpienia zawierającego dane, które powinny być chronione przed utratą lub uszkodzeniem. To zalecenie dotyczy wystąpień programów SQL Server, PostgreSql, MySql 1 i MySql 2. generacji.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze nie są otwarte na świecie

Opis: Serwer bazy danych powinien akceptować połączenia tylko z zaufanych sieci/adresów IP i ograniczać dostęp ze świata. Aby zminimalizować obszar ataków w wystąpieniu serwera bazy danych, należy zatwierdzić tylko zaufane/znane i wymagane adresy IP w celu nawiązania z nim połączenia. Autoryzowana sieć nie powinna mieć adresów IP/sieci skonfigurowanych do wersji 0.0.0.0/0, co umożliwi dostęp do wystąpienia z dowolnego miejsca na świecie. Należy pamiętać, że autoryzowane sieci mają zastosowanie tylko do wystąpień z publicznymi adresami IP.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze nie mają publicznych adresów IP

Opis: Zaleca się skonfigurowanie wystąpienia Sql drugiej generacji do używania prywatnych adresów IP zamiast publicznych adresów IP. Aby zmniejszyć obszar ataków organizacji, bazy danych SQL w chmurze nie powinny mieć publicznych adresów IP. Prywatne adresy IP zapewniają lepsze zabezpieczenia sieci i mniejsze opóźnienia aplikacji.

Ważność: Wysoka

Upewnij się, że zasobnik magazynu w chmurze nie jest anonimowo ani publicznie dostępny

Opis: Zalecane jest, aby zasady zarządzania dostępem i tożsamościami w zasobniku magazynu w chmurze nie zezwalały na dostęp anonimowy ani publiczny. Zezwalanie na dostęp anonimowy lub publiczny przyznaje każdemu użytkownikowi uprawnienia dostępu do zawartości zasobnika. Taki dostęp może nie być wymagany, jeśli przechowujesz jakiekolwiek poufne dane. W związku z tym upewnij się, że dostęp anonimowy lub publiczny do zasobnika nie jest dozwolony.

Ważność: Wysoka

Upewnij się, że zasobniki magazynu w chmurze mają włączony jednolity dostęp na poziomie zasobnika

Opis: Zaleca się włączenie dostępu na poziomie jednolitego zasobnika w zasobnikach usługi Cloud Storage. Zaleca się stosowanie jednolitego dostępu na poziomie zasobnika w celu ujednolicenia i uproszczenia sposobu udzielania dostępu do zasobów usługi Cloud Storage. Usługa Cloud Storage oferuje dwa systemy udzielania użytkownikom uprawnień dostępu do zasobników i obiektów: Zarządzanie tożsamościami w chmurze i dostępem (Cloud IAM) oraz listami kontroli dostępu (ACL).
Te systemy działają równolegle — aby użytkownik uzyskiwał dostęp do zasobu usługi Cloud Storage, tylko jeden z systemów musi udzielić użytkownikowi uprawnień. Zarządzanie dostępem i tożsamościami w chmurze w chmurze w usłudze Google Cloud umożliwia przyznawanie różnych uprawnień na poziomach zasobnika i projektu. Listy ACL są używane tylko przez usługę Cloud Storage i mają ograniczone opcje uprawnień, ale umożliwiają przyznawanie uprawnień dla poszczególnych obiektów.

Aby obsługiwać jednolity system uprawnień, usługa Cloud Storage ma jednolity dostęp na poziomie zasobnika. Użycie tej funkcji wyłącza listy ACL dla wszystkich zasobów magazynu w chmurze: dostęp do zasobów usługi Cloud Storage, a następnie jest udzielany wyłącznie za pośrednictwem funkcji Zarządzania dostępem i tożsamościami w chmurze. Włączenie dostępu na poziomie jednolitego zasobnika gwarantuje, że jeśli zasobnik magazynu nie jest publicznie dostępny, żaden obiekt w zasobniku jest publicznie dostępny.

Ważność: średni rozmiar

Upewnij się, że wystąpienia obliczeniowe mają włączone poufne przetwarzanie

Opis: Usługa Google Cloud szyfruje dane magazynowane i przesyłane, ale dane klientów muszą być odszyfrowywane do przetwarzania. Poufne przetwarzanie to przełomowa technologia, która szyfruje dane w użyciu podczas ich przetwarzania. Poufne środowiska obliczeniowe przechowują dane zaszyfrowane w pamięci i w innych miejscach poza centralną jednostką przetwarzania (CPU). Poufne maszyny wirtualne korzystają z funkcji Secure Encrypted Virtualization (SEV) procesorów AMD EPYC. Dane klienta pozostaną zaszyfrowane, gdy będą używane, indeksowane, odpytywane lub wytrenowane. Klucze szyfrowania są generowane na sprzęcie, na maszynę wirtualną i nie można eksportować. Dzięki wbudowanym optymalizacjom sprzętowym zarówno wydajności, jak i zabezpieczeń nie ma znaczącej kary dla obciążeń poufnego przetwarzania. Poufne przetwarzanie umożliwia klientom poufny kod i inne dane zaszyfrowane w pamięci podczas przetwarzania. Firma Google nie ma dostępu do kluczy szyfrowania. Poufne maszyny wirtualne mogą pomóc złagodzić obawy dotyczące ryzyka związanego z zależnością od infrastruktury Google lub dostępu niejawnych testerów firmy Google do danych klientów w przejrzysty sposób.

Ważność: Wysoka

Upewnij się, że zasady przechowywania w zasobnikach dziennika są skonfigurowane przy użyciu blokady zasobnika

Opis: Włączenie zasad przechowywania w zasobnikach dziennika spowoduje ochronę dzienników przechowywanych w zasobnikach magazynu w chmurze przed zastąpieniem lub przypadkowym usunięciem. Zaleca się skonfigurowanie zasad przechowywania i skonfigurowanie blokady zasobnika na wszystkich zasobnikach magazynu, które są używane jako ujścia dzienników. Dzienniki można wyeksportować, tworząc co najmniej jeden ujścia, który zawiera filtr dziennika i miejsce docelowe. Gdy rejestrowanie usługi Stackdriver odbiera nowe wpisy dziennika, są porównywane z każdym ujściem. Jeśli wpis dziennika pasuje do filtru ujścia, kopia wpisu dziennika jest zapisywana w miejscu docelowym. Ujścia można skonfigurować do eksportowania dzienników w zasobnikach magazynu. Zaleca się skonfigurowanie zasad przechowywania danych dla tych zasobników magazynu w chmurze i zablokowanie zasad przechowywania danych; w ten sposób trwale uniemożliwia zmniejszenie lub usunięcie zasad. W ten sposób, jeśli system kiedykolwiek zostanie naruszony przez osobę atakującą lub złośliwego insidera, który chce zakryć swoje ślady, dzienniki aktywności są zdecydowanie zachowywane w przypadku dochodzeń kryminalistycznych i śledczych.

Ważność: Niska

Upewnij się, że wystąpienie bazy danych SQL w chmurze wymaga wszystkich połączeń przychodzących do korzystania z protokołu SSL

Opis: zaleca się wymuszanie wszystkich połączeń przychodzących z wystąpieniem bazy danych SQL w celu używania protokołu SSL. Połączenia z bazą danych SQL, jeśli zostały pomyślnie uwięzione (MITM); może ujawniać poufne dane, takie jak poświadczenia, zapytania bazy danych, dane wyjściowe zapytań itp. W przypadku zabezpieczeń zaleca się zawsze używanie szyfrowania SSL podczas nawiązywania połączenia z wystąpieniem. To zalecenie dotyczy wystąpień Postgresql, MySql 1. generacji i MySql 2. generacji.

Ważność: Wysoka

Upewnij się, że flaga bazy danych "zawarte uwierzytelnianie bazy danych" dla usługi Cloud SQL w wystąpieniu programu SQL Server jest ustawiona na wartość "off"

Opis: Zaleca się ustawienie flagi bazy danych "zawarte uwierzytelnianie bazy danych" dla usługi Cloud SQL w wystąpieniu programu SQL Server na wartość "wyłączone". Zawarta baza danych zawiera wszystkie ustawienia bazy danych i metadane wymagane do zdefiniowania bazy danych i nie ma zależności konfiguracji od wystąpienia aparatu bazy danych, w którym zainstalowano bazę danych. Użytkownicy mogą łączyć się z bazą danych bez uwierzytelniania logowania na poziomie aparatu bazy danych. Izolowanie bazy danych z aparatu bazy danych umożliwia łatwe przenoszenie bazy danych do innego wystąpienia programu SQL Server. Zawarte bazy danych mają pewne unikatowe zagrożenia, które powinny być zrozumiałe i ograniczane przez administratorów aparatu bazy danych programu SQL Server. Większość zagrożeń jest związanych z procesem uwierzytelniania USER WITH PASSWORD, który przenosi granicę uwierzytelniania z poziomu aparatu bazy danych do poziomu bazy danych, dlatego zaleca się wyłączenie tej flagi. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "cross db ownershiping" dla wystąpienia usługi Cloud SQL Server jest ustawiona na wartość "off"

Opis: Zaleca się ustawienie flagi bazy danych "łączenie łańcuchów własności między bazami danych" dla wystąpienia programu SQL Server w chmurze na wartość "off". Użyj opcji "własność między bazami danych", aby skonfigurować łańcuch własności między bazami danych dla wystąpienia programu Microsoft SQL Server. Ta opcja serwera umożliwia kontrolowanie łańcucha własności między bazami danych na poziomie bazy danych lub zezwalanie na łańcuch własności między bazami danych dla wszystkich baz danych. Włączenie "własności między bazami danych" nie jest zalecane, chyba że wszystkie bazy danych hostowane przez wystąpienie programu SQL Server muszą uczestniczyć w łańcuchu własności między bazami danych i wiesz, jakie są implikacje zabezpieczeń tego ustawienia. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "local_infile" dla wystąpienia usługi Cloud SQL Mysql jest ustawiona na wartość "off"

Opis: zaleca się ustawienie flagi bazy danych local_infile dla wystąpienia usługi Cloud SQL MySQL na wyłączone. Flaga local_infile steruje funkcją LOCAL po stronie serwera dla instrukcji LOAD DATA. W zależności od ustawienia local_infile serwer odmawia lub zezwala na lokalne ładowanie danych przez klientów, którzy mają włączone lokalne po stronie klienta. Aby jawnie spowodować, że serwer odmówi instrukcji LOAD DATA LOCAL (niezależnie od tego, jak programy klienckie i biblioteki są skonfigurowane w czasie kompilacji lub czasie wykonywania), zacznij od mysqld local_infile wyłączone. local_infile można również ustawić w czasie wykonywania. Ze względu na problemy z zabezpieczeniami skojarzone z flagą local_infile zaleca się jego wyłączenie. To zalecenie dotyczy wystąpień bazy danych MySQL.

Ważność: średni rozmiar

Upewnij się, że istnieje filtr metryk dzienników i alerty dotyczące zmian uprawnień zarządzanie dostępem i tożsamościami w usłudze Cloud Storage

Opis: Zaleca się ustanowienie filtru metryki i alarmu dla zmian IAM zasobnika magazynu w chmurze. Monitorowanie zmian uprawnień zasobnika magazynu w chmurze może skrócić czas potrzebny do wykrywania i poprawiania uprawnień do poufnych zasobników i obiektów magazynu w chmurze w zasobniku.

Ważność: Niska

Upewnij się, że dla zmian konfiguracji wystąpienia SQL istnieją filtry metryk dzienników i alerty

Opis: Zaleca się ustanowienie filtru metryki i alarmu dla zmian konfiguracji wystąpienia SQL. Monitorowanie zmian konfiguracji wystąpienia SQL może skrócić czas potrzebny na wykrywanie i poprawianie błędów konfiguracji na serwerze SQL. Poniżej przedstawiono kilka konfigurowalnych opcji, które mogą mieć wpływ na stan zabezpieczeń wystąpienia SQL:

Włączanie automatycznych kopii zapasowych i wysokiej dostępności: Nieprawidłowa konfiguracja może mieć negatywny wpływ na ciągłość działania, odzyskiwanie po awarii i wysoką dostępność
Autoryzowanie sieci: Błędna konfiguracja może zwiększyć narażenie na niezaufane sieci

Ważność: Niska

Upewnij się, że istnieją tylko klucze konta usługi zarządzane przez usługę GCP dla każdego konta usługi

Opis: Konta usług zarządzanych przez użytkownika nie powinny mieć kluczy zarządzanych przez użytkownika. Każda osoba, która ma dostęp do kluczy, będzie mogła uzyskiwać dostęp do zasobów za pośrednictwem konta usługi. Klucze zarządzane przez GCP są używane przez usługi platformy w chmurze, takie jak App Engine i Compute Engine. Nie można pobrać tych kluczy. Google będzie przechowywać klucze i automatycznie obracać je w przybliżeniu co tydzień. Klucze zarządzane przez użytkownika są tworzone, pobierane i zarządzane przez użytkowników. Wygasają 10 lat od utworzenia. W przypadku kluczy zarządzanych przez użytkownika użytkownik musi przejąć własność działań związanych z zarządzaniem kluczami, które obejmują:

Magazyn kluczy
Dystrybucja kluczy
Odwołanie klucza
Wymiana kluczy
Ochrona klucza przed nieautoryzowanymi użytkownikami
Odzyskiwanie klucza

Nawet w przypadku środków ostrożności właściciela kluczy można łatwo wyciekać przez mniej niż optymalne typowe rozwiązania programistyczne, takie jak sprawdzanie kluczy w kodzie źródłowym lub pozostawienie ich w katalogu Pobrane lub przypadkowe pozostawienie ich na blogach/kanałach pomocy technicznej. Zaleca się zapobieganie kluczom konta usługi zarządzanej przez użytkownika.

Ważność: Niska

Upewnij się, że flaga bazy danych "połączenia użytkownika" dla wystąpienia programu SQL Server w chmurze jest ustawiona zgodnie z potrzebami

Opis: Zaleca się ustawienie flagi bazy danych "połączenia użytkownika" dla wystąpienia usługi Cloud SQL Server zgodnie z wartością zdefiniowaną przez organizację. Opcja "Połączenia użytkownika" określa maksymalną liczbę równoczesnych połączeń użytkowników dozwolonych w wystąpieniu programu SQL Server. Rzeczywista dozwolona liczba dozwolonych połączeń użytkowników zależy również od używanej wersji programu SQL Server, a także limitów aplikacji lub aplikacji i sprzętu. Program SQL Server umożliwia maksymalnie 32 767 połączeń użytkowników. Ponieważ połączenia użytkowników są opcją dynamiczną (samozastawialną), program SQL Server dostosowuje maksymalną liczbę połączeń użytkowników automatycznie zgodnie z potrzebami, nawet do dozwolonej maksymalnej wartości. Jeśli na przykład tylko 10 użytkowników jest zalogowanych, przydzielono 10 obiektów połączenia użytkownika. W większości przypadków nie trzeba zmieniać wartości dla tej opcji. Wartość domyślna to 0, co oznacza, że dozwolone są maksymalne (32 767) połączenia użytkowników. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: Niska

Upewnij się, że flaga bazy danych "opcje użytkownika" dla wystąpienia usługi Cloud SQL Server nie jest skonfigurowana

Opis: Zaleca się, aby flaga bazy danych "opcje użytkownika" dla wystąpienia usługi Cloud SQL Server programu SQL Server nie była skonfigurowana. Opcja "opcje użytkownika" określa globalne wartości domyślne dla wszystkich użytkowników. Lista domyślnych opcji przetwarzania zapytań jest ustanawiana na czas trwania sesji roboczej użytkownika. Ustawienie opcji użytkownika umożliwia zmianę wartości domyślnych opcji SET (jeśli ustawienia domyślne serwera nie są odpowiednie). Użytkownik może zastąpić te wartości domyślne przy użyciu instrukcji SET. Opcje użytkownika można konfigurować dynamicznie dla nowych logowań. Po zmianie ustawienia opcji użytkownika nowe sesje logowania używają nowego ustawienia; Nie ma to wpływu na bieżące sesje logowania. To zalecenie dotyczy wystąpień bazy danych programu SQL Server.

Ważność: Niska

Rejestrowanie dla klastrów GKE powinno być włączone

Opis: To zalecenie ocenia, czy właściwość loggingService klastra zawiera lokalizację Rejestrowanie w chmurze, która powinna służyć do zapisywania dzienników.

Ważność: Wysoka

Przechowywanie wersji obiektów powinno być włączone w zasobnikach magazynu, w których skonfigurowano ujścia

Opis: To zalecenie ocenia, czy włączone pole we właściwości przechowywania wersji zasobnika ma wartość true.

Ważność: Wysoka

W celu zmniejszenia indeksu pełzania uprawnień (PCI) należy zbadać nadmierną aprowizację tożsamości w projektach

Opis: Należy zbadać nadmierną aprowizację tożsamości w projektach w celu zmniejszenia indeksu pełzania uprawnień (PCI) i ochrony infrastruktury. Zmniejsz pci, usuwając nieużywane przypisania uprawnień wysokiego ryzyka. Wysoka wartość PCI odzwierciedla ryzyko związane z tożsamościami z uprawnieniami, które przekraczają normalne lub wymagane użycie.

Ważność: średni rozmiar

Projekty z kluczami kryptograficznymi nie powinny mieć użytkowników z uprawnieniami właściciela

Opis: To zalecenie ocenia zasady zezwalania na zarządzanie dostępem i tożsamościami w metadanych projektu dla przypisanych ról podmiotów zabezpieczeń/właściciela.

Ważność: średni rozmiar

Zasobniki magazynu używane jako ujście dziennika nie powinny być publicznie dostępne

Opis: To zalecenie ocenia zasady zarządzania dostępem i tożsamościami zasobnika dla podmiotów zabezpieczeń allUsers lub allAuthenticatedUsers, które udzielają dostępu publicznego.

Ważność: Wysoka

Udostępnij za pośrednictwem

Zalecenia dotyczące zabezpieczeń danych

Zalecenia dotyczące danych platformy Azure

Zalecenia dotyczące danych platformy AWS