Zalecenia dotyczące zabezpieczeń danych

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń danych, które mogą zostać wyświetlone w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji. Zalecenia można zobaczyć w portalu , które mają zastosowanie do zasobów.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Remediate recommendations in Defender dla Chmury (Zalecenia dotyczące korygowania w witrynie Defender dla Chmury.

Napiwek

Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

zalecenia dotyczące danych Azure

Azure Cosmos DB należy wyłączyć dostęp do sieci publicznej

Opis: Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że twoje konto usługi Cosmos DB nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie konta usługi Cosmos DB. Dowiedz się więcej. (Powiązane zasady: Azure Cosmos DB powinny wyłączyć dostęp do sieci publicznej).

Ważność: średni rozmiar

(Włącz, jeśli jest to wymagane) Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/cosmosdb-cmk. (Powiązane zasady: Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta (CMK). Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania usługami. Zestawy CMKs umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/azureml-workspaces-cmk. (Powiązane zasady: Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)).

Ważność: Niska

Azure SQL Database powinien działać protokół TLS w wersji 1.2 lub nowszej

Description: Ustawienie wersji protokołu TLS na 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając dostęp do Azure SQL Database tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. (Powiązane zasady: Azure SQL Database powinny mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej).

Ważność: średni rozmiar

Azure SQL Wystąpienia zarządzane powinny wyłączyć dostęp do sieci publicznej

Description: Wyłączanie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając, że dostęp do nich można uzyskać tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Dowiedz się więcej o dostępie do sieci publicznej. (Powiązane zasady: Azure SQL Wystąpienia zarządzane powinny wyłączyć dostęp do sieci publicznej).

Ważność: średni rozmiar

Konta usługi Cosmos DB powinny używać łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Gdy prywatne punkty końcowe są mapowane na konto usługi Cosmos DB, ryzyko wycieku danych jest zmniejszane. Dowiedz się więcej o linkach prywatnych. (Powiązane zasady: Konta usługi Cosmos DB powinny używać łącza prywatnego).

Ważność: średni rozmiar

(Włącz, jeśli jest to wymagane) Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. (Powiązane zasady: Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów MySQL.

Ważność: Niska

(Włącz, jeśli jest to wymagane) Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. (Powiązane zasady: Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów PostgreSQL.

Ważność: Niska

(Włącz, jeśli jest to wymagane) Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zaimplementowanie Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. (Powiązane zasady: Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zaimplementowanie Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. (Powiązane zasady: Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych).

Ważność: Niska

(Włącz, jeśli jest to wymagane) Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania

Opis: Zalecenia dotyczące używania kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Zabezpiecz konto magazynu z większą elastycznością przy użyciu kluczy zarządzanych przez klienta (CMKs). Po określeniu klucza zarządzanego klucz jest używany do ochrony i kontrolowania dostępu do klucza, który szyfruje dane. Korzystanie z cmKs zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. (Powiązane zasady: Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania.

Ważność: Niska

Dostęp publiczny do konta magazynu powinien być niedozwolony

Description: Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w Azure Storage jest wygodnym sposobem udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niepożądanym dostępem anonimowym, Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że scenariusz tego wymaga.

Powiązane zasady: dostęp publiczny do konta magazynu powinien być niedozwolony

Ważność: średni rozmiar

Wszystkie zaawansowane typy ochrony przed zagrożeniami powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL

Opis: Zaleca się włączenie wszystkich zaawansowanych typów ochrony przed zagrożeniami w wystąpieniach zarządzanych SQL. Włączenie wszystkich typów chroni przed wstrzyknięciem kodu SQL, lukami w zabezpieczeniach bazy danych i wszelkimi innymi nietypowymi działaniami. (Brak powiązanych zasad)

Ważność: średni rozmiar

Wszystkie typy zaawansowanej ochrony przed zagrożeniami powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych serwera SQL

Opis: Zaleca się włączenie wszystkich zaawansowanych typów ochrony przed zagrożeniami na serwerach SQL. Włączenie wszystkich typów chroni przed wstrzyknięciem kodu SQL, lukami w zabezpieczeniach bazy danych i wszelkimi innymi nietypowymi działaniami. (Brak powiązanych zasad)

Ważność: średni rozmiar

Usługi API Management powinny używać sieci wirtualnej

Description: wdrożenie Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację oraz umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której można kontrolować dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, które umożliwiają dostęp do usług zaplecza w sieci i/lub lokalnie. Portal deweloperów i brama interfejsu API można skonfigurować tak, aby była dostępna z Internetu lub tylko w sieci wirtualnej. (Powiązane zasady: Usługi API Management powinny używać sieci wirtualnej).

Ważność: średni rozmiar

Usługa App Configuration powinna używać łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. (Powiązane zasady: Usługa App Configuration powinna używać linku prywatnego).

Ważność: średni rozmiar

Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni

Opis: Przeprowadź inspekcję serwerów SQL skonfigurowanych z okresem przechowywania inspekcji krótszym niż 90 dni. (Powiązane zasady: Serwery SQL powinny być skonfigurowane z 90-dniowym okresem przechowywania lub nowszym).

Ważność: Niska

Inspekcja na serwerze SQL powinna być włączona

Description: Włącz inspekcję na SQL Server, aby śledzić działania bazy danych we wszystkich bazach danych na serwerze i zapisywać je w dzienniku inspekcji. (Powiązane zasady: Inspekcja na serwerze SQL powinna być włączona.

Ważność: Niska

Automatyczna aprowizacja agenta Log Analytics powinna być włączona w subskrypcjach

Description: Aby monitorować luki w zabezpieczeniach i zagrożenia, Microsoft Defender dla Chmury zbiera dane z maszyn wirtualnych Azure. Dane są zbierane przez agenta Log Analytics, znanego wcześniej jako agent monitorowania Microsoft (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z komputera i kopiuje dane do obszaru roboczego Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji, aby automatycznie wdrożyć agenta na wszystkich obsługiwanych maszynach wirtualnych Azure i wszystkich nowo utworzonych maszynach wirtualnych. (Powiązane zasady: Auto aprowizacja agenta Log Analytics powinna być włączona w ramach subskrypcji).

Ważność: Niska

Azure Cache for Redis powinny znajdować się w sieci wirtualnej

Description: wdrożenie Azure Virtual Network (VNet) zapewnia zwiększone zabezpieczenia i izolację Azure Cache for Redis, a także podsieci, zasady kontroli dostępu i inne funkcje w celu dalszego ograniczenia dostępu. Jeśli wystąpienie Azure Cache for Redis jest skonfigurowane z siecią wirtualną, nie jest ono adresowane publicznie i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. (Powiązane zasady: Azure Cache for Redis powinny znajdować się w sieci wirtualnej).

Ważność: średni rozmiar

Azure Database for MySQL powinien mieć zainicjowaną aprowizację administratora Microsoft Entra

Description: Aprowizuj administratora Microsoft Entra dla Azure Database for MySQL, aby włączyć uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft (powiązane zasady: a administrator Microsoft Entra powinien być aprowizowany dla serwerów MySQL).

Ważność: średni rozmiar

Azure Database for PostgreSQL powinien być aprowizowany administrator Microsoft Entra

Description: Aprowizuj administratora Microsoft Entra dla Azure Database for PostgreSQL, aby włączyć uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft
(Powiązane zasady: a administrator Microsoft Entra powinien być aprowizowany dla serwerów PostgreSQL).

Ważność: średni rozmiar

Azure Database for PostgreSQL serwer elastyczny powinien mieć włączone uwierzytelnianie Microsoft Entra

Description: Wyłączanie lokalnych metod uwierzytelniania i wymaganie Microsoft Entra uwierzytelniania zwiększa bezpieczeństwo, upewniając się, że dostęp do Azure Database for PostgreSQL serwera elastycznego może uzyskiwać tylko Microsoft Entra tożsamości (powiązane zasady: Azure Serwer elastyczny PostgreSQL powinien mieć włączony Microsoft Entra tylko uwierzytelnianie).

Ważność: średni rozmiar

Azure Cosmos DB konta powinny mieć reguły zapory

Description: Reguły zapory powinny być zdefiniowane na kontach Azure Cosmos DB, aby uniemożliwić nieautoryzowane źródła ruchu. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. (Powiązane zasady: konta Azure Cosmos DB powinny mieć reguły zapory).

Ważność: średni rozmiar

Azure Event Grid domeny powinny używać łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. (Powiązane zasady: Azure Event Grid domeny powinny używać łącza prywatnego).

Ważność: średni rozmiar

Azure Event Grid tematy powinny używać łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na tematy zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. (Powiązane zasady: Azure Event Grid tematy powinny używać łącza prywatnego).

Ważność: średni rozmiar

Azure Machine Learning obszary robocze powinny używać łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na obszary robocze Azure Machine Learning zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/azureml-workspaces-privatelink. (Powiązane zasady: Azure Machine Learning obszary robocze powinny używać łącza prywatnego).

Ważność: średni rozmiar

Azure SignalR Service należy użyć łącza prywatnego

Description: Azure Private Link umożliwia łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na zasoby usługi SignalR zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/asrs/privatelink. (Powiązane zasady: Azure SignalR Service należy użyć łącza prywatnego).

Ważność: średni rozmiar

Azure Spring Cloud powinien używać iniekcji sieci

Description: Azure wystąpienia usługi Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie Azure Spring Cloud z Internetu. 2. Włącz Azure Spring Cloud, aby wchodzić w interakcje z systemami w lokalnych centrach danych lub w usłudze Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej na potrzeby usługi Azure Spring Cloud. (Powiązane zasady: Azure Spring Cloud powinny używać iniekcji sieci).

Ważność: średni rozmiar

Serwery SQL powinny mieć zainicjowaną aprowizację administratora Microsoft Entra

Description: Aprowizuj administratora Microsoft Entra dla serwera SQL, aby umożliwić uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft. (Powiązane zasady: a administrator Microsoft Entra powinien być aprowizowany dla serwerów SQL).

Ważność: Wysoka

Tryb uwierzytelniania obszaru roboczego Azure Synapse powinien być tylko Microsoft Entra ID

Description: Azure Synapse Tryb uwierzytelniania obszaru roboczego powinien być Microsoft Entra ID Tylko Microsoft Entra ID tylko metody uwierzytelniania zwiększają bezpieczeństwo, upewniając się, że obszary robocze usługi Synapse wymagają wyłącznie Microsoft Entra ID tożsamości dla Uwierzytelniania. Dowiedz się więcej. (Powiązane zasady: Synapse Workspaces powinny używać tylko tożsamości Microsoft Entra ID do uwierzytelniania).

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania kodu

Description: Defender dla DevOps wykryła luki w zabezpieczeniach repozytoriów kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania dependabot

Ważność: średni rozmiar

Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu

Description: Defender dla DevOps znalazła infrastrukturę jako problemy z konfiguracją zabezpieczeń kodu w repozytoriach. Problemy przedstawione poniżej zostały wykryte w plikach szablonów. Aby poprawić stan zabezpieczeń powiązanych zasobów w chmurze, zdecydowanie zaleca się skorygowanie tych problemów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Repozytoria kodu powinny mieć rozpoznane wyniki skanowania wpisów tajnych

Description: Defender dla DevOps znalazł wpis tajny w repozytoriach kodu. Powinno to zostać natychmiast skorygowane, aby zapobiec naruszeniu zabezpieczeń. Wpisy tajne znalezione w repozytoriach mogą być ujawnione lub wykryte przez przeciwników, co prowadzi do naruszenia zabezpieczeń aplikacji lub usługi. W przypadku Azure DevOps narzędzie rozwiązania zabezpieczające firmy Microsoft DevOps CredScan skanuje tylko kompilacje, na których został skonfigurowany do uruchomienia. W związku z tym wyniki mogą nie odzwierciedlać pełnego stanu wpisów tajnych w repozytoriach. (Brak powiązanych zasad)

Ważność: Wysoka

Konta usług Cognitive Services powinny włączyć szyfrowanie danych

Opis: Te zasady przeprowadzają inspekcję kont usług Cognitive Services, które nie korzystają z szyfrowania danych. Dla każdego konta z magazynem należy włączyć szyfrowanie danych za pomocą klucza zarządzanego przez klienta lub Microsoft zarządzanego. (Powiązane zasady: Konta usług Cognitive Services powinny włączać szyfrowanie danych).

Ważność: Niska

Konta usług Cognitive Services powinny używać magazynu należącego do klienta lub włączyć szyfrowanie danych

Opis: Te zasady sprawdzają, czy żadne konto usług Cognitive Services nie korzysta z magazynu należącego do klienta ani szyfrowania danych. Dla każdego konta usług Cognitive Services z magazynem użyj magazynu należącego do klienta lub włącz szyfrowanie danych. Jest zgodny z testami porównawczymi zabezpieczeń Microsoft Cloud. (Powiązane zasady: Konta usług Cognitive Services powinny używać magazynu należącego do klienta lub włączyć szyfrowanie danych).

Ważność: Niska

Dzienniki diagnostyczne w magazynie Azure Data Lake powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Diagnostic logs w Azure Data Lake Store powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w Data Lake Analytics powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Diagnostic dzienniki w Data Lake Analytics powinny być włączone).

Ważność: Niska

Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone

Description: Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dotyczące alertów o wysokiej ważności w Defender dla Chmury. (Powiązane zasady: Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone).

Ważność: Niska

Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności

Description: Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w subskrypcji, ustaw powiadomienia e-mail dla właścicieli subskrypcji dla alertów o wysokiej ważności w Defender dla Chmury. (Powiązane zasady: Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności.

Ważność: średni rozmiar

Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL

Description: Azure Database for MySQL obsługuje łączenie serwera Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. (Powiązane zasady: Wymuś połączenie SSL powinno być włączone dla serwerów baz danych MySQL.

Ważność: średni rozmiar

Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL

Description: Azure Database for PostgreSQL obsługuje łączenie serwera Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. (Powiązane zasady: Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL).

Ważność: średni rozmiar

Aplikacje funkcji powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Skanowanie w zabezpieczeniach środowiska uruchomieniowego pod kątem funkcji skanuje aplikacje funkcji pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń aplikacji bezserwerowych i chronić je przed atakami. (Brak powiązanych zasad)

Ważność: Wysoka

Dla Azure Database for MySQL należy włączyć geograficznie nadmiarową kopię zapasową

Description: Azure Database for MySQL umożliwia wybranie opcji nadmiarowości serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu, aby zapewnić opcje odzyskiwania w przypadku awarii regionu. Konfigurowanie magazynu geograficznie nadmiarowego na potrzeby kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. (Powiązane zasady: Geo nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL).

Ważność: Niska

Należy włączyć geograficznie nadmiarową kopię zapasową dla Azure Database for PostgreSQL

Description: Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu, aby zapewnić opcje odzyskiwania w przypadku awarii regionu. Konfigurowanie magazynu geograficznie nadmiarowego na potrzeby kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. (Powiązane zasady: Geo nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for PostgreSQL).

Ważność: Niska

GitHub repozytoria powinny mieć włączone skanowanie kodu

Description: GitHub używa skanowania kodu do analizowania kodu w celu znalezienia luk w zabezpieczeniach i błędów w kodzie. Skanowanie kodu może służyć do znajdowania, klasyfikowania i określania priorytetów poprawek istniejących problemów w kodzie. Skanowanie kodu może również uniemożliwić deweloperom wprowadzanie nowych problemów. Skanowania mogą być zaplanowane przez określone dni i godziny lub skanowania mogą być wyzwalane, gdy w repozytorium wystąpi określone zdarzenie, takie jak wypychanie. Jeśli skanowanie kodu wykryje potencjalną lukę w zabezpieczeniach lub błąd w kodzie, GitHub wyświetli alert w repozytorium. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu. (Brak powiązanych zasad)

Ważność: średni rozmiar

GitHub repozytoria powinny mieć włączone skanowanie Dependabot

Description: GitHub wysyła alerty Dependabot, gdy wykrywa luki w zabezpieczeniach zależności kodu, które mają wpływ na repozytoria. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu lub innych projektów korzystających z jego kodu. Luki w zabezpieczeniach różnią się w zależności od typu, ważności i metody ataku. Gdy kod zależy od pakietu, który ma lukę w zabezpieczeniach, ta zależność podatna na zagrożenia może spowodować szereg problemów. (Brak powiązanych zasad)

Ważność: średni rozmiar

GitHub repozytoria powinny mieć włączone skanowanie wpisów tajnych

Description: GitHub skanuje repozytoria pod kątem znanych typów wpisów tajnych, aby zapobiec fałszywemu użyciu wpisów tajnych, które zostały przypadkowo zatwierdzone w repozytoriach. Skanowanie wpisów tajnych spowoduje skanowanie całej historii usługi Git we wszystkich gałęziach znajdujących się w repozytorium GitHub pod kątem wszystkich wpisów tajnych. Przykłady wpisów tajnych to tokeny i klucze prywatne, które dostawca usług może wystawiać na potrzeby uwierzytelniania. Jeśli wpis tajny zostanie zaewidencjonowany w repozytorium, każdy, kto ma dostęp do odczytu do repozytorium, może użyć wpisu tajnego, aby uzyskać dostęp do usługi zewnętrznej z tymi uprawnieniami. Wpisy tajne powinny być przechowywane w dedykowanej, bezpiecznej lokalizacji poza repozytorium projektu. (Brak powiązanych zasad)

Ważność: Wysoka

Microsoft Defender dla serwerów Azure SQL Database należy włączyć

Description: Microsoft Defender dla języka SQL to ujednolicony pakiet zapewniający zaawansowane funkcje zabezpieczeń SQL. Obejmuje ona funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenie dla bazy danych oraz odnajdywanie i klasyfikowanie poufnych danych.

Opłaty za ochronę z tego planu są naliczane zgodnie z Defender plany. Jeśli nie masz żadnych serwerów Azure SQL Database w tej subskrypcji, nie zostaną naliczone opłaty. Jeśli później utworzysz serwery Azure SQL Database w tej subskrypcji, zostaną one automatycznie chronione i rozpocznie się naliczanie opłat. Dowiedz się więcej o szczegółach cennika na region.

Dowiedz się więcej w Introduction, aby Microsoft Defender dla programu SQL. (Powiązane zasady: Azure Defender dla serwerów Azure SQL Database powinny być włączone).

Ważność: Wysoka

Microsoft Defender dla systemu DNS należy włączyć

Description: Microsoft Defender dla systemu DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze, stale monitorując wszystkie zapytania DNS z zasobów Azure. Defender w przypadku alertów DNS dotyczących podejrzanych działań w warstwie DNS. Dowiedz się więcej w Introduction, aby Microsoft Defender dla systemu DNS. Włączenie tego planu Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika Defender dla Chmury: Defender dla Chmury Cennik. (Brak powiązanych zasad)

Ważność: Wysoka

Microsoft Defender dla relacyjnych baz danych typu open source należy włączyć

Description: Microsoft Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej w Introduction, aby Microsoft Defender dla relacyjnych baz danych typu open source.

Włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Jeśli w tej subskrypcji nie masz żadnych relacyjnych baz danych typu open source, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek relacyjne bazy danych typu open source w tej subskrypcji, zostaną one automatycznie chronione, a opłaty zaczną się w tym czasie. (Brak powiązanych zasad)

Ważność: Wysoka

Microsoft Defender dla Resource Manager należy włączyć

Description: Microsoft Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Defender dla Chmury wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej w Introduction, aby Microsoft Defender dla Resource Manager. Włączenie tego planu Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika Defender dla Chmury: Defender dla Chmury Cennik. (Brak powiązanych zasad)

Ważność: Wysoka

Microsoft Defender dla usługi SQL na maszynach należy włączyć w obszarach roboczych

Description: Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn Windows i Linux. Dzięki włączeniu tego planu Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną możliwość Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące ten obszar roboczy będą rozliczane za Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów Defender. Jeśli nie włączysz również Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla Azure zasobów. Dowiedz się więcej w Introduction, aby Microsoft Defender dla serwerów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Microsoft Defender dla serwerów SQL na maszynach należy włączyć

Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę serwerów SQL na maszynach. Jeśli nie masz żadnych serwerów SQL na maszynach w tej subskrypcji, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek serwery SQL na maszynach w tej subskrypcji, zostaną one automatycznie chronione, a opłaty zaczną się w tym czasie. Dowiedz się więcej o Microsoft Defender dla serwerów SQL na maszynach. (Powiązane zasady: Azure Defender dla serwerów SQL na maszynach powinny być włączone).

Ważność: Wysoka

Microsoft Defender dla programu SQL należy włączyć dla niechronionych serwerów Azure SQL

Description: Microsoft Defender dla języka SQL to ujednolicony pakiet zapewniający zaawansowane funkcje zabezpieczeń SQL. Przedstawia ona potencjalne luki w zabezpieczeniach bazy danych i wykrywa nietypowe działania, które mogą wskazywać na zagrożenie dla bazy danych. Microsoft Defender dla bazy danych SQL jest rozliczana zgodnie z pricing szczegóły dla regionu. (Powiązane zasady: Na serwerach SQL należy włączyć zaawansowane zabezpieczenia danych.

Ważność: Wysoka

Microsoft Defender dla usługi SQL powinny być włączone dla niechronionych wystąpień zarządzanych SQL

Description: Microsoft Defender dla języka SQL to ujednolicony pakiet zapewniający zaawansowane funkcje zabezpieczeń SQL. Przedstawia ona potencjalne luki w zabezpieczeniach bazy danych i wykrywa nietypowe działania, które mogą wskazywać na zagrożenie dla bazy danych. Microsoft Defender dla bazy danych SQL jest rozliczana zgodnie z pricing szczegóły dla regionu. (Powiązane zasady: Zaawansowane zabezpieczenia danych powinny być włączone w SQL Managed Instance).

Ważność: Wysoka

Microsoft Defender dla magazynu należy włączyć

Description: Microsoft Defender dla magazynu wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich.

Opłaty za ochronę z tego planu są naliczane zgodnie z Defender plany. Jeśli nie masz żadnych kont Azure Storage w tej subskrypcji, nie zostaną naliczone opłaty. Jeśli później utworzysz konta Azure Storage w tej subskrypcji, zostaną one automatycznie chronione i rozpocznie się naliczanie opłat. Dowiedz się więcej o szczegółach cennika na region. Dowiedz się więcej w Introduction, aby Microsoft Defender dla usługi Storage. (Powiązane zasady: Azure Defender dla magazynu powinny być włączone).

Ważność: Wysoka

należy włączyć Network Watcher

Description: Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieciowego na poziomie, do i z Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów w widoku kompleksowego poziomu sieci. Narzędzia do diagnostyki i wizualizacji sieci dostępne za pomocą Network Watcher ułatwiają zrozumienie, diagnozowanie i uzyskiwanie szczegółowych informacji o sieci w Azure. (Powiązane zasady: Network Watcher powinny być włączone).

Ważność: Niska

Należy włączyć połączenia prywatnego punktu końcowego w Azure SQL Database

Description: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając łączność prywatną z Azure SQL Database. (Powiązane zasady: należy włączyć połączenia punktu końcowego Private w Azure SQL Database).

Ważność: średni rozmiar

Prywatny punkt końcowy powinien być włączony dla serwerów MySQL

Description: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym w Azure. (Powiązane zasady: Prywatny punkt końcowy powinien być włączony dla serwerów MySQL).

Ważność: średni rozmiar

Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL

Description: Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym w Azure. (Powiązane zasady: Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL).

Ważność: średni rozmiar

Dostęp do sieci publicznej w Azure SQL Database powinien być wyłączony

Description: Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Public dostęp sieciowy w Azure SQL Database powinny być wyłączone).

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla kont usług Cognitive Services

Opis: Te zasady przeprowadzają inspekcję dowolnego konta usług Cognitive Services w środowisku z włączonym dostępem do sieci publicznej. Dostęp do sieci publicznej powinien być wyłączony, aby dozwolone są tylko połączenia z prywatnych punktów końcowych. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla kont usług Cognitive Services).

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL

Description: Wyłącz właściwość dostępu do sieci publicznej w celu zwiększenia bezpieczeństwa i upewnij się, że dostęp do Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresowej publicznej poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL).

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL

Description: Wyłącz właściwość dostępu do sieci publicznej w celu zwiększenia bezpieczeństwa i upewnij się, że dostęp do Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. (Powiązane zasady: Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL).

Ważność: średni rozmiar

Pamięć podręczna Redis Cache powinna zezwalać na dostęp tylko za pośrednictwem protokołu SSL

Opis: Włącz tylko połączenia za pośrednictwem protokołu SSL z pamięcią podręczną Redis Cache. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji. (Powiązane zasady: W przypadku należy włączyć bezpieczne połączenia z Azure Cache for Redis).

Ważność: Wysoka

Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. Dowiedz się więcej (Powiązane zasady: Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane).

Ważność: Wysoka

Wystąpienia zarządzane SQL powinny mieć skonfigurowaną ocenę luk w zabezpieczeniach

Opis: Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. (Powiązane zasady: ocena Vulnerability powinna być włączona w SQL Managed Instance).

Ważność: Wysoka

Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Ważność: Wysoka

Serwery SQL powinny mieć zainicjowaną aprowizację administratora Microsoft Entra

Ważność: Wysoka

Serwery SQL powinny mieć skonfigurowaną ocenę luk w zabezpieczeniach

Opis: Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. (Powiązane zasady: Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL.

Ważność: Wysoka

Konto magazynu powinno używać połączenia łącza prywatnego

Opis: Łącza prywatne wymuszają bezpieczną komunikację, zapewniając prywatną łączność z kontem magazynu (powiązane zasady: Konto magazynu powinno używać połączenia łącza prywatnego).

Ważność: średni rozmiar

Konta magazynu powinny być migrowane do nowych zasobów Azure Resource Manager

Description: Aby korzystać z nowych funkcji w Azure Resource Manager, możesz migrować istniejące wdrożenia z klasycznego modelu wdrażania. Resource Manager umożliwia ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na usłudze ARM i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, Azure uwierzytelnianie oparte na usłudze AD oraz obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami. Dowiedz się więcej (Powiązane zasady: Konto magazynu należy migrować do nowych zasobów Azure Resource Manager).

Ważność: Niska

Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego

Description: Wymaganie inspekcji Microsoft Entra ID (Microsoft Entra ID) w celu autoryzowania żądań dotyczących konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń Microsoft Entra ID lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Z tych dwóch typów autoryzacji, Microsoft Entra ID zapewnia doskonałe zabezpieczenia i łatwość korzystania z klucza współużytkowanego i jest zalecana przez Microsoft. (Powiązane zasady: zasady)

Uwaga / Notatka

Niektóre usługi Azure nadal wymagają dostępu klucza współdzielonego do funkcji. Na przykład Microsoft Configuration Manager (SCCM) Cloud Management Gateway (CMG) używa autoryzacji opartej na kluczach udostępnionych dla swoich bazowych kont magazynu. Wyłączenie dostępu do klucza współużytkowanego na kontach magazynu używanych przez grupę CMG powoduje przerwanie działania usługi CMG. Jeśli używasz usługi CMG lub innych usług, które zależą od dostępu do klucza współdzielonego, wyklucz te konta magazynu z tego zalecenia zamiast stosować korygowanie. Zachowaj powiązane Azure Policy w trybie Audit zamiast Deny dla tych kont i udokumentuj uzasadnienie biznesowe wyjątku.

Ważność: średni rozmiar

Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej

Opis: Ochrona kont magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. (Powiązane zasady: Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej).

Ważność: średni rozmiar

Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami

Description: Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail od Defender dla Chmury. (Powiązane zasady: W przypadku problemów z zabezpieczeniami subskrypcje powinny mieć kontaktowy adres e-mail)

Ważność: Niska

Transparent Data Encryption w bazach danych SQL powinny być włączone

Description: Włącz transparent data encryption, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności (powiązane zasady: Transparent Data Encryption w bazach danych SQL powinny być włączone).

Ważność: Niska

Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego

Opis: Przeprowadź inspekcję szablonów konstruktora obrazów maszyny wirtualnej, które nie mają skonfigurowanej sieci wirtualnej. Gdy sieć wirtualna nie jest skonfigurowana, publiczny adres IP jest tworzony i używany zamiast tego, co może bezpośrednio uwidaczniać zasoby w Internecie i zwiększać potencjalny obszar ataków. (Powiązane zasady: Szablony konstruktora obrazów maszyn wirtualnych powinny używać linku prywatnego).

Ważność: średni rozmiar

Web Application Firewall (WAF) należy włączyć dla usługi Application Gateway

Description: Wdróż Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów/regionów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. (Powiązane zasady: Web Application Firewall (WAF) powinny być włączone dla usługi Application Gateway).

Ważność: Niska

Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla usługi Azure Front Door Service

Ważność: Niska

Zalecenia dotyczące danych platformy AWS

Ustawienie "Usuń po zakończeniu" powinno być włączone dla woluminów EBS dołączonych wystąpień

Description: Defender dla Chmury zidentyfikował brakujące wystąpienie dołączone do woluminu EBS "Usuń po zakończeniu". To ustawienie automatycznie usuwa podstawowy magazyn wystąpienia po zakończeniu. Bez niego oddzielone woluminy mogą przechowywać poufne dane, zwiększając ryzyko nieautoryzowanego dostępu i problemów ze zgodnością.

Ważność: Niska

Szyfrowanie usługi AWS Key Management Service należy skonfigurować dla potoku EventBridge

Opis: Konfigurowanie szyfrowania usługi ZARZĄDZANIA kluczami (KMS) platformy AWS dla potoku EventBridge gwarantuje, że dane magazynowane są szyfrowane przy użyciu kluczy kontrolowanych przez klienta, zapewniając rozszerzone możliwości zabezpieczeń i zgodności. Ta miara pozwala lepiej zarządzać kluczami szyfrowania i obracać je zgodnie z wewnętrznymi zasadami lub wymaganiami prawnymi. Jeśli nie zostanie to zaimplementowane, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę AWS, które mogą nie spełniać rygorystycznych standardów zabezpieczeń lub zgodności. To zalecenie jest szczególnie ważne w przypadku organizacji obsługujących poufne lub regulowane dane, takie jak dane osobowe, rejestry finansowe lub własność intelektualna. Aby to zaimplementować, skonfiguruj potok EventBridge tak, aby korzystał z klucza usługi KMS zarządzanego przez klienta w konsoli zarządzania platformy AWS lub za pośrednictwem interfejsu wiersza polecenia platformy AWS.

Ważność: Niska

Szyfrowanie usługi ZARZĄDZANIA kluczami platformy AWS powinno być włączone dla domeny SageMaker

Description: Defender dla Chmury zidentyfikowano, że domena SageMaker używa kluczy usługi KMS zarządzanych przez platformę AWS zamiast kluczy zarządzanych przez klienta. Szyfrowanie usługi KMS platformy AWS chroni dane magazynowane, umożliwiając kontrolowanie zarządzania kluczami, w tym rotację i zapewnianie zgodności z rygorystycznymi wymaganiami dotyczącymi zabezpieczeń. Bez kluczy zarządzanych przez klienta poufne dane mogą być narażone na nieautoryzowany dostęp i niezgodność. Dowiedz się więcej.

Ważność: Niska

Szyfrowanie usługi AWS Key Management Service powinno być włączone w punktach końcowych programu SageMaker

Description: Defender dla Chmury zidentyfikował brak szyfrowania usługi ZARZĄDZANIA kluczami (KMS) platformy AWS w punktach końcowych programu Sagemaker. Szyfrowanie usługi KMS zabezpiecza poufne dane, zarządzając kluczami szyfrowania, w tym ich działaniami cyklu życia, takimi jak generowanie, rotacja i usuwanie. Bez włączonej usługi KMS punkty końcowe ryzykować narażenie na naruszenia danych i nieautoryzowany dostęp. Dowiedz się więcej.

Ważność: średni rozmiar

Rejestrowanie dostępu powinno być włączone dla zasobników LightSail

Description: Defender dla Chmury określono, że rejestrowanie dostępu nie jest skonfigurowane w zasobniku LightSail. Rejestrowanie dostępu rejestruje działania wykonywane w zasobniku i pomaga sprawdzić, czy występują tylko autoryzowane akcje. Bez niego nieautoryzowany dostęp może nie zostać wykryty, co zmniejsza widoczność zabezpieczeń i komplikuje badania kryminalistyczne i reagowanie na zdarzenia.

Ważność: Niska

Eksportowanie dzienników inspekcji powinno być włączone w klastrach usługi Amazon DocumentDB

Description: Defender dla Chmury określono, że eksport dziennika inspekcji do usługi CloudWatch jest wyłączony w klastrach usługi Amazon DocumentDB. Dzienniki inspekcji przechwytują krytyczne informacje o działaniach użytkowników i systemu, które obsługują analizę kryminalistyczną podczas zdarzeń zabezpieczeń. Bez tych informacji istnieje zwiększone ryzyko, że nieautoryzowane akcje mogą pozostać niewykryte, potencjalnie opóźniające reagowanie na zdarzenia i korygowanie.

Ważność: Niska

Automatyczne uaktualnienia wersji pomocniczej powinny być włączone w klastrach pamięciDB

Description: Defender dla Chmury zidentyfikowany klaster usługi MemoryDB bez włączonych automatycznych uaktualnień wersji pomocniczych. Klastry pamięciDB polegają na tych uaktualnieniach, aby automatycznie instalować podstawowe poprawki zabezpieczeń i drobne ulepszenia oprogramowania. Bez tej automatyzacji klastry mogą pozostać narażone na problemy z zabezpieczeniami. Włączenie procesu uaktualniania pomaga zachować niezawodny stan zabezpieczeń.

Ważność: Niska

Automatyczne zasady tworzenia kopii zapasowych powinny być włączone w klastrach AlloyDB

Description: Defender dla Chmury określono, że zasady automatycznej kopii zapasowej są wyłączone dla klastra AlloyDB, co oznacza, że codzienne migawki odzyskiwania nie są tworzone automatycznie. Bez tych kopii zapasowych klastry są narażone na zagrożenia, takie jak utrata danych przed przypadkowym usunięciem lub oprogramowaniem wymuszającym okup, co może naruszyć wymagania dotyczące odzyskiwania po awarii i zgodności.

Ważność: średni rozmiar

Automatyczne przechowywanie migawek powinno być włączone dla klastrów Redshift

Description: Defender dla Chmury zidentyfikował, że automatyczne przechowywanie migawek nie jest włączone dla klastra Amazon Redshift. Automatyczne migawki zapewniają możliwości odzyskiwania do punktu w czasie dla magazynu danych. Bez odpowiedniego przechowywania dane odzyskiwania krytycznego mogą zostać utracone, zwiększając ryzyko utraty danych z powodu przypadkowego usunięcia, uszkodzenia lub ataków wymuszających okup oraz potencjalnie naruszających wymagania dotyczące zgodności.

Ważność: Niska

Automatyczne kopie zapasowe powinny być włączone dla klastrów Elasticache

Description: Defender dla Chmury określono, że automatyczne kopie zapasowe nie są włączone dla klastrów Elasticache. Klastry elasticache są krytycznymi zasobami buforowania, które bez regularnych kopii zapasowych są narażone na utratę danych przed przypadkowymi lub złośliwymi usunięciami. Stwarza to ryzyko wydłużenia przestoju i naruszenia integralności danych, co może mieć wpływ na ogólną niezawodność usługi. Zalecamy włączenie automatycznych kopii zapasowych w celu ochrony danych i utrzymania ciągłości działania.

Ważność: średni rozmiar

Automatyczne kopie zapasowe powinny być włączone dla rozwiązania Elasticache bezserwerowego

Description: Defender dla Chmury określono, że automatyczne kopie zapasowe nie są włączone dla bezserwerowej usługi ElastiCache. Bez okresowych migawek usługa ElastiCache nie ma punktu odzyskiwania w celu przywrócenia danych w przypadkach przypadkowego lub złośliwego usunięcia, co zwiększa ryzyko nieodwracalnej utraty danych. Włączenie automatycznych kopii zapasowych minimalizuje potencjalne zakłócenia i chroni integralność buforowanych danych.

Ważność: średni rozmiar

Automatyczne aktualizacje zabezpieczeń powinny być włączone w klastrach Usługi RedisOSS ElastiCache

Description: Defender dla Chmury określono, że automatyczne uaktualnianie jest wyłączone w klastrach Usługi RedisOSS ElastiCache. Automatyczne uaktualnianie automatycznie instaluje najnowsze poprawki zabezpieczeń i aktualizacje oprogramowania, aby chronić węzły klastra przed znanymi lukami w zabezpieczeniach. Stwarza to ryzyko, pozostawiając klastry otwarte dla cyberataków, które wykorzystują nieaktualne oprogramowanie. Dowiedz się więcej.

Ważność: Niska

Automatyczne migawki powinny być włączone dla klastrów usługi MemoryDB

Description: Defender dla Chmury zidentyfikowany klaster usługi MemoryDB bez automatycznej konfiguracji migawki. Automatyczna migawka automatycznie zachowuje migawki zasobów przez określony czas, zapewniając dostępność krytycznych danych odzyskiwania po zdarzeniach. Bez niego istnieje zwiększone ryzyko utraty danych poprzez przypadkowe usunięcie lub uszkodzenie.

Ważność: średni rozmiar

Przechowywanie kopii zapasowych powinno być włączone dla usługi LightSail Relational Database Service

Description: Defender dla Chmury zidentyfikował, że przechowywanie kopii zapasowych jest wyłączone w usłudze relacyjnej bazy danych LightSail. Przechowywanie kopii zapasowych automatycznie zapisuje kopie zapasowe bazy danych w czasie, dzięki czemu można przywrócić dane w przypadku przypadkowego usunięcia lub złośliwego uszkodzenia. Bez niego odzyskiwanie staje się trudniejsze i ryzykujesz utratę up-todanych daty, jeśli osoba atakująca naruszy bezpieczeństwo bazy danych.

Ważność: średni rozmiar

Szerokie role właściciela lub edytora powinny zostać wyeliminowane z kont usług w zestawach danych BigQuery

Description: Defender dla Chmury zidentyfikowane konta usług z nadmiernymi uprawnieniami do zestawów danych BigQuery. W ocenie odnalezione konta usług mają przypisane szerokie role, takie jak OWNER, WRITER lub roles/bigquery.admin, które zapewniają większy dostęp niż jest to konieczne. Stwarza to ryzyko przenoszenia bocznego i eksfiltracji danych, jeśli te poświadczenia zostaną naruszone. Istotne jest ograniczenie uprawnień do ról, które są zgodne z wymaganiami funkcjonalnymi konta usługi, takimi jak "Podgląd danych BigQuery" lub "Edytor danych BigQuery"

Ważność: Wysoka

Szyfrowanie punktów końcowych klastra powinno być włączone dla klastrów języka DAX

Description: Defender dla Chmury zidentyfikowano, że szyfrowanie punktów końcowych klastra nie jest włączone w klastrach. Szyfrowanie punktu końcowego klastra chroni dane podczas transmisji między klientami a klastrem. Bez niego poufne informacje mogą być przechwytywane lub uzyskiwane przez nieautoryzowane strony, co może potencjalnie naruszać poufność i integralność danych. Włącz szyfrowanie, aby zabezpieczyć dane podczas przesyłania i zmniejszyć ryzyko ataków cybernetycznych.

Ważność: średni rozmiar

Description: Defender dla Chmury zidentyfikował, że temat usługi Amazon SNS jest skonfigurowany do uzyskiwania dostępu między kontami, umożliwiając zewnętrznym kontom platformy AWS interakcję z nim. Dostęp między kontami oznacza, że użytkownicy spoza zaufanego środowiska mogą publikować lub subskrybować tematy. Stwarza to ryzyko, potencjalnie ujawniając poufne powiadomienia nieautoryzowanym stronom i niewłaściwym użyciem. Ograniczenie takiego dostępu pomoże zabezpieczyć temat przed zagrożeniami zewnętrznymi.

Ważność: średni rozmiar

Szyfrowanie KMS zarządzane przez klienta powinno być włączone w agentach Amazon Bedrock

Description: Defender dla Chmury określono, że niestandardowe modele Amazon Bedrock są wdrażane bez szyfrowania kms zarządzanego przez klienta. Modele niestandardowe Amazon Bedrock można tworzyć lub importować bez jawnego wybrania klucza zarządzanego przez klienta, co powoduje szyfrowanie artefaktów modelu za pomocą kluczy zarządzanych przez platformę AWS. Stwarza to ryzyko, zmniejszając kontrolę nad rotacją kluczy, rygorystycznymi zasadami dostępu i przejrzystością inspekcji, co potencjalnie prowadzi do luk w zabezpieczeniach i zgodności.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla domen CodeArtifact

Description: Defender dla Chmury zidentyfikował, że klucze zarządzane przez klienta nie są włączone w domenach. CmKs to klucze szyfrowania, które kontrolujesz, w tym ich cykl życia, rotację i zasady dostępu. Bez konfiguracji cmK domeny polegają wyłącznie na kluczach zarządzanych przez dostawcę, zmniejszając nadzór i potencjalnie pozostawiając poufne dane bardziej narażone na nieautoryzowany dostęp.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla strumieni danych strumieniowych

Description: Defender dla Chmury zidentyfikowane strumienie strumieni danych, które nie używają kluczy szyfrowania Customer-Managed (CMEK). Ta ocena ocenia, czy strumienie strumieni danych mają włączoną funkcję CMEK, która umożliwia bezpośrednią rotację kluczy i zarządzanie zasadami dostępu. Bez klucza CMEK automatyczne szyfrowanie udostępniane przez usługę Google Cloud może nie spełniać rygorystycznych wymagań dotyczących danych poufnych, pozostawiając obciążenie bardziej narażone na potencjalne naruszenie klucza lub nieautoryzowany dostęp. Dowiedz się więcej: https://cloud.google.com/datastream/docs

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla klastrów ElastiCache

Description: Defender dla Chmury zidentyfikowane klastry ElastiCache, które nie mają szyfrowania klucza zarządzanego przez klienta (CMK). Szyfrowanie cmK używa kluczy niestandardowych, które umożliwiają kontrolowaną rotację i rozszerzone zabezpieczenia w porównaniu z kluczami domyślnymi. Stwarza to ryzyko, potencjalnie uwidaczniając klastry w przypadku nieautoryzowanego dostępu do danych i problemów ze zgodnością. Dowiedz się więcej.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla baz danych GCP Spanner

Description: Defender dla Chmury zidentyfikowanych baz danych, które nie są skonfigurowane przy użyciu kluczy szyfrowania zarządzanych przez klienta (CMEK). Klucz CMEK odnosi się do kluczy szyfrowania utworzonych i zarządzanych przez organizację, w przeciwieństwie do kluczy zarządzanych przez platformę. Bez klucza CMEK bazy danych mogą nie spełniać wymagań prawnych lub zasad, potencjalnie uwidaczniając dane w przypadku nieautoryzowanego dostępu lub problemów ze zgodnością z powodu ograniczonej kontroli nad zarządzaniem cyklem życia klucza.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla magazynu pamięci dla wystąpień usługi Redis

Description: Defender dla Chmury określono, że klucze szyfrowania zarządzane przez klienta nie są włączone w przypadku wystąpień magazynu pamięci dla usługi Redis. Ta ocena sprawdza, czy operacje szyfrowania są domyślnie zarządzane wyłącznie przez klucze zarządzane przez firmę Google, co ogranicza rotację kluczy, rejestrowanie inspekcji i ulepszenia kontroli dostępu w odpowiednim czasie. Takie ograniczenia stanowią zagrożenie, potencjalnie zakłócając działania związane z ochroną danych i zgodnością, ponieważ organizacje nie mają wyraźnej własności i ładu nad swoimi kluczami szyfrowania.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone w tematach Pub/Sub

Description: Defender dla Chmury zidentyfikowane tematy Pub/Sub przy użyciu domyślnych kluczy szyfrowania zarządzanych przez firmę Google zamiast kluczy szyfrowania zarządzanych przez klienta (CMEK). Klucz CMEK pozwala kontrolować rotację kluczy i zasady dostępu, przy jednoczesnym poleganiu na domyślnych limitach kluczy kontroli i może zwiększyć ryzyko nieautoryzowanego dostępu i problemów ze zgodnością. Dowiedz się więcej.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla magazynu danych wierzchołka AI

Description: Defender dla Chmury zidentyfikował, że magazyn danych wierzchołka AI nie jest skonfigurowany z kluczami szyfrowania zarządzanego przez klienta (CMK), co oznacza, że opiera się na domyślnym szyfrowaniu zarządzanym przez firmę Google. Stwarza to ryzyko, ponieważ klucze zarządzane przez GCP nie umożliwiają kontrolowania zasad rotacji, ustawiania szczegółowych uprawnień dostępu lub używania kluczy inspekcji, co potencjalnie nie spełnia rygorystycznych wymagań dotyczących zgodności i niezależności danych w regulowanych branżach.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone dla aparatu AI wierzchołków

Description: Defender dla Chmury określono, że wystąpienie aparatu AI wierzchołka nie jest skonfigurowane z kluczami szyfrowania zarządzanego przez klienta (CMK), co oznacza, że jest ono zależne od domyślnego szyfrowania zarządzanego przez firmę Google. Stwarza to ryzyko, ponieważ klucze zarządzane przez GCP nie umożliwiają kontrolowania zasad rotacji, ustawiania szczegółowych uprawnień dostępu lub używania kluczy inspekcji, co potencjalnie nie spełnia rygorystycznych wymagań dotyczących zgodności i niezależności danych w regulowanych branżach.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone w klastrach AlloyDB

Description: Defender dla Chmury określono, że klaster AlloyDB nie jest skonfigurowany przy użyciu kluczy szyfrowania zarządzanego przez klienta (CMK), co oznacza, że jest on oparty na domyślnym szyfrowaniu zarządzanym przez firmę Google. Stwarza to ryzyko, ponieważ klucze zarządzane przez GCP nie umożliwiają kontrolowania zasad rotacji, ustawiania szczegółowych uprawnień dostępu lub używania kluczy inspekcji, co potencjalnie nie spełnia rygorystycznych wymagań dotyczących zgodności i niezależności danych w regulowanych branżach.

Ważność: Niska

Description: Defender dla Chmury zidentyfikowano, że tematy sns platformy AWS używają domyślnego szyfrowania zamiast kluczy zarządzanych przez klienta (CMK). Szyfrowanie cmK umożliwia kontrolowanie zasad kluczy i inspekcji użycia kluczy, oferując lepszą ochronę przed nieautoryzowanym dostępem i obsługą zgodności z wewnętrznymi i regulacyjnymi standardami zabezpieczeń. Ten nadzór nad konfiguracją może uwidaczniać poufne dane w celu zwiększenia ryzyka.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone w repozytoriach usługi Artifact Registry

Description: Defender dla Chmury zidentyfikowano, że repozytoria są zabezpieczone przy użyciu kluczy szyfrowania zarządzanych przez platformę zamiast kluczy szyfrowania zarządzanych przez klienta (CMEK). CMEK to klucze, które kontrolujesz, oferując zaawansowane zarządzanie cyklem życia i ściślejszą kontrolę dostępu. Korzystanie z kluczy zarządzanych przez platformę zwiększa ryzyko luk w zabezpieczeniach ochrony danych i może nie spełniać wymagań dotyczących zgodności. Zalecamy skonfigurowanie klucza CMEK w celu zwiększenia bezpieczeństwa i kontroli szyfrowania.

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone w wystąpieniach magazynu plików

Description: Defender dla Chmury zidentyfikowane wystąpienia magazynu plików bez kluczy szyfrowania Customer-Managed (CMEK). Stwarza to ryzyko zmniejszenia kontroli nad rotacją kluczy szyfrowania i zasadami dostępu w usłudze KMS w chmurze, co może naruszyć zgodność ze standardami prawnymi i organizacyjnymi. Dowiedz się więcej: https://cloud.google.com/filestore/docs/cmek

Ważność: Niska

Klucze szyfrowania zarządzane przez klienta powinny być włączone w klastrach usługi MemoryDB

Description: Defender dla Chmury zidentyfikował, że klaster usługi MemoryDB nie używa kluczy zarządzanych przez klienta (CMK) do szyfrowania. Użycie kluczy zarządzanych przez klienta (CMK) umożliwia rozszerzoną kontrolę nad cyklem życia klucza i szczegółową inspekcją, zapewniając, że praktyki szyfrowania spełniają wymagania dotyczące zgodności.

Ważność: Niska

Szyfrowanie danych magazynowanych powinno być włączone w klastrach ElastiCache

Description: Defender dla Chmury określono, że szyfrowanie magazynowane nie jest włączone w klastrze ElastiCache. Szyfrowanie magazynowane konwertuje przechowywane dane na kryptograficznie bezpieczny format, chroniąc informacje nawet w przypadku naruszenia magazynu bazowego. Bez tego zabezpieczenia może wystąpić nieautoryzowany dostęp lub manipulowanie danymi, ryzykując zgodność i ogólną integralność systemu.

Ważność: średni rozmiar

Ochrona przed usuwaniem bazy danych powinna być włączona dla baz danych GCP Spanner

Description: Defender dla Chmury określono, że ochrona przed usuwaniem bazy danych jest wyłączona dla baz danych. Ochrona przed usunięciem bazy danych zapobiega przypadkowemu lub nieautoryzowanemu usunięciu, wymagając dodatkowego potwierdzenia. Bez tego zabezpieczenia krytyczne dane są narażone na potencjalną utratę błędu ludzkiego lub nieprawidłowo skonfigurowanej automatyzacji.

Ważność: średni rozmiar

Domyślny harmonogram tworzenia kopii zapasowych dla nowych baz danych powinien być włączony

Opis: Włączenie domyślnego harmonogramu tworzenia kopii zapasowych dla nowego wystąpienia spanner zapewnia automatyczną ochronę danych bezpośrednio od utworzenia baz danych. Pomaga to w utrzymywaniu spójnych kopii zapasowych bez ręcznej interwencji i zmniejsza ryzyko błędu ludzkiego. Regularne kopie zapasowe zapewniają opcje odzyskiwania w przypadku przypadkowego usunięcia, uszkodzenia lub awarii systemu. Jeśli domyślny harmonogram tworzenia kopii zapasowych nie jest włączony, nowe bazy danych mogą pozostać niechronione i podatne na zagrożenia, zwiększając ryzyko trwałej utraty danych. Zaleca się włączenie tego ustawienia w celu zwiększenia odporności bazy danych i ciągłości działania.

Ważność: średni rozmiar

Zdefiniowane okresy przechowywania migawek powinny być wymuszane dla klastrów Redshift

Description: Defender dla Chmury zidentyfikować czas nieokreślony przechowywania w migawkach amazon Redshift, gdzie migawki są skonfigurowane do nigdy nie wygasania (okres przechowywania ustawiony na -1). Stwarza to ryzyko gromadzenia niepotrzebnych kosztów magazynowania i długotrwałego ujawnienia potencjalnie poufnych danych. Zdefiniowanie okresu przechowywania gwarantuje, że nieaktualne migawki są automatycznie czyszczone, co zmniejsza zarówno wpływ finansowy, jak i luki w zabezpieczeniach.

Ważność: Niska

Ochrona przed usuwaniem powinna być włączona w klastrach usługi Amazon DocumentDB

Description: Defender dla Chmury zidentyfikował, że ochrona usuwania nie jest włączona w klastrach usługi Amazon DocumentDB. Ochrona przed usunięciem jest zabezpieczeniem uniemożliwiającym przypadkowe lub złośliwe usunięcie klastrów baz danych. Bez niego klastry usługi DocumentDB są narażone na ryzyko nieautoryzowanych usunięcia, co prowadzi do znacznego przestoju i zakłóceń operacyjnych. Aktywuj ochronę przed usunięciem, aby zachować bezpieczeństwo i dostępność danych.

Ważność: średni rozmiar

Ochrona przed usuwaniem powinna być włączona w bazach danych magazynu firestore

Description: Defender dla Chmury zidentyfikowano bazy danych firestore z wyłączoną ochroną usuwania w magazynie firestore. Ochrona przed usunięciem uniemożliwia usunięcie baz danych, chyba że jawnie wyłączono. Bez tego zabezpieczenia przypadkowe lub złośliwe usunięcie może prowadzić do nieodwracalnej utraty danych i zakłóceń operacyjnych w środowiskach produkcyjnych.

Ważność: średni rozmiar

Szyfrowanie podczas przesyłania powinno być włączone w klastrach pamięciDB

Description: Defender dla Chmury określono, że szyfrowanie TLS (Transport Layer Security) nie jest włączone w klastrze usługi MemoryDB. Protokół TLS zabezpiecza dane i komunikację klienta przez szyfrowanie przesyłanych informacji. Bez włączonego protokołu TLS dane przesyłane są podatne na przechwytywanie i modyfikowanie przez nieautoryzowane strony.

Ważność: średni rozmiar

Szyfrowanie podczas przesyłania powinno być włączone w pamięci podręcznej opartej na klastrze

Description: Defender dla Chmury określono, że szyfrowanie podczas przesyłania nie jest włączone w pamięci podręcznej opartej na klastrze używanej przez usługę ElastiCache. Szyfrowanie podczas przesyłania chroni dane podczas przechodzenia między węzłami pamięci podręcznej i aplikacjami klienckimi. Bez niego poufne informacje mogą być narażone na przechwytywanie lub manipulowanie podczas transmisji, co stwarza ryzyko naruszenia zabezpieczeń i niezgodności z najlepszymi rozwiązaniami w zakresie zabezpieczeń.

Ważność: średni rozmiar

Szyfrowanie za pomocą usługi AWS Key Management Service powinno być włączone w usłudze EventBridge Event Bus

Description: Defender dla Chmury zidentyfikował, że magistrala zdarzeń EventBridge nie używa klucza usługi AWS key management zarządzanego przez klienta na potrzeby szyfrowania danych. Klucze usługi KMS zarządzane przez klienta zapewniają rozszerzoną kontrolę nad funkcjami rotacji kluczy, które mają kluczowe znaczenie dla ochrony poufnych danych. Bez tej konfiguracji usługa Event Bus korzysta z kluczy zarządzanych przez platformę AWS, które mogą nie spełniać rygorystycznych standardów zgodności i zabezpieczeń.

Ważność: Niska

Upewnij się, że plany tworzenia kopii zapasowych platformy AWS obejmują akcje kopiowania między regionami lub między kontami

Opis: Plany usługi AWS Backup bez akcji kopiowania między regionami lub między kontami przechowują punkty odzyskiwania w jednej lokalizacji, zwiększając ryzyko utraty danych z powodu awarii regionalnych, naruszenia zabezpieczeń konta lub oprogramowania wymuszającego okup. Konfigurowanie akcji kopiowania zwiększa odporność kopii zapasowych, zapewniając zachowanie punktów odzyskiwania w niezależnych granicach zabezpieczeń i dostępności.

Ważność: Niska

Jawna kontrolka zastąpienia monitu powinna być skonfigurowana dla agentów Amazon Bedrock

Description: Defender dla Chmury zidentyfikowano niekontrolowanych ustawień zastępowania monitów w agentach Amazon Bedrock. Ci agenci, którzy wykonują zadania generowania sztucznej inteligencji, są narażeni na ryzyko, gdy kontrolki zastąpienia monitu są nieprawidłowo skonfigurowane, umożliwiając niebezpieczne instrukcje pomijania ustalonych mechanizmów bezpieczeństwa. Ta błędna konfiguracja może spowodować nieprzewidywalne zachowanie sztucznej inteligencji i potencjalne naruszenia zabezpieczeń lub zgodności, podważając zaufaną operację usług.

Ważność: średni rozmiar

Szyfrowanie podczas przesyłania powinno być włączone dla magazynu pamięci dla wystąpień usługi Redis

Description: Defender dla Chmury zidentyfikowano, że szyfrowanie podczas przesyłania jest wyłączone dla wystąpień magazynu pamięci dla usługi Redis. Szyfrowanie podczas przesyłania, zwykle dostarczane za pośrednictwem protokołu TLS, chroni dane podczas podróży przez sieć. Bez nich poufne dane buforowane są przesyłane w postaci zwykłego tekstu, ujawniając je przechwyceniu, inspekcji ruchu i atakom typu man-in-the-middle, które mogą naruszyć poufność i integralność danych.

Ważność: średni rozmiar

Konfiguracja klucza zarządzanego usługi KMS powinna być włączona na potrzeby szyfrowania po stronie serwera SQS

Description: Defender dla Chmury określono, że kolejka SQS nie jest skonfigurowana do używania kluczy zarządzanych przez usługę KMS na potrzeby szyfrowania po stronie serwera. Klucze zarządzane przez usługę KMS są w pełni kontrolowane przez usługę zarządzania kluczami i zapewniają zwiększony nadzór nad cyklem życia kluczy i inspekcją dostępu. Bez tych mechanizmów kontroli kolejka stoi przed zwiększonym ryzykiem nieautoryzowanego użycia kluczy i zmniejszoną ochronę poufnych danych magazynowanych.

Ważność: średni rozmiar

Mapowanie pól bazy wiedzy powinno być bezpiecznie skonfigurowane w usłudze Amazon Bedrock

Description: Defender dla Chmury zidentyfikowane nieprawidłowo skonfigurowane mapowania pól w bazach wiedzy Amazon Bedrock. Stwarza to ryzyko uszkodzenia osadzania i spowodowania niedokładnego pobierania dokumentu, co potencjalnie prowadzi do niebezpiecznych lub wprowadzających w błąd danych wyjściowych w potokach generowania rozszerzonego pobierania (RAG) podczas mapowania pól wektorów, tekstu i metadanych są niekompletne lub nieprawidłowe.

Ważność: Wysoka

Konfiguracja blokady powinna być włączona w magazynie kopii zapasowych

Description: Defender dla Chmury określono, że konfiguracja blokady nie jest włączona w magazynie kopii zapasowych. Funkcja LockConfiguration zapobiega nieautoryzowanym modyfikacjom lub usuwaniu krytycznych ustawień kopii zapasowej, zapewniając bezpieczeństwo punktów odzyskiwania. Bez tej kontroli magazyn kopii zapasowych jest narażony na przypadkowe lub złośliwe zmiany, które mogą naruszyć odporność danych i integralność kopii zapasowych. Dowiedz się więcej.

Ważność: średni rozmiar

Poświadczenia administratora zarządzanego powinny być włączone dla klastrów Amazon Redshift

Description: Defender dla Chmury zidentyfikowano, że klastry Amazon Redshift nie używają poświadczeń administratora zarządzanego. Poświadczenia zarządzanego administratora obejmują bezpieczne przechowywanie poświadczeń administracyjnych w menedżerze wpisów tajnych platformy AWS z automatyczną rotacją, co minimalizuje ryzyko ujawnienia poświadczeń. Bez tej konfiguracji istnieje zwiększone ryzyko nieautoryzowanego dostępu do bazy danych i potencjalnych naruszeń danych.

Ważność: średni rozmiar

Przechowywanie wersji obiektów powinno być włączone w zasobnikach LightSail

Description: Defender dla Chmury zidentyfikowano, że przechowywanie wersji obiektów jest wyłączone w zasobniku LightSail. Przechowywanie wersji obiektów automatycznie zapisuje i zachowuje historyczne kopie obiektów, co jest niezbędne do odzyskania danych przed przypadkowymi usunięciami, modyfikacjami lub uszkodzeniem. Bez tej funkcji wszelkie nieautoryzowane zmiany lub błędy mogą trwale naruszyć integralność danych.

Ważność: Niska

Przesłonięcia analizatora powinny być wyłączone dla agentów Amazon Bedrock

Description: Defender dla Chmury zidentyfikował niestandardowe ustawienie zastąpienia analizatora (ParserMode = OVERRIDDEN) w agentach Amazon Bedrock. Niestandardowe przesłonięcia analizatora modyfikują domyślny mechanizm analizowania w celu spełnienia określonych wymagań wyjściowych, ale mogą zwiększyć złożoność operacyjną, potencjalnie powodując analizowanie błędów lub ujawnianie luk w zabezpieczeniach, jeśli nie są rygorystyczne konserwowane. Zalecamy wyłączenie tego zastąpienia, chyba że niezbędna jest ścisła weryfikacja danych wyjściowych.

Ważność: Wysoka

Odzyskiwanie do punktu w czasie powinno być włączone dla baz danych magazynu firestore

Description: Defender dla Chmury zidentyfikowano bazy danych firestore z wyłączonym odzyskiwaniem do punktu w czasie (PITR). PitR to funkcja, która umożliwia odzyskiwanie danych z określonego znacznika czasu w okresie przechowywania, chroniąc przed przypadkowymi usunięciami i błędnych zapisów. Bez przywracania do punktu odzyskiwania po awarii bazy danych są zagrożone rozszerzoną utratą danych i potencjalnymi wyzwaniami w przywracaniu integralności danych po zdarzeniach.

Ważność: średni rozmiar

Stan wykonywania monitu powinien być włączony dla krytycznych etapów agenta w usłudze Amazon Bedrock

Description: Defender dla Chmury zidentyfikowano wyłączony stan wykonywania monitu dla krytycznych etapów agenta w usłudze Amazon Bedrock. Kluczowe etapy agenta, takie jak aranżacja i generowanie odpowiedzi bazy wiedzy, są niezbędne do zapewnienia pełnego rozumowania i dokładnych danych wyjściowych. Wyłączenie tych etapów wiąże się z ryzykiem generowania niebezpiecznych, niekompletnych lub nieprawidłowych odpowiedzi, co może prowadzić do naruszenia bezpieczeństwa zachowania agenta i ogólnej integralności systemu.

Ważność: Wysoka

Konfiguracja bloku dostępu publicznego powinna być włączona w punkcie dostępu usługi AWS S3

Description: Defender dla Chmury określono, że konfiguracja bloku dostępu publicznego nie jest włączona w punkcie dostępu usługi AWS S3. Ustawienia bloku dostępu publicznego mają na celu zapobieganie niezamierzonej publicznej ekspozycji przez automatyczne blokowanie publicznego dostępu do zasobów S3 niezależnie od uprawnień na poziomie zasobnika lub obiektu. Bez tego ustawienia istnieje zwiększone ryzyko nieautoryzowanego dostępu do poufnych danych przechowywanych w zasobnikach S3.

Ważność: Wysoka

Description: Defender dla Chmury określono, że tematy SNS mają włączony nieograniczony dostęp wydawcy. To ustawienie umożliwia każdej jednostce publikowanie powiadomień w tematach, co może prowadzić do nieautoryzowanych alertów, spamu, a nawet złośliwych wiadomości, które osłabiają niezawodność i bezpieczeństwo systemu powiadomień. Dzięki ograniczeniu dostępu wydawcy można zminimalizować te zagrożenia i zwiększyć ogólną integralność infrastruktury obsługi komunikatów.

Ważność: Wysoka

Description: Defender dla Chmury określono, że subskrypcje tematów SNS są publicznie dostępne. W tym miejscu "dostęp publiczny" oznacza, że każda jednostka może subskrybować i odbierać powiadomienia, ujawniając system obsługi komunikatów w celu nieautoryzowanego monitorowania i wycieku danych. Takie ujawnienie może umożliwić złośliwym podmiotom przechwycenie lub niewłaściwe użycie poufnych informacji. Zalecamy skonfigurowanie subskrypcji tak, aby zezwalały tylko zatwierdzonym subskrybentom. Dowiedz się więcej.

Ważność: Wysoka

Publiczne domeny poczty e-mail powinny zostać wykluczonych z otrzymywania ról uprzywilejowanych w trybie BigQuery

Description: Defender dla Chmury zidentyfikowane wysoce uprzywilejowane role BigQuery (np. WŁAŚCICIEL, ZAPIS lub Administrator) przypisane do członków z publicznymi domenami poczty e-mail. Publiczne domeny poczty e-mail są zewnętrzne do zarządzania cyklem życia tożsamości organizacji, co stanowi ryzyko nieautoryzowanego modyfikowania, usuwania lub eskalacji uprawnień.

Ważność: Wysoka

Publiczny dostęp do odczytu w zasobnikach LightSail powinien być wyłączony

Description: Defender dla Chmury zidentyfikował, że zasobnik LightSail zezwala na publiczny dostęp do odczytu. To ustawienie umożliwia każdemu użytkownikowi dostęp do przechowywanych obiektów bez uwierzytelniania, co naraża poufne dane na nieautoryzowane narażenie na nieautoryzowane narażenie i wykorzystywanie.

Ważność: Wysoka

Etykiety zasobów należy skonfigurować w repozytoriach rejestru artefaktów

Description: Defender dla Chmury zidentyfikowano brakujące etykiety zasobów w repozytoriach. Etykiety zasobów to pary klucz-wartość, które kategoryzują repozytoria i umożliwiają automatyczne wymuszanie zasad zabezpieczeń. Bez odpowiednich etykiet zwiększa się ryzyko błędów konfiguracji i nieautoryzowanego dostępu z powodu niespójnych mechanizmów kontroli zabezpieczeń.

Ważność: Niska

Bezpieczne łączniki powinny być włączone dla wystąpień AlloyDB

Description: Defender dla Chmury zidentyfikowane niezabezpieczone ustawienia połączenia klienta w wystąpieniu bazy danych AlloyDB. Ocena sprawdza właściwość "Wymagaj łączników", która po ustawieniu wartości false zezwala na bezpośrednie połączenia protokołu PostgreSQL bez bezpiecznego mediatora, takiego jak serwer proxy uwierzytelniania bazy danych AlloyDB. Pomija to uwierzytelnianie oparte na tożsamościach i automatyczne szyfrowanie TLS, zwiększając ryzyko słabszego uwierzytelniania i potencjalnego narażenia niezaszyfrowanego ruchu w ramach VPC.

Ważność: średni rozmiar

Grupy zabezpieczeń należy skonfigurować dla klastrów usługi MemoryDB

Description: Defender dla Chmury zidentyfikowany klaster usługi MemoryDB bez żadnych skonfigurowanych grup zabezpieczeń. Grupy zabezpieczeń działają jako reguły zapory, które regulują zarówno ruch przychodzący, jak i wychodzący dla klastra. Bez nich klaster jest narażony na ryzyko nieautoryzowanego dostępu i potencjalnych naruszeń danych. Włączenie grup zabezpieczeń może znacznie zmniejszyć to ryzyko, zapewniając, że tylko zatwierdzony ruch może uzyskiwać dostęp do klastra usługi MemoryDB.

Ważność: średni rozmiar

Należy skonfigurować grupy zabezpieczeń w celu ograniczenia dostępu do usługi ElastiCache

Description: Defender dla Chmury zidentyfikować niewystarczające konfiguracje grupy zabezpieczeń w usłudze ElastiCache. Grupy zabezpieczeń to filtry sieciowe kontrolujące ruch między zasobami; jeśli nie są prawidłowo skonfigurowane, nie mogą wymuszać ograniczeń dostępu szczegółowego, co potencjalnie naraża pamięć podręczną na nieautoryzowany dostęp i wykorzystanie. Zwiększa to ryzyko naruszeń danych i innych zdarzeń zabezpieczeń. Dowiedz się więcej.

Ważność: Niska

Grupy zabezpieczeń powinny ograniczyć dostęp do usługi ElastiCache

Description: Defender dla Chmury zidentyfikowane ograniczenia grupy zabezpieczeń lax w konfiguracji usługi ElastiCache. Grupy zabezpieczeń działają jako wirtualne zapory, które zarządzają dostępem użytkowników i wystąpień, a niewystarczająca segmentacja może spowodować nieautoryzowany dostęp, zwiększając ryzyko ujawnienia danych i potencjalnego złośliwego działania. Zalecamy przeglądanie i wymuszanie szczegółowych reguł dostępu w celu zapewnienia, że tylko autoryzowani użytkownicy i procesy współdziałają z zasobami ElastiCache.

Ważność: Niska

Dzienniki zabezpieczeń powinny być włączone dla grupy replikacji ElastiCache

Description: Defender dla Chmury określono, że rejestrowanie nie jest włączone dla grupy replikacji elastiCache. To zalecenie zostało wyzwolone po wykryciu braku dzienników aparatu, które przechwytują szczegółowe zdarzenia operacyjne lub dzienniki powolne, które śledzą problemy z opóźnieniami. Bez tych dzienników potencjalne anomalie i nieautoryzowane działania mogą pozostać niewykryte, co zwiększa ryzyko opóźnionego reagowania na zdarzenia lub naruszenia zabezpieczeń. Dowiedz się więcej.

Ważność: Niska

Ograniczanie ryzyka ujawnienia poufnych danych powinno być włączone w danych wyjściowych stosu CloudFormation platformy AWS

Description: Defender dla Chmury zidentyfikowane ujawnione poufne dane wyjściowe w stosie awS CloudFormation. Dane wyjściowe cloudFormation są używane do przekazywania danych między stosami, ale nie powinny zawierać poufnych informacji, takich jak hasła, klucze interfejsu API, tokeny lub poświadczenia. Uwidacznianie tych szczegółów zwiększa ryzyko nieautoryzowanego dostępu do danych. Usuń te dane wyjściowe lub bezpiecznie przechowuj dane tajne przy użyciu menedżera wpisów tajnych platformy AWS lub magazynu parametrów programu SSM. Aby uzyskać więcej szczegółowych informacji, zobacz: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Ważność: Wysoka

Parametry poufne powinny mieć włączony atrybut NoEcho w stosach AWS CloudFormation

Description: Defender dla Chmury zidentyfikowane stosy AWS CloudFormation z parametrami braku atrybutu NoEcho. Atrybut NoEcho maskuje poufne wartości z dzienników i danych wyjściowych, uniemożliwiając poświadczenia i inne poufne dane nieumyślnie uwidocznione. Bez niego stosy mogą wyciekać krytycznych informacji, co zwiększa ryzyko nieautoryzowanego dostępu. Zalecamy zaktualizowanie szablonów w celu uwzględnienia ustawienia NoEcho, jeśli ma to zastosowanie.

Ważność: Wysoka

Szyfrowanie po stronie serwera powinno być włączone dla źródeł danych usługi Amazon Bedrock Knowledge Bases

Description: Defender dla Chmury zidentyfikował brak określonej konfiguracji szyfrowania po stronie serwera w źródłach danych bazy wiedzy Amazon Bedrock. Bez odpowiedniego elementu ServerSideEncryptionConfiguration pozyskane dokumenty, metadane i artefakty przetwarzania mogą być przechowywane niezaszyfrowane lub z kluczami zarządzanymi przez platformę AWS, co zmniejsza kontrolę klienta nad szyfrowaniem, rotacją kluczy i funkcjami inspekcji, co zwiększa ryzyko nieautoryzowanego dostępu do danych i zmniejszenia ładu w zakresie zabezpieczeń.

Ważność: średni rozmiar

Szyfrowanie po stronie serwera powinno być włączone w kolejkach SQS

Description: Defender dla Chmury zidentyfikował, że szyfrowanie po stronie serwera (SSE) nie jest włączone w kolejkach SQS. SSE to metoda, która używa kluczy szyfrowania do przekształcania poufnych danych w nieczytelny format, dopóki nie zostanie prawidłowo odszyfrowana. Bez tego zabezpieczenia kolejki SQS są narażone na nieautoryzowany dostęp do danych, potencjalnie ujawniając poufne informacje i prowadząc do naruszeń danych i problemów ze zgodnością.

Ważność: Wysoka

Należy skonfigurować ścisłe ograniczenia dostępu między kontami w zasobnikach LightSail

Description: Defender dla Chmury zidentyfikowany dostęp między kontami w zasobniku LightSail. Dostęp między kontami występuje, gdy konta platformy AWS spoza zaufanego środowiska mają przyznane uprawnienia dostępu do obiektów zasobnika. Stwarza to ryzyko nieautoryzowanego ujawnienia danych, jeśli te konta zewnętrzne są nieznane lub niemonitorowane. Ograniczenie dostępu wyłącznie do kont z uzasadnionymi potrzebami może pomóc w ochronie poufnych informacji.

Ważność: średni rozmiar

Nieprzyłączone woluminy EBS powinny zostać usunięte lub dołączone do wystąpienia usługi EC2

Description: Defender dla Chmury zidentyfikowany nieprzyłączonego woluminu EBS. Woluminy EBS są trwałymi urządzeniami magazynowymi blokowymi przeznaczonymi do dołączania do wystąpień usługi EC2. Niezałączone woluminy mogą wskazywać oddzielone zasoby z zakończonych wystąpień, zwiększając obszar ataków i prawdopodobnie przechowując poufne dane, które nie otrzymują już aktywnego monitorowania zabezpieczeń.

Ważność: Niska

Niespirowane subskrypcje powinny mieć skonfigurowane zasady wygasania w subskrypcjach Pub/Sub

Description: Defender dla Chmury zidentyfikowano brakujące zasady wygasania w subskrypcjach pub/sub. Zasady wygasania określają, jak długo nieaktywna subskrypcja pozostaje aktywna przed automatycznym usunięciem. Bez tej konfiguracji subskrypcje mogą nadal przechowywać dane na czas nieokreślony, co prowadzi do zwiększenia kosztów magazynowania i większego ryzyka przechowywania poufnych informacji dłużej niż jest to konieczne. Aby uzyskać więcej informacji, odwiedź stronę https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period

Ważność: Niska

Należy usunąć nieużywane domeny CodeArtifact

Description: Defender dla Chmury zidentyfikowane domeny CodeArtifact bez aktywnych repozytoriów lub artefaktów w kodzieArtifact. Nieużywana domena jest taka, która nie obsługuje bieżącej zawartości, ale może nadal przechowywać starsze ustawienia, takie jak nieaktualne uprawnienia lub klucze szyfrowania. Stwarza to ryzyko, rozszerzając obszar ataków płaszczyzny sterowania i potencjalnie zezwalając na nieautoryzowany dostęp. Dowiedz się więcej.

Ważność: Niska

Zalecenia dotyczące danych i sieci międzykategorowych platform AWS/GCP

Szyfrowanie podczas przesyłania powinno być włączone dla magazynu pamięci dla klastrów Redis

Description: Defender dla Chmury zidentyfikował, że w klastrach Usługi Redis brakuje szyfrowania podczas przesyłania. Szyfrowanie podczas przesyłania (TLS) zabezpiecza dane przesyłane między klientami i klastrami Usługi Redis, w tym poświadczenia uwierzytelniania i dane buforowane. Bez protokołu TLS osoby atakujące z dostępem do sieci za pośrednictwem udostępnionych sieci VPN, sieci równorzędnych lub zagrożonych obciążeń mogą przechwytywać lub zmieniać te poufne dane, zwiększając ryzyko ujawnienia i manipulowania danymi.

Ważność: średni rozmiar

Dostęp do sieci publicznej powinien być wyłączony dla usługi LightSail Relational Database Service

Description: Defender dla Chmury określono, że dostęp do sieci publicznej jest włączony w usłudze LightSail Relational Database Service. Dostęp do sieci publicznej oznacza, że baza danych akceptuje połączenia przez Internet, co pomija ograniczenia sieci i ujawnia je nieautoryzowanemu dostępowi. Ta konfiguracja zwiększa ryzyko eksfiltracji danych lub utraty danych, zapewniając potencjalne punkty wejścia dla osób atakujących.

Ważność: Wysoka

Klastry Amazon Aurora powinny mieć włączone wycofywanie

Opis: Ta kontrolka sprawdza, czy klastry Amazon Aurora mają włączone wycofywanie.

Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Zapewniają one również możliwość odzyskiwania systemów. Wycofywanie aurora skraca czas odzyskiwania bazy danych do punktu w czasie. Nie wymaga to przywrócenia bazy danych.

Aby uzyskać więcej informacji na temat wycofywania w programie Aurora, zobacz Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Wycofywanie klastra Aurora DB w podręczniku użytkownika amazon Aurora).

Ważność: średni rozmiar

Migawki amazon EBS nie powinny być publicznie przywracane

Opis: Migawki amazon EBS nie powinny być publicznie przywracane przez wszystkich, chyba że jawnie dozwolone, aby uniknąć przypadkowego ujawnienia danych. Ponadto uprawnienia do zmiany konfiguracji usługi Amazon EBS powinny być ograniczone tylko do autoryzowanych kont platformy AWS.

Ważność: Wysoka

Definicje zadań usługi Amazon ECS powinny mieć bezpieczne tryby sieciowe i definicje użytkowników

Opis: Ta kontrolka sprawdza, czy aktywna definicja zadania usługi Amazon ECS, która ma tryb sieci hosta, ma również definicje kontenera uprzywilejowanego lub użytkownika. Kontrolka kończy się niepowodzeniem dla definicji zadań, które mają tryb sieciowy hosta i definicje kontenera, w których privileged=false lub jest pusty, a user=root lub jest pusty. Jeśli definicja zadania ma podwyższony poziom uprawnień, jest to spowodowane tym, że klient zdecydował się na wykonanie tej konfiguracji. Ta kontrolka sprawdza nieoczekiwaną eskalację uprawnień, gdy definicja zadania ma włączoną sieć hosta, ale klient nie zdecydował się na podniesienie uprawnień.

Ważność: Wysoka

Domeny usługi Amazon Elasticsearch Service powinny szyfrować dane wysyłane między węzłami

Opis: Ta kontrolka sprawdza, czy domeny Amazon ES mają włączone szyfrowanie typu node-to-node. Protokół HTTPS (TLS) może służyć do zapobiegania podsłuchiwanie potencjalnych osób atakujących lub manipulowanie ruchem sieciowym przy użyciu ataków typu person-in-the-middle lub podobnych. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Włączenie szyfrowania węzła do węzła dla domen Amazon ES gwarantuje, że komunikacja wewnątrz klastra jest szyfrowana podczas przesyłania. Może istnieć kara za wydajność skojarzona z tą konfiguracją. Przed włączeniem tej opcji należy pamiętać i przetestować kompromis wydajności.

Ważność: średni rozmiar

Domeny usługi Amazon Elasticsearch Service powinny mieć włączone szyfrowanie magazynowane

Opis: Ważne jest, aby umożliwić szyfrowanie pozostałym domenom Amazon ES w celu ochrony poufnych danych

Ważność: średni rozmiar

Baza danych usługi Amazon RDS powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta

Opis: Ta kontrola identyfikuje bazy danych usług pulpitu zdalnego, które są szyfrowane przy użyciu domyślnych kluczy usługi KMS, a nie z kluczami zarządzanymi przez klienta. W ramach wiodącej praktyki użyj kluczy zarządzanych przez klienta, aby zaszyfrować dane w bazach danych usług pulpitu zdalnego i zachować kontrolę nad kluczami i danymi w poufnych obciążeniach.

Ważność: średni rozmiar

Wystąpienie usługi Amazon RDS powinno być skonfigurowane z ustawieniami automatycznej kopii zapasowej

Opis: Ta kontrola identyfikuje wystąpienia usług pulpitu zdalnego, które nie są ustawiane przy użyciu ustawienia automatycznego tworzenia kopii zapasowej. Jeśli automatyczne tworzenie kopii zapasowej jest ustawione, rdS tworzy migawkę woluminu magazynu wystąpienia bazy danych, tworząc kopię zapasową całego wystąpienia bazy danych, a nie tylko pojedyncze bazy danych, które zapewniają odzyskiwanie do punktu w czasie. Automatyczne tworzenie kopii zapasowej odbywa się w określonym przedziale czasu tworzenia kopii zapasowej i przechowuje kopie zapasowe przez ograniczony okres, zgodnie z definicją w okresie przechowywania. Zaleca się ustawienie automatycznych kopii zapasowych dla krytycznych serwerów usług pulpitu zdalnego, które ułatwiają proces przywracania danych.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny mieć włączone rejestrowanie inspekcji

Opis: Ta kontrolka sprawdza, czy klaster Amazon Redshift ma włączone rejestrowanie inspekcji. Rejestrowanie inspekcji amazon Redshift zawiera dodatkowe informacje o połączeniach i działaniach użytkowników w klastrze. Te dane mogą być przechowywane i zabezpieczone w usłudze Amazon S3 i mogą być pomocne w inspekcjach zabezpieczeń i badaniach. Aby uzyskać więcej informacji, zobacz Rejestrowanie inspekcji bazy danych w Przewodniku zarządzania klastrem Amazon Redshift.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny mieć włączone automatyczne migawki

Opis: Ta kontrolka sprawdza, czy klastry Amazon Redshift mają włączone automatyczne migawki. Sprawdza również, czy okres przechowywania migawki jest większy niż lub równy siedmiu.

Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Zapewniają one możliwość odzyskiwania systemów. Amazon Redshift domyślnie wykonuje okresowe migawki. Ta kontrolka sprawdza, czy automatyczne migawki są włączone i przechowywane przez co najmniej siedem dni. Aby uzyskać więcej informacji na temat automatycznych migawek usługi Amazon Redshift, zobacz Zautomatyzowane migawki w przewodniku zarządzania klastrami Amazon Redshift.

Ważność: średni rozmiar

Klastry Amazon Redshift powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy klastry Amazon Redshift, aby uniknąć dostępności publicznej, oceniając pole "publiclyAccessible" w elemencie konfiguracji klastra.

Ważność: Wysoka

Usługa Amazon Redshift powinna mieć włączone automatyczne uaktualnienia do wersji głównych

Opis: Ta kontrolka sprawdza, czy automatyczne uaktualnienia wersji głównej są włączone dla klastra Amazon Redshift. Włączenie automatycznych uaktualnień wersji głównych gwarantuje, że podczas okna obsługi są instalowane najnowsze aktualizacje wersji głównej klastrów Amazon Redshift. Te aktualizacje mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: średni rozmiar

Kolejki amazon SQS powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy kolejki amazon SQS są szyfrowane w spoczynku. Szyfrowanie po stronie serwera (SSE) umożliwia przesyłanie poufnych danych w zaszyfrowanych kolejkach. Aby chronić zawartość komunikatów w kolejkach, usługa SSE używa kluczy zarządzanych w usłudze AWS KMS. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w Przewodniku dewelopera usługi Amazon Simple Queue Service.

Ważność: średni rozmiar

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń klastra

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS, która ma włączone powiadomienia dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBCluster: [Konserwacja i niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń wystąpienia bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBInstance: [Konserwacja, zmiana konfiguracji i niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana dla krytycznych zdarzeń grupy parametrów bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBParameterGroup: ["configuration","change"]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń grupy zabezpieczeń bazy danych

Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła: Pary klucz-wartość kategorii zdarzeń. DBSecurityGroup: [Konfiguracja, zmiana, niepowodzenie]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Interfejs API Gateway REST i rejestrowanie interfejsu API Protokołu WebSocket powinny być włączone

Opis: Ta kontrolka sprawdza, czy wszystkie etapy interfejsu API REST usługi Amazon API Gateway lub interfejsu API Protokołu WebSocket mają włączone rejestrowanie. Kontrolka kończy się niepowodzeniem, jeśli rejestrowanie nie jest włączone dla wszystkich metod etapu lub jeśli poziom rejestrowania nie jest ani BŁĘDEM, ani INFORMACJAMI. Etapy interfejsu API REST lub WebSocket API powinny mieć włączone odpowiednie dzienniki. Usługa API Gateway REST i rejestrowanie wykonywania interfejsu API Protokołu WebSocket udostępnia szczegółowe rekordy żądań wysyłanych do etapów interfejsu API REST usługi API Gateway i interfejsu API WebSocket. Etapy obejmują odpowiedzi zaplecza integracji interfejsu API, odpowiedzi autoryzatora lambda i identyfikator requestId dla punktów końcowych integracji platformy AWS.

Ważność: średni rozmiar

Dane pamięci podręcznej interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy wszystkie metody w etapach interfejsu API REST usługi API Gateway z włączoną pamięcią podręczną są szyfrowane. Kontrolka kończy się niepowodzeniem, jeśli jakakolwiek metoda na etapie interfejsu API REST usługi API Gateway jest skonfigurowana do buforowania, a pamięć podręczna nie jest szyfrowana. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje kolejny zestaw kontroli dostępu, aby ograniczyć nieautoryzowanym użytkownikom dostęp do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Pamięci podręczne interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.

Ważność: średni rozmiar

Etapy interfejsu API REST usługi API Gateway należy skonfigurować do używania certyfikatów SSL na potrzeby uwierzytelniania zaplecza

Opis: Ta kontrolka sprawdza, czy etapy interfejsu API REST usługi Amazon API Gateway mają skonfigurowane certyfikaty SSL. Systemy zaplecza używają tych certyfikatów do uwierzytelniania żądań przychodzących z usługi API Gateway. Etapy interfejsu API REST usługi API Gateway należy skonfigurować przy użyciu certyfikatów SSL, aby umożliwić systemom zaplecza uwierzytelnianie żądań pochodzących z usługi API Gateway.

Ważność: średni rozmiar

Etapy interfejsu API REST usługi API Gateway powinny mieć włączone śledzenie X-Ray platformy AWS

Opis: Ta kontrolka sprawdza, czy aktywne śledzenie usługi AWS X-Ray jest włączone dla etapów interfejsu API REST usługi Amazon API Gateway. Śledzenie aktywne X-Ray umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Zmiany wydajności mogą spowodować brak dostępności interfejsu API. Śledzenie aktywne X-Ray zapewnia metryki w czasie rzeczywistym żądań użytkowników przepływających przez operacje interfejsu API REST usługi API Gateway i połączone usługi.

Ważność: Niska

Brama interfejsu API powinna być skojarzona z internetową listą ACL zapory aplikacji internetowej platformy AWS

Opis: Ta kontrolka sprawdza, czy na etapie bramy interfejsu API jest używana lista kontroli dostępu do sieci Web zapory aplikacji internetowej (ACL) platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli internetowa lista ACL zapory aplikacji internetowej platformy AWS nie jest dołączona do etapu bramy interfejsu API REST. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie listy ACL, która jest zestawem reguł, które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że etap bramy interfejsu API jest skojarzony z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.

Ważność: średni rozmiar

Rejestrowanie aplikacji i klasycznych modułów równoważenia obciążenia powinno być włączone

Description: Ta kontrolka sprawdza, czy włączono rejestrowanie aplikacji Load Balancer i klasycznej Load Balancer. Kontrolka kończy się niepowodzeniem, jeśli access_logs.s3.enabled ma wartość false. Usługa Elastic Load Balancing udostępnia dzienniki dostępu, które przechwytują szczegółowe informacje o żądaniach wysyłanych do modułu równoważenia obciążenia. Każdy dziennik zawiera informacje, takie jak czas odebrania żądania, adres IP klienta, opóźnienia, ścieżki żądań i odpowiedzi serwera. Dzienniki dostępu umożliwiają analizowanie wzorców ruchu i rozwiązywanie problemów. Aby dowiedzieć się więcej, zobacz dzienniki Access dla klasycznego Load Balancer w Podręczniku użytkownika dla klasycznych modułów równoważenia obciążenia.

Ważność: średni rozmiar

Dołączone woluminy EBS powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy woluminy EBS, które znajdują się w stanie dołączonym, są szyfrowane. Aby przejść tę kontrolę, woluminy EBS muszą być używane i szyfrowane. Jeśli wolumin EBS nie jest dołączony, nie podlega to kontroli. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w woluminach EBS należy włączyć szyfrowanie EBS magazynowane. Szyfrowanie Amazon EBS oferuje proste rozwiązanie szyfrowania dla zasobów EBS, które nie wymaga tworzenia, konserwacji i zabezpieczania własnej infrastruktury zarządzania kluczami. Używa ona kluczy głównych klienta usługi AWS KMS (CMK) podczas tworzenia zaszyfrowanych woluminów i migawek. Aby dowiedzieć się więcej na temat szyfrowania Amazon EBS, zobacz Szyfrowanie Amazon EBS w przewodniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.

Ważność: średni rozmiar

Wystąpienia replikacji usługi AWS Database Migration Service nie powinny być publiczne

Opis: Aby chronić replikowane wystąpienia przed zagrożeniami. Wystąpienie replikacji prywatnej powinno mieć prywatny adres IP, do którego nie można uzyskać dostępu poza siecią replikacji. Wystąpienie replikacji powinno mieć prywatny adres IP, gdy źródłowe i docelowe bazy danych znajdują się w tej samej sieci, a sieć jest połączona z wystąpieniem replikacji VPC przy użyciu sieci VPN, AWS Direct Connect lub komunikacji równorzędnej VPC. Należy również upewnić się, że dostęp do konfiguracji wystąpienia usługi AWS DMS jest ograniczony tylko do autoryzowanych użytkowników. W tym celu należy ograniczyć uprawnienia zarządzania dostępem i tożsamościami użytkowników do modyfikowania ustawień i zasobów usługi AWS DMS.

Ważność: Wysoka

Klasyczne odbiorniki Load Balancer należy skonfigurować z kończeniem żądań PROTOKOŁU HTTPS lub TLS

Description: Ta kontrolka sprawdza, czy odbiorniki klasyczne Load Balancer są skonfigurowane przy użyciu protokołu HTTPS lub TLS dla połączeń frontonu (klienta do load balancer). Kontrolka ma zastosowanie, jeśli klasyczny Load Balancer ma odbiorniki. Jeśli Load Balancer klasyczna nie ma skonfigurowanego odbiornika, kontrolka nie zgłasza żadnych wyników. Kontrolka przechodzi, jeśli odbiorniki klasyczne Load Balancer są skonfigurowane z protokołem TLS lub HTTPS dla połączeń frontonu. Kontrolka kończy się niepowodzeniem, jeśli odbiornik nie jest skonfigurowany z protokołem TLS lub HTTPS dla połączeń frontonu. Przed rozpoczęciem korzystania z modułu równoważenia obciążenia należy dodać co najmniej jeden odbiornik. Odbiornik to proces, który używa skonfigurowanego protokołu i portu do sprawdzania żądań połączenia. Odbiorniki mogą obsługiwać protokoły HTTP i HTTPS/TLS. Zawsze należy używać odbiornika HTTPS lub TLS, aby moduł równoważenia obciążenia działał podczas szyfrowania i odszyfrowywania podczas przesyłania.

Ważność: średni rozmiar

Klasyczne moduły równoważenia obciążenia powinny mieć włączone opróżnianie połączeń

Opis: Ta kontrolka sprawdza, czy klasyczne moduły równoważenia obciążenia mają włączone opróżnianie połączeń. Włączenie opróżniania połączeń w klasycznych modułach równoważenia obciążenia gwarantuje, że moduł równoważenia obciążenia przestanie wysyłać żądania do wystąpień, które są wyrejestrowane lub w złej kondycji. Utrzymuje otwarte istniejące połączenia. Jest to przydatne w przypadku wystąpień w grupach automatycznego skalowania, aby upewnić się, że połączenia nie są nagle przerywane.

Ważność: średni rozmiar

Dystrybucje usługi CloudFront powinny mieć włączoną zaporę aplikacji internetowej platformy AWS

Opis: Ta kontrolka sprawdza, czy dystrybucje usługi CloudFront są skojarzone z zaporą aplikacji internetowej AWS lub listami ACL sieci Web platformy AWS WAFv2. Kontrolka kończy się niepowodzeniem, jeśli dystrybucja nie jest skojarzona z listą ACL sieci Web. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie zestawu reguł nazywanych listą kontroli dostępu do sieci Web (web ACL), które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że dystrybucja usługi CloudFront jest skojarzona z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.

Ważność: średni rozmiar

Dystrybucje CloudFront powinny mieć włączoną funkcję rejestrowania

Opis: Ta kontrola sprawdza, czy rejestrowanie dostępu do serwera jest włączone w dystrybucjach CloudFront. Kontrola kończy się niepowodzeniem, jeśli rejestrowanie dostępu nie jest włączone dla dystrybucji. Dzienniki dostępu cloudFront zawierają szczegółowe informacje o każdym żądaniu użytkownika odbieranych przez usługę CloudFront. Każdy dziennik zawiera informacje, takie jak data i godzina odebrania żądania, adres IP przeglądarki, która złożyła żądanie, źródło żądania i numer portu żądania z przeglądarki. Te dzienniki są przydatne w przypadku aplikacji, takich jak inspekcje zabezpieczeń i dostępu oraz badanie śledcze. Aby uzyskać więcej informacji na temat analizowania dzienników dostępu, zobacz Querying Amazon CloudFront logs (Wykonywanie zapytań dotyczących dzienników usługi Amazon CloudFront) w podręczniku użytkownika amazonthe.

Ważność: średni rozmiar

Dystrybucje CloudFront powinny wymagać szyfrowania podczas przesyłania

Opis: Ta kontrolka sprawdza, czy dystrybucja usługi Amazon CloudFront wymaga, aby osoby przeglądające korzystały bezpośrednio z protokołu HTTPS, czy używa przekierowania. Kontrolka kończy się niepowodzeniem, jeśli parametr ViewerProtocolPolicy ma ustawioną wartość allow-all dla parametru defaultCacheBehavior lub cacheBehaviors. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.

Ważność: średni rozmiar

Dzienniki usługi CloudTrail powinny być szyfrowane podczas magazynowania przy użyciu zestawów CMKs usługi KMS

Opis: Zalecamy skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS. Skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS zapewnia większą poufność kontroli danych dziennika, ponieważ dany użytkownik musi mieć uprawnienia do odczytu S3 w odpowiednim zasobniku dziennika i musi mieć przyznane uprawnienie odszyfrowywania przez zasady klucza zarządzanego przez klienta.

Ważność: średni rozmiar

Połączenia z klastrami Amazon Redshift powinny być szyfrowane podczas przesyłania

Opis: Ta kontrolka sprawdza, czy połączenia z klastrami Amazon Redshift są wymagane do korzystania z szyfrowania podczas przesyłania. Sprawdzanie nie powiedzie się, jeśli parametr klastra Amazon Redshift require_SSL nie jest ustawiony na 1. Protokół TLS może służyć do zapobiegania potencjalnym osobom atakującym korzystania z osób w środku lub podobnych ataków w celu podsłuchiwania lub manipulowania ruchem sieciowym. Powinny być dozwolone tylko szyfrowane połączenia za pośrednictwem protokołu TLS. Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.

Ważność: średni rozmiar

Połączenia z domenami elasticsearch powinny być szyfrowane przy użyciu protokołu TLS 1.2

Opis: Ta kontrolka sprawdza, czy połączenia z domenami elasticsearch są wymagane do korzystania z protokołu TLS 1.2. Sprawdzanie nie powiedzie się, jeśli domena Elasticsearch TLSSecurityPolicy nie jest Policy-Min-TLS-1-2-2019-07. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS. Protokół TLS 1.2 zapewnia kilka ulepszeń zabezpieczeń w porównaniu z poprzednimi wersjami protokołu TLS.

Ważność: średni rozmiar

Tabele DynamoDB powinny mieć włączone odzyskiwanie do punktu w czasie

Opis: Ta kontrolka sprawdza, czy odzyskiwanie do punktu w czasie (PITR) jest włączone dla tabeli Amazon DynamoDB.

Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Zapewniają one również możliwość odzyskiwania systemów. Odzyskiwanie do punktu w czasie bazy danych DynamoDB automatyzuje tworzenie kopii zapasowych dla tabel DynamoDB. Skraca czas odzyskiwania po przypadkowych operacjach usuwania lub zapisu.

Tabele dynamoDB z włączoną usługą PITR można przywrócić do dowolnego punktu w czasie w ciągu ostatnich 35 dni.

Ważność: średni rozmiar

Należy włączyć domyślne szyfrowanie EBS

Opis: Ta kontrolka sprawdza, czy szyfrowanie na poziomie konta jest domyślnie włączone dla usługi Amazon Elastic Block Store (Amazon EBS). Kontrolka kończy się niepowodzeniem, jeśli szyfrowanie na poziomie konta nie jest włączone. Po włączeniu szyfrowania dla konta woluminy Amazon EBS i kopie migawek są szyfrowane w spoczynku. Spowoduje to dodanie kolejnej warstwy ochrony danych. Aby uzyskać więcej informacji, zobacz Szyfrowanie domyślnie w podręczniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.

Następujące typy wystąpień nie obsługują szyfrowania: R1, C1 i M1.

Ważność: średni rozmiar

Środowiska Elastic BeansTalk powinny mieć włączone ulepszone raportowanie kondycji

Opis: Ta kontrolka sprawdza, czy ulepszone raportowanie kondycji jest włączone dla środowisk AWS Elastic Beanstalk. Funkcja Elastic Beanstalk ulepszone raportowanie kondycji umożliwia szybsze reagowanie na zmiany w kondycji podstawowej infrastruktury. Te zmiany mogą spowodować brak dostępności aplikacji. Funkcja Elastic Beanstalk ulepszonego raportowania kondycji udostępnia deskryptor stanu, aby ocenić ważność zidentyfikowanych problemów i zidentyfikować możliwe przyczyny do zbadania. Agent kondycji Elastic Beanstalk, dołączony do obsługiwanych obrazów Amazon Machine Images (AMI), ocenia dzienniki i metryki wystąpień środowiska EC2.

Ważność: Niska

Aktualizacje platformy zarządzanej elastic Beanstalk powinny być włączone

Opis: Ta kontrolka sprawdza, czy aktualizacje platformy zarządzanej są włączone dla środowiska Elastic Beanstalk. Włączenie aktualizacji platformy zarządzanej gwarantuje, że są zainstalowane najnowsze dostępne poprawki, aktualizacje i funkcje środowiska. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: Wysoka

Elastyczne Load Balancer nie powinny mieć wygasłego certyfikatu ACM ani wygasającego w ciągu 90 dni.

Opis: Ta kontrola identyfikuje elastyczne moduły równoważenia obciążenia (ELB), które używają certyfikatów usługi ACM wygasły lub wygasają w ciągu 90 dni. Menedżer certyfikatów platformy AWS (ACM) to preferowane narzędzie do aprowizowania i wdrażania certyfikatów serwera oraz zarządzania nimi. Z usługą ACM. Możesz zażądać certyfikatu lub wdrożyć istniejący certyfikat ACM lub certyfikat zewnętrzny w zasobach platformy AWS. Najlepszym rozwiązaniem jest ponowne importowanie wygasających/wygasłych certyfikatów przy zachowaniu skojarzeń ELB oryginalnego certyfikatu.

Ważność: Wysoka

Rejestrowanie błędów domeny elasticsearch w dziennikach usługi CloudWatch powinno być włączone

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane do wysyłania dzienników błędów do dzienników usługi CloudWatch. Należy włączyć dzienniki błędów dla domen elasticsearch i wysłać te dzienniki do dzienników CloudWatch na potrzeby przechowywania i odpowiedzi. Dzienniki błędów domeny mogą pomóc w inspekcji zabezpieczeń i dostępu oraz mogą pomóc w diagnozowaniu problemów z dostępnością.

Ważność: średni rozmiar

Domeny elasticsearch powinny być skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi. Ta kontrolka kończy się niepowodzeniem, jeśli domena nie używa dedykowanych węzłów głównych. Ta kontrolka przechodzi, jeśli domeny elasticsearch mają pięć dedykowanych węzłów głównych. Jednak użycie więcej niż trzech węzłów głównych może być niepotrzebne w celu ograniczenia ryzyka dostępności i spowoduje zwiększenie kosztów. Domena Elasticsearch wymaga co najmniej trzech dedykowanych węzłów głównych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Zasoby dedykowanego węzła głównego mogą być przeciążone podczas wdrożeń niebieski/zielonych węzłów danych, ponieważ istnieje więcej węzłów do zarządzania. Wdrożenie domeny Elasticsearch z co najmniej trzema dedykowanymi węzłami głównymi zapewnia wystarczającą pojemność zasobu węzła głównego i operacje klastra w przypadku awarii węzła.

Ważność: średni rozmiar

Domeny elasticsearch powinny mieć co najmniej trzy węzły danych

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema węzłami danych i strefąAwarenessEnabled ma wartość true. Domena Elasticsearch wymaga co najmniej trzech węzłów danych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Wdrożenie domeny Elasticsearch z co najmniej trzema węzłami danych zapewnia operacje klastra w przypadku awarii węzła.

Ważność: średni rozmiar

Domeny Elasticsearch powinny mieć włączone rejestrowanie inspekcji

Opis: Ta kontrolka sprawdza, czy domeny elasticsearch mają włączone rejestrowanie inspekcji. Ta kontrolka kończy się niepowodzeniem, jeśli domena Elasticsearch nie ma włączonego rejestrowania inspekcji. Dzienniki inspekcji są wysoce konfigurowalne. Umożliwiają one śledzenie aktywności użytkowników w klastrach Elasticsearch, w tym sukcesów i niepowodzeń uwierzytelniania, żądań do usługi OpenSearch, zmian indeksu i przychodzących zapytań wyszukiwania.

Ważność: średni rozmiar

Należy skonfigurować rozszerzone monitorowanie dla wystąpień i klastrów bazy danych usług pulpitu zdalnego

Opis: Ta kontrolka sprawdza, czy ulepszone monitorowanie jest włączone dla wystąpień usługi RDS DB. W usłudze Amazon RDS rozszerzone monitorowanie umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Te zmiany wydajności mogą spowodować brak dostępności danych. Rozszerzone monitorowanie zapewnia metryki w czasie rzeczywistym systemu operacyjnego, na których działa wystąpienie usługi RDS DB. Agent jest instalowany na wystąpieniu. Agent może uzyskać metryki dokładniej niż jest to możliwe w warstwie funkcji hypervisor. Rozszerzone metryki monitorowania są przydatne, gdy chcesz zobaczyć, jak różne procesy lub wątki w wystąpieniu bazy danych używają procesora CPU. Aby uzyskać więcej informacji, zobacz Rozszerzone monitorowanie w podręczniku użytkownika usługi Amazon RDS.

Ważność: Niska

Upewnij się, że włączono rotację utworzonych przez klienta zestawów cmks

Opis: usługa AWS usługa zarządzania kluczami (KMS) umożliwia klientom obracanie klucza zapasowego, który jest kluczowym materiałem przechowywanym w usłudze KMS powiązanym z identyfikatorem klucza klucza głównego klienta utworzonego przez klienta (CMK). Jest to klucz zapasowy używany do wykonywania operacji kryptograficznych, takich jak szyfrowanie i odszyfrowywanie. Automatyczna rotacja kluczy zachowuje obecnie wszystkie wcześniejsze klucze zapasowe, dzięki czemu odszyfrowywanie zaszyfrowanych danych może odbywać się w sposób niewidoczny. Zaleca się włączenie rotacji kluczy cmK. Rotacja kluczy szyfrowania pomaga zmniejszyć potencjalny wpływ naruszonego klucza, ponieważ dane zaszyfrowane przy użyciu nowego klucza nie mogą być dostępne przy użyciu poprzedniego klucza, który mógł zostać ujawniony.

Ważność: średni rozmiar

Upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3

Opis: Rejestrowanie dostępu do zasobnika S3 generuje dziennik zawierający rekordy dostępu upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3 dla każdego żądania skierowanego do zasobnika S3. Rekord dziennika dostępu zawiera szczegółowe informacje o żądaniu, takie jak typ żądania, zasoby określone w żądaniu zadziałały oraz godzina i data przetworzenia żądania. Zaleca się włączenie rejestrowania dostępu do zasobnika w zasobniku CloudTrail S3. Włączenie rejestrowania zasobnika S3 na docelowych zasobnikach S3 umożliwia przechwycenie wszystkich zdarzeń, które mogą mieć wpływ na obiekty w zasobnikach docelowych. Konfigurowanie dzienników do umieszczenia w oddzielnym zasobniku umożliwia dostęp do informacji dziennika, które mogą być przydatne w przepływach pracy reagowania na zdarzenia i zabezpieczenia.

Ważność: Niska

Upewnij się, że zasobnik S3 używany do przechowywania dzienników usługi CloudTrail nie jest publicznie dostępny

Opis: CloudTrail rejestruje rekord każdego wywołania interfejsu API wykonanego na koncie platformy AWS. Te pliki dziennika są przechowywane w zasobniku S3. Zaleca się, aby zasady zasobnika lub lista kontroli dostępu (ACL) były stosowane do zasobnika S3, które rejestruje usługa CloudTrail, aby zapobiec publicznemu dostępowi do dzienników cloudTrail. Zezwolenie na publiczny dostęp do zawartości dziennika CloudTrail może pomóc przeciwnikowi w identyfikowaniu słabych stron w użyciu lub konfiguracji konta, którego dotyczy problem.

Ważność: Wysoka

Zarządzanie dostępem i tożsamościami nie powinno mieć wygasłych certyfikatów SSL/TLS

Opis: Ta kontrola identyfikuje wygasłe certyfikaty SSL/TLS. Aby włączyć połączenia HTTPS z witryną internetową lub aplikacją na platformie AWS, potrzebny jest certyfikat serwera SSL/TLS. Certyfikaty serwera można przechowywać i wdrażać przy użyciu usługi ACM lub IAM. Usunięcie wygasłych certyfikatów SSL/TLS eliminuje ryzyko przypadkowego wdrożenia nieprawidłowego certyfikatu w zasobie, takim jak AWS Elastic Load Balancer (ELB), co może zaszkodzić wiarygodności aplikacji/witryny internetowej za ELB. Ta kontrola generuje alerty, jeśli istnieją wygasłe certyfikaty SSL/TLS przechowywane w usłudze AWS IAM. Najlepszym rozwiązaniem jest usunięcie wygasłych certyfikatów.

Ważność: Wysoka

Zaimportowane certyfikaty usługi ACM należy odnowić po określonym przedziale czasu

Opis: Ta kontrolka sprawdza, czy certyfikaty usługi ACM na Twoim koncie są oznaczone do wygaśnięcia w ciągu 30 dni. Sprawdza zarówno zaimportowane certyfikaty, jak i certyfikaty udostępniane przez Menedżera certyfikatów platformy AWS. Usługa ACM może automatycznie odnawiać certyfikaty korzystające z weryfikacji DNS. W przypadku certyfikatów korzystających z weryfikacji poczty e-mail należy odpowiedzieć na adres e-mail weryfikacji domeny. Usługa ACM nie odnawia również automatycznie importowanych certyfikatów. Zaimportowane certyfikaty należy odnowić ręcznie. Aby uzyskać więcej informacji na temat odnawiania zarządzanego certyfikatów usługi ACM, zobacz Zarządzanie odnawianiem certyfikatów usługi ACM w podręczniku użytkownika Menedżera certyfikatów platformy AWS.

Ważność: średni rozmiar

Należy zbadać nadmiernie aprowizowane tożsamości na kontach, aby zmniejszyć indeks pełzania uprawnień (PCI)

Opis: Należy zbadać nadmierną aprowizację tożsamości na kontach w celu zmniejszenia indeksu pełzania uprawnień (PCI) i ochrony infrastruktury. Zmniejsz pci, usuwając nieużywane przypisania uprawnień wysokiego ryzyka. Wysoka wartość PCI odzwierciedla ryzyko związane z tożsamościami z uprawnieniami, które przekraczają normalne lub wymagane użycie.

Ważność: średni rozmiar

Automatyczne uaktualnienia wersji pomocniczej usług pulpitu zdalnego powinny być włączone

Opis: Ta kontrolka sprawdza, czy dla wystąpienia bazy danych usług pulpitu zdalnego są włączone automatyczne uaktualnienia wersji pomocniczej. Włączenie automatycznych uaktualnień wersji pomocniczych gwarantuje, że zainstalowano najnowsze aktualizacje wersji pomocniczej systemu zarządzania relacyjnymi bazami danych (RDBMS). Te uaktualnienia mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.

Ważność: Wysoka

Migawki klastra usług pulpitu zdalnego i migawki bazy danych powinny być szyfrowane w spoczynku

Opis: Ta kontrolka sprawdza, czy migawki bazy danych usług pulpitu zdalnego są szyfrowane. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Może jednak również generować wyniki dla migawek wystąpień bazy danych Aurora DB, wystąpień Bazy danych Neptuna i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że nieuwierzytelniony użytkownik uzyskuje dostęp do danych przechowywanych na dysku. Dane w migawkach usług pulpitu zdalnego powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.

Ważność: średni rozmiar

Klastry usług pulpitu zdalnego powinny mieć włączoną ochronę przed usuwaniem

Opis: Ta kontrolka sprawdza, czy klastry usług pulpitu zdalnego mają włączoną ochronę usuwania. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Włączenie ochrony przed usunięciem klastra to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć klastra usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.

Ważność: Niska

Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane dla wielu Strefy dostępności

Opis: Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane dla wielu przechowywanych danych. Wdrożenie na wiele Strefy dostępności umożliwia zautomatyzowanie Strefy dostępności w celu zapewnienia dostępności trybu failover w przypadku problemu z dostępnością strefy dostępności i podczas regularnych zdarzeń konserwacji usług pulpitu zdalnego.

Ważność: średni rozmiar

Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane do kopiowania tagów do migawek

Opis: Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich klastrów usługi RDS DB, aby można było ocenić ich stan zabezpieczeń i działać na potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne klastry baz danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi swoich nadrzędnych klastrów baz danych.

Ważność: Niska

Wystąpienia usługi RDS DB powinny być skonfigurowane do kopiowania tagów do migawek

Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego są skonfigurowane do kopiowania wszystkich tagów do migawek podczas tworzenia migawek. Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich wystąpień bazy danych usług pulpitu zdalnego, aby można było ocenić ich stan zabezpieczeń i podjąć działania w potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne wystąpienia bazy danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi ich nadrzędnych wystąpień bazy danych.

Ważność: Niska

Wystąpienia usługi RDS DB należy skonfigurować z wieloma Strefy dostępności

Opis: Ta kontrolka sprawdza, czy dla wystąpień usługi RDS DB włączono wysoką dostępność. Wystąpienia usługi RDS DB należy skonfigurować dla wielu Strefy dostępności (AZ). Zapewnia to dostępność przechowywanych danych. Wdrożenia z wieloma az umożliwiają automatyczne przechodzenie w tryb failover, jeśli występuje problem z dostępnością strefy dostępności i podczas regularnej konserwacji usług pulpitu zdalnego.

Ważność: średni rozmiar

Wystąpienia usługi RDS DB powinny mieć włączoną ochronę przed usuwaniem

Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego korzystające z jednego z wymienionych aparatów baz danych mają włączoną ochronę przed usuwaniem. Włączenie ochrony przed usunięciem wystąpienia to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć wystąpienia bazy danych usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.

Ważność: Niska

Wystąpienia usługi RDS DB powinny mieć włączone szyfrowanie magazynowane

Opis: Ta kontrolka sprawdza, czy szyfrowanie magazynu jest włączone dla wystąpień usługi Amazon RDS DB. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w wystąpieniach usługi RDS DB należy skonfigurować wystąpienia bazy danych usług pulpitu zdalnego do szyfrowania w spoczynku. Aby zaszyfrować wystąpienia bazy danych usług pulpitu zdalnego i migawki magazynowane, włącz opcję szyfrowania dla wystąpień bazy danych usług pulpitu zdalnego. Dane zaszyfrowane w spoczynku obejmują podstawowy magazyn dla wystąpień bazy danych, automatyczne kopie zapasowe, repliki do odczytu i migawki. Wystąpienia zaszyfrowanej bazy danych usług pulpitu zdalnego używają otwartego algorytmu szyfrowania AES-256 do szyfrowania danych na serwerze hostujących wystąpienia usługi RDS DB. Po zaszyfrowaniu danych usługa Amazon RDS obsługuje uwierzytelnianie dostępu i odszyfrowywania danych w sposób niewidoczny z minimalnym wpływem na wydajność. Nie musisz modyfikować aplikacji klienckich bazy danych w celu używania szyfrowania. Szyfrowanie usługi Amazon RDS jest obecnie dostępne dla wszystkich aparatów baz danych i typów magazynu. Szyfrowanie usługi Amazon RDS jest dostępne dla większości klas wystąpień bazy danych. Aby dowiedzieć się więcej o klasach wystąpień bazy danych, które nie obsługują szyfrowania usługi Amazon RDS, zobacz Szyfrowanie zasobów usługi Amazon RDS w podręczniku użytkownika usługi Amazon RDS.

Ważność: średni rozmiar

Wystąpienia usługi RDS DB powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy również upewnienie się, że dostęp do konfiguracji wystąpienia usług pulpitu zdalnego jest ograniczony tylko do autoryzowanych użytkowników, ograniczając uprawnienia użytkowników do zarządzania dostępem i tożsamościami do modyfikowania ustawień i zasobów wystąpień usług pulpitu zdalnego.

Ważność: Wysoka

Migawki usług pulpitu zdalnego powinny uniemożliwiać dostęp publiczny

Opis: Zalecamy zezwolenie tylko autoryzowanym podmiotom zabezpieczeń na dostęp do migawki i zmianę konfiguracji usługi Amazon RDS.

Ważność: Wysoka

Usuwanie nieużywanych wpisów tajnych menedżera wpisów tajnych

Opis: Ta kontrolka sprawdza, czy dostęp do wpisów tajnych był uzyskiwany w ciągu określonej liczby dni. Wartość domyślna to 90 dni. Jeśli dostęp do wpisu tajnego nie był uzyskiwany w ciągu zdefiniowanej liczby dni, ta kontrolka kończy się niepowodzeniem. Usuwanie nieużywanych wpisów tajnych jest równie ważne, jak rotacja wpisów tajnych. Nieużywane wpisy tajne mogą być nadużywane przez ich byłych użytkowników, którzy nie potrzebują już dostępu do tych wpisów tajnych. Ponadto, ponieważ więcej użytkowników uzyskuje dostęp do wpisu tajnego, ktoś mógł źle pracować i wyciekł go do nieautoryzowanej jednostki, co zwiększa ryzyko nadużyć. Usunięcie nieużywanych wpisów tajnych pomaga odwołać dostęp tajny od użytkowników, którzy już ich nie potrzebują. Pomaga również zmniejszyć koszty korzystania z menedżera wpisów tajnych. W związku z tym ważne jest rutynowe usuwanie nieużywanych wpisów tajnych.

Ważność: średni rozmiar

Zasobniki S3 powinny mieć włączoną replikację między regionami

Opis: Włączenie replikacji między regionami S3 zapewnia dostępność wielu wersji danych w różnych regionach. Dzięki temu można chronić zasobnik S3 przed atakami DDoS i zdarzeniami uszkodzenia danych.

Ważność: Niska

Zasobniki S3 powinny mieć włączone szyfrowanie po stronie serwera

Opis: Włącz szyfrowanie po stronie serwera, aby chronić dane w zasobnikach S3. Szyfrowanie danych może uniemożliwić dostęp do poufnych danych w przypadku naruszenia zabezpieczeń danych.

Ważność: średni rozmiar

Wpisy tajne menedżera wpisów tajnych skonfigurowanych z automatycznym obracaniem powinno się pomyślnie obracać

Opis: Ta kontrolka sprawdza, czy wpis tajny menedżera wpisów tajnych platformy AWS został pomyślnie obracany na podstawie harmonogramu rotacji. Kontrolka kończy się niepowodzeniem, jeśli wartość RotationOccurringAsScheduled ma wartość false. Kontrolka nie ocenia wpisów tajnych, które nie mają skonfigurowanej rotacji. Menedżer wpisów tajnych pomaga zwiększyć poziom zabezpieczeń organizacji. Wpisy tajne obejmują poświadczenia bazy danych, hasła i klucze interfejsu API innych firm. Menedżer wpisów tajnych umożliwia centralne przechowywanie wpisów tajnych, automatyczne szyfrowanie wpisów tajnych, kontrolowanie dostępu do wpisów tajnych oraz bezpieczne i automatyczne obracanie wpisów tajnych. Menedżer wpisów tajnych może obracać wpisy tajne. Rotacja służy do zastępowania długoterminowych wpisów tajnych krótkoterminowymi. Rotacja wpisów tajnych ogranicza czas, przez jaki nieautoryzowany użytkownik może używać naruszonego wpisu tajnego. Z tego powodu należy często wymieniać wpisy tajne. Oprócz konfigurowania wpisów tajnych do automatycznego obracania, należy upewnić się, że te wpisy tajne zostaną pomyślnie obracane na podstawie harmonogramu rotacji. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.

Ważność: średni rozmiar

Wpisy tajne menedżera wpisów tajnych powinny być obracane w ciągu określonej liczby dni

Opis: Ta kontrolka sprawdza, czy wpisy tajne zostały obrócone co najmniej raz w ciągu 90 dni. Rotacja wpisów tajnych może pomóc zmniejszyć ryzyko nieautoryzowanego użycia wpisów tajnych na koncie platformy AWS. Przykłady obejmują poświadczenia bazy danych, hasła, klucze interfejsu API innych firm, a nawet dowolny tekst. Jeśli nie zmienisz wpisów tajnych przez długi czas, wpisy tajne będą bardziej narażone na naruszenie zabezpieczeń. W miarę jak coraz więcej użytkowników uzyskuje dostęp do wpisu tajnego, może stać się bardziej prawdopodobne, że ktoś błędnie potraktował go i wyciekł do nieautoryzowanej jednostki. Wpisy tajne można wyciekać za pośrednictwem dzienników i danych pamięci podręcznej. Można je udostępniać do celów debugowania, a nie zmieniać ani odwoływać po zakończeniu debugowania. Ze wszystkich tych powodów wpisy tajne powinny być często obracane. Wpisy tajne można skonfigurować pod kątem automatycznej rotacji w programie AWS Secrets Manager. Dzięki automatycznej rotacji można zastąpić długoterminowe wpisy tajne krótkoterminowymi, co znacznie zmniejsza ryzyko naruszenia zabezpieczeń. Usługa Security Hub zaleca włączenie rotacji dla wpisów tajnych menedżera wpisów tajnych. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.

Ważność: średni rozmiar

Opis: Ta kontrolka sprawdza, czy temat SNS jest szyfrowany w spoczynku przy użyciu usługi AWS KMS. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje również kolejny zestaw kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu użytkowników do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Tematy SNS powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w przewodniku dla deweloperów usługi Amazon Simple Notification Service.

Ważność: średni rozmiar

Rejestrowanie przepływu VPC powinno być włączone we wszystkich sieciach VPN

Opis: Dzienniki przepływu VPC zapewniają wgląd w ruch sieciowy przechodzący przez VPC i mogą służyć do wykrywania nietypowego ruchu lub szczegółowych informacji podczas zdarzeń zabezpieczeń.

Ważność: średni rozmiar

Zalecenia dotyczące danych GCP

Upewnij się, że flaga bazy danych "3625 (flaga śledzenia)" dla wystąpienia usługi Cloud SQL SQL Server jest ustawiona na "wyłączone"

Description: Zaleca się ustawienie flagi bazy danych "3625 (flaga śledzenia)" dla wystąpienia usługi Cloud SQL SQL Server na "wyłączone". Flagi śledzenia są często używane do diagnozowania problemów z wydajnością lub debugowania procedur składowanych lub złożonych systemów komputerowych, ale mogą być również zalecane przez pomoc techniczna firmy Microsoft w celu rozwiązania problemu, które negatywnie wpływa na określone obciążenie. Wszystkie udokumentowane flagi śledzenia i te zalecane przez pomoc techniczna firmy Microsoft są w pełni obsługiwane w środowisku produkcyjnym, gdy są używane zgodnie z zaleceniami. "3625(dziennik śledzenia)" ogranicza ilość informacji zwracanych do użytkowników, którzy nie są członkami stałej roli serwera sysadmin, maskując parametry niektórych komunikatów o błędach przy użyciu polecenia "******". Może to pomóc zapobiec ujawnieniu poufnych informacji. Dlatego zaleca się wyłączenie tej flagi. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "włączone skrypty zewnętrzne" dla wystąpienia usługi Cloud SQL SQL Server jest ustawiona na "wyłączone"

Description: Zaleca się ustawienie flagi bazy danych "włączone skrypty zewnętrzne" dla wystąpienia usługi Cloud SQL SQL Server na wyłączone. "Włączone skrypty zewnętrzne" umożliwiają wykonywanie skryptów z określonymi rozszerzeniami języka zdalnego. Ta właściwość jest domyślnie wyłączona. Po zainstalowaniu usług Advanced Analytics Services instalator może opcjonalnie ustawić tę właściwość na wartość true. Ponieważ funkcja "Włączone skrypty zewnętrzne" umożliwia wykonywanie skryptów zewnętrznych dla języka SQL, takich jak pliki znajdujące się w bibliotece języka R, co może niekorzystnie wpłynąć na bezpieczeństwo systemu, dlatego powinno to zostać wyłączone. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: Wysoka

Upewnij się, że flaga bazy danych dostępu zdalnego dla wystąpienia usługi Cloud SQL SQL Server jest ustawiona na "wyłączone"

Description: Zaleca się ustawienie flagi bazy danych "dostęp zdalny" dla wystąpienia usługi Cloud SQL SQL Server na "wyłączone". Opcja "dostęp zdalny" kontroluje wykonywanie procedur składowanych z lokalnych lub zdalnych serwerów, na których są uruchomione wystąpienia SQL Server. Ta wartość domyślna dla tej opcji to 1. Daje to uprawnienie do uruchamiania lokalnych procedur składowanych z serwerów zdalnych lub zdalnych procedur składowanych z serwera lokalnego. Aby zapobiec uruchamianiu lokalnych procedur składowanych z serwera zdalnego lub zdalnych procedur składowanych na serwerze lokalnym, należy to wyłączyć. Opcja Dostęp zdalny kontroluje wykonywanie lokalnych procedur składowanych na serwerach zdalnych lub zdalnych procedurach składowanych na serwerze lokalnym. Funkcja "Dostęp zdalny" może być nadużywana w celu uruchomienia ataku typu "odmowa usługi" (DoS) na serwery zdalne przez odciążanie przetwarzania zapytań do obiektu docelowego, dlatego powinno to być wyłączone. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: Wysoka

Upewnij się, że flaga bazy danych "skip_show_database" dla wystąpienia usługi Cloud SQL Mysql jest ustawiona na wartość "on"

Opis: Zaleca się ustawienie flagi bazy danych "skip_show_database" dla wystąpienia usługi Cloud SQL Mysql na wartość "on". Flaga bazy danych "skip_show_database" uniemożliwia użytkownikom korzystanie z instrukcji SHOW DATABASES, jeśli nie mają uprawnień SHOW DATABASES. Może to poprawić bezpieczeństwo, jeśli masz obawy dotyczące możliwości wyświetlenia baz danych należących do innych użytkowników. Jego wpływ zależy od uprawnień SHOW DATABASES: jeśli wartość zmiennej jest WŁĄCZONa, instrukcja SHOW DATABASES jest dozwolona tylko dla użytkowników, którzy mają uprawnienia SHOW DATABASES, a instrukcja wyświetla wszystkie nazwy baz danych. Jeśli wartość jest wyłączona, opcja SHOW DATABASES jest dozwolona dla wszystkich użytkowników, ale wyświetla nazwy tylko tych baz danych, dla których użytkownik ma uprawnienia SHOW DATABASES lub inne uprawnienia. To zalecenie dotyczy wystąpień bazy danych Mysql.

Ważność: Niska

Upewnij się, że dla wszystkich zestawów danych BigQuery określono domyślny klucz szyfrowania zarządzany przez klienta (CMEK)

Opis: Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Dane są szyfrowane przy użyciu kluczy szyfrowania danych, a same klucze szyfrowania danych są dalej szyfrowane przy użyciu kluczy szyfrowania kluczy. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Jeśli jednak chcesz mieć większą kontrolę, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Aby uzyskać większą kontrolę nad szyfrowaniem, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Ustawienie domyślnego klucza szyfrowania zarządzanego przez klienta (CMEK) dla zestawu danych zapewnia, że wszystkie tabele utworzone w przyszłości będą używać określonego klucza CMEK, jeśli nie podano żadnego innego.

Firma Google nie przechowuje kluczy na swoich serwerach i nie może uzyskać dostępu do chronionych danych, chyba że podasz klucz.

Oznacza to również, że jeśli zapomnisz lub utracisz klucz, nie ma możliwości odzyskania klucza przez firmę Google ani odzyskania jakichkolwiek danych zaszyfrowanych przy użyciu utraconego klucza.

Ważność: średni rozmiar

Upewnij się, że wszystkie tabele BigQuery są szyfrowane przy użyciu klucza szyfrowania zarządzanego przez klienta (CMEK)

Opis: Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Dane są szyfrowane przy użyciu kluczy szyfrowania danych, a same klucze szyfrowania danych są dalej szyfrowane przy użyciu kluczy szyfrowania kluczy. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Jeśli jednak chcesz mieć większą kontrolę, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla zestawów danych BigQuery. Jeśli klucz CMEK jest używany, klucz CMEK jest używany do szyfrowania kluczy szyfrowania danych zamiast przy użyciu kluczy szyfrowania zarządzanych przez firmę Google. Funkcja BigQuery domyślnie szyfruje dane jako pozostałe, stosując szyfrowanie kopert przy użyciu zarządzanych przez firmę Google kluczy kryptograficznych. Jest to bezproblemowe i nie wymaga żadnych dodatkowych danych wejściowych od użytkownika. Aby uzyskać większą kontrolę nad szyfrowaniem, klucze szyfrowania zarządzane przez klienta (CMEK) mogą być używane jako rozwiązanie do zarządzania kluczami szyfrowania dla tabel BigQuery. Klucz CMEK służy do szyfrowania kluczy szyfrowania danych zamiast używania kluczy szyfrowania zarządzanych przez firmę Google. BigQuery przechowuje tabelę i skojarzenie CMEK, a szyfrowanie/odszyfrowywanie odbywa się automatycznie. Zastosowanie domyślnych kluczy zarządzanych przez klienta w zestawach danych BigQuery gwarantuje, że wszystkie nowe tabele utworzone w przyszłości będą szyfrowane przy użyciu klucza CMEK, ale istniejące tabele muszą zostać zaktualizowane w celu indywidualnego używania klucza CMEK.

Firma Google nie przechowuje kluczy na swoich serwerach i nie może uzyskać dostępu do chronionych danych, chyba że podasz klucz. Oznacza to również, że jeśli zapomnisz lub utracisz klucz, nie ma możliwości odzyskania klucza przez firmę Google ani odzyskania jakichkolwiek danych zaszyfrowanych przy użyciu utraconego klucza.

Ważność: średni rozmiar

Upewnij się, że zestawy danych BigQuery nie są anonimowe ani publicznie dostępne

Opis: Zaleca się, aby zasady zarządzania dostępem i tożsamościami w zestawach danych BigQuery nie zezwalały na dostęp anonimowy i/lub publiczny. Udzielanie uprawnień wszystkimUżytkownikom lub wszystkimUżytkownikomAuthenticatedUsers umożliwia każdemu dostęp do zestawu danych. Taki dostęp może nie być pożądany, jeśli dane poufne są przechowywane w zestawie danych. W związku z tym upewnij się, że dostęp anonimowy i/lub publiczny do zestawu danych nie jest dozwolony.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze są skonfigurowane z automatycznymi kopiami zapasowymi

Opis: Zaleca się, aby wszystkie wystąpienia bazy danych SQL zostały ustawione w celu włączenia automatycznych kopii zapasowych. Kopie zapasowe umożliwiają przywrócenie wystąpienia sql w chmurze w celu odzyskania utraconych danych lub odzyskania po wystąpieniu problemu z tym wystąpieniem. Automatyczne kopie zapasowe należy ustawić dla dowolnego wystąpienia zawierającego dane, które powinny być chronione przed utratą lub uszkodzeniem. To zalecenie dotyczy wystąpień SQL Server, PostgreSql, MySql 1 i MySql 2. generacji.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze nie są otwarte na świecie

Opis: Serwer bazy danych powinien akceptować połączenia tylko z zaufanych sieci/adresów IP i ograniczać dostęp ze świata. Aby zminimalizować obszar ataków w wystąpieniu serwera bazy danych, należy zatwierdzić tylko zaufane/znane i wymagane adresy IP w celu nawiązania z nim połączenia. Autoryzowana sieć nie powinna mieć adresów IP/sieci skonfigurowanych do wersji 0.0.0.0/0, co umożliwi dostęp do wystąpienia z dowolnego miejsca na świecie. Należy pamiętać, że autoryzowane sieci mają zastosowanie tylko do wystąpień z publicznymi adresami IP.

Ważność: Wysoka

Upewnij się, że wystąpienia bazy danych SQL w chmurze nie mają publicznych adresów IP

Opis: Zaleca się skonfigurowanie wystąpienia Sql drugiej generacji do używania prywatnych adresów IP zamiast publicznych adresów IP. Aby zmniejszyć obszar ataków organizacji, bazy danych SQL w chmurze nie powinny mieć publicznych adresów IP. Prywatne adresy IP zapewniają lepsze zabezpieczenia sieci i mniejsze opóźnienia aplikacji.

Ważność: Wysoka

Upewnij się, że zasobnik magazynu w chmurze nie jest anonimowo ani publicznie dostępny

Opis: Zalecane jest, aby zasady zarządzania dostępem i tożsamościami w zasobniku magazynu w chmurze nie zezwalały na dostęp anonimowy ani publiczny. Zezwalanie na dostęp anonimowy lub publiczny przyznaje każdemu użytkownikowi uprawnienia dostępu do zawartości zasobnika. Taki dostęp może nie być wymagany, jeśli przechowujesz jakiekolwiek poufne dane. W związku z tym upewnij się, że dostęp anonimowy lub publiczny do zasobnika nie jest dozwolony.

Ważność: Wysoka

Upewnij się, że zasobniki magazynu w chmurze mają włączony jednolity dostęp na poziomie zasobnika

Opis: Zaleca się włączenie dostępu na poziomie jednolitego zasobnika w zasobnikach usługi Cloud Storage. Zaleca się stosowanie jednolitego dostępu na poziomie zasobnika w celu ujednolicenia i uproszczenia sposobu udzielania dostępu do zasobów usługi Cloud Storage. Usługa Cloud Storage oferuje dwa systemy udzielania użytkownikom uprawnień dostępu do zasobników i obiektów: Zarządzanie tożsamościami w chmurze i dostępem (Cloud IAM) oraz listami Access Control (ACL).
Te systemy działają równolegle — aby użytkownik uzyskiwał dostęp do zasobu usługi Cloud Storage, tylko jeden z systemów musi udzielić użytkownikowi uprawnień. Zarządzanie dostępem i tożsamościami w chmurze w chmurze w usłudze Google Cloud umożliwia przyznawanie różnych uprawnień na poziomach zasobnika i projektu. Listy ACL są używane tylko przez usługę Cloud Storage i mają ograniczone opcje uprawnień, ale umożliwiają przyznawanie uprawnień dla poszczególnych obiektów.

Aby obsługiwać jednolity system uprawnień, usługa Cloud Storage ma jednolity dostęp na poziomie zasobnika. Użycie tej funkcji wyłącza listy ACL dla wszystkich zasobów magazynu w chmurze: dostęp do zasobów usługi Cloud Storage, a następnie jest udzielany wyłącznie za pośrednictwem funkcji Zarządzania dostępem i tożsamościami w chmurze. Włączenie dostępu na poziomie jednolitego zasobnika gwarantuje, że jeśli zasobnik magazynu nie jest publicznie dostępny, żaden obiekt w zasobniku jest publicznie dostępny.

Ważność: średni rozmiar

Upewnij się, że wystąpienia obliczeniowe mają włączone poufne przetwarzanie

Opis: Usługa Google Cloud szyfruje dane magazynowane i przesyłane, ale dane klientów muszą być odszyfrowywane do przetwarzania. Poufne przetwarzanie to przełomowa technologia, która szyfruje dane w użyciu podczas ich przetwarzania. Poufne środowiska obliczeniowe przechowują dane zaszyfrowane w pamięci i w innych miejscach poza centralną jednostką przetwarzania (CPU). Poufne maszyny wirtualne korzystają z funkcji Secure Encrypted Virtualization (SEV) procesorów AMD EPYC. Dane klienta pozostaną zaszyfrowane, gdy będą używane, indeksowane, odpytywane lub wytrenowane. Klucze szyfrowania są generowane na sprzęcie, na maszynę wirtualną i nie można eksportować. Dzięki wbudowanym optymalizacjom sprzętowym zarówno wydajności, jak i zabezpieczeń nie ma znaczącej kary dla obciążeń poufnego przetwarzania. Poufne przetwarzanie umożliwia klientom poufny kod i inne dane zaszyfrowane w pamięci podczas przetwarzania. Firma Google nie ma dostępu do kluczy szyfrowania. Poufne maszyny wirtualne mogą pomóc złagodzić obawy dotyczące ryzyka związanego z zależnością od infrastruktury Google lub dostępu niejawnych testerów firmy Google do danych klientów w przejrzysty sposób.

Ważność: Wysoka

Upewnij się, że zasady przechowywania w zasobnikach dziennika są skonfigurowane przy użyciu blokady zasobnika

Opis: Włączenie zasad przechowywania w zasobnikach dziennika spowoduje ochronę dzienników przechowywanych w zasobnikach magazynu w chmurze przed zastąpieniem lub przypadkowym usunięciem. Zaleca się skonfigurowanie zasad przechowywania i skonfigurowanie blokady zasobnika na wszystkich zasobnikach magazynu, które są używane jako ujścia dzienników. Dzienniki można wyeksportować, tworząc co najmniej jeden ujścia, który zawiera filtr dziennika i miejsce docelowe. Gdy rejestrowanie usługi Stackdriver odbiera nowe wpisy dziennika, są porównywane z każdym ujściem. Jeśli wpis dziennika pasuje do filtru ujścia, kopia wpisu dziennika jest zapisywana w miejscu docelowym. Ujścia można skonfigurować do eksportowania dzienników w zasobnikach magazynu. Zaleca się skonfigurowanie zasad przechowywania danych dla tych zasobników magazynu w chmurze i zablokowanie zasad przechowywania danych; w ten sposób trwale uniemożliwia zmniejszenie lub usunięcie zasad. W ten sposób, jeśli system kiedykolwiek zostanie naruszony przez osobę atakującą lub złośliwego insidera, który chce zakryć swoje ślady, dzienniki aktywności są zdecydowanie zachowywane w przypadku dochodzeń kryminalistycznych i śledczych.

Ważność: Niska

Upewnij się, że wystąpienie bazy danych SQL w chmurze wymaga wszystkich połączeń przychodzących do korzystania z protokołu SSL

Opis: zaleca się wymuszanie wszystkich połączeń przychodzących z wystąpieniem bazy danych SQL w celu używania protokołu SSL. Połączenia z bazą danych SQL, jeśli zostały pomyślnie uwięzione (MITM); może ujawniać poufne dane, takie jak poświadczenia, zapytania bazy danych, dane wyjściowe zapytań itp. W przypadku zabezpieczeń zaleca się zawsze używanie szyfrowania SSL podczas nawiązywania połączenia z wystąpieniem. To zalecenie dotyczy wystąpień Postgresql, MySql 1. generacji i MySql 2. generacji.

Ważność: Wysoka

Upewnij się, że flaga bazy danych "zawarte uwierzytelnianie bazy danych" dla usługi Cloud SQL w wystąpieniu SQL Server jest ustawiona na wartość "off"

Description: Zaleca się ustawienie flagi bazy danych "zawarte uwierzytelnianie bazy danych" dla usługi Cloud SQL w wystąpieniu SQL Server jest ustawiona na wartość "wyłączone". Zawarta baza danych zawiera wszystkie ustawienia bazy danych i metadane wymagane do zdefiniowania bazy danych i nie ma zależności konfiguracji od wystąpienia Database Engine, w którym zainstalowano bazę danych. Użytkownicy mogą łączyć się z bazą danych bez uwierzytelniania logowania na poziomie Database Engine. Izolowanie bazy danych z Database Engine umożliwia łatwe przenoszenie bazy danych do innego wystąpienia SQL Server. Zawarte bazy danych mają pewne unikatowe zagrożenia, które powinny być zrozumiałe i ograniczane przez administratorów SQL Server Database Engine. Większość zagrożeń jest związanych z procesem uwierzytelniania USER WITH PASSWORD, który przenosi granicę uwierzytelniania z poziomu Database Engine do poziomu bazy danych, dlatego zaleca się wyłączenie tej flagi. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "łączenie łańcuchów własności między bazami danych" dla wystąpienia usługi Cloud SQL SQL Server jest ustawiona na wartość "off"

Description: Zaleca się ustawienie flagi bazy danych "cross db ownership chaining" dla wystąpienia usługi Cloud SQL SQL Server na wartość "off". Użyj opcji "własność między bazami danych", aby skonfigurować łańcuch własności między bazami danych dla wystąpienia Microsoft SQL Server. Ta opcja serwera umożliwia kontrolowanie łańcucha własności między bazami danych na poziomie bazy danych lub zezwalanie na łańcuch własności między bazami danych dla wszystkich baz danych. Włączenie "własności między bazami danych" nie jest zalecane, chyba że wszystkie bazy danych hostowane przez wystąpienie SQL Server muszą uczestniczyć w łańcuchu własności między bazami danych i wiesz o implikacjach zabezpieczeń tego ustawienia. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: średni rozmiar

Upewnij się, że flaga bazy danych "local_infile" dla wystąpienia usługi Cloud SQL Mysql jest ustawiona na wartość "off"

Opis: zaleca się ustawienie flagi bazy danych local_infile dla wystąpienia usługi Cloud SQL MySQL na wyłączone. Flaga local_infile steruje funkcją LOCAL po stronie serwera dla instrukcji LOAD DATA. W zależności od ustawienia local_infile serwer odmawia lub zezwala na lokalne ładowanie danych przez klientów, którzy mają włączone lokalne po stronie klienta. Aby jawnie spowodować, że serwer odmówi instrukcji LOAD DATA LOCAL (niezależnie od tego, jak programy klienckie i biblioteki są skonfigurowane w czasie kompilacji lub czasie wykonywania), zacznij od mysqld local_infile wyłączone. local_infile można również ustawić w czasie wykonywania. Ze względu na problemy z zabezpieczeniami skojarzone z flagą local_infile zaleca się jego wyłączenie. To zalecenie dotyczy wystąpień bazy danych MySQL.

Ważność: średni rozmiar

Upewnij się, że istnieje filtr metryk dzienników i alerty dotyczące zmian uprawnień zarządzanie dostępem i tożsamościami w usłudze Cloud Storage

Opis: Zaleca się ustanowienie filtru metryki i alarmu dla zmian IAM zasobnika magazynu w chmurze. Monitorowanie zmian uprawnień zasobnika magazynu w chmurze może skrócić czas potrzebny do wykrywania i poprawiania uprawnień do poufnych zasobników i obiektów magazynu w chmurze w zasobniku.

Ważność: Niska

Upewnij się, że dla zmian konfiguracji wystąpienia SQL istnieją filtry metryk dzienników i alerty

Opis: Zaleca się ustanowienie filtru metryki i alarmu dla zmian konfiguracji wystąpienia SQL. Monitorowanie zmian konfiguracji wystąpienia SQL może skrócić czas potrzebny na wykrywanie i poprawianie błędów konfiguracji na serwerze SQL. Poniżej przedstawiono kilka konfigurowalnych opcji, które mogą mieć wpływ na stan zabezpieczeń wystąpienia SQL:

Włączanie automatycznych kopii zapasowych i wysokiej dostępności: Nieprawidłowa konfiguracja może mieć negatywny wpływ na ciągłość działania, odzyskiwanie po awarii i wysoką dostępność
Autoryzowanie sieci: Błędna konfiguracja może zwiększyć narażenie na niezaufane sieci

Ważność: Niska

Upewnij się, że istnieją tylko klucze konta usługi zarządzane przez usługę GCP dla każdego konta usługi

Opis: Konta usług zarządzanych przez użytkownika nie powinny mieć kluczy zarządzanych przez użytkownika. Każda osoba, która ma dostęp do kluczy, będzie mogła uzyskiwać dostęp do zasobów za pośrednictwem konta usługi. Klucze zarządzane przez GCP są używane przez usługi platformy w chmurze, takie jak App Engine i Compute Engine. Nie można pobrać tych kluczy. Google będzie przechowywać klucze i automatycznie obracać je w przybliżeniu co tydzień. Klucze zarządzane przez użytkownika są tworzone, pobierane i zarządzane przez użytkowników. Wygasają 10 lat od utworzenia. W przypadku kluczy zarządzanych przez użytkownika użytkownik musi przejąć własność działań związanych z zarządzaniem kluczami, które obejmują:

Magazyn kluczy
Dystrybucja kluczy
Odwołanie klucza
Wymiana kluczy
Ochrona klucza przed nieautoryzowanymi użytkownikami
Odzyskiwanie klucza

Nawet w przypadku środków ostrożności właściciela kluczy można łatwo wyciekać przez mniej niż optymalne typowe rozwiązania programistyczne, takie jak sprawdzanie kluczy w kodzie źródłowym lub pozostawienie ich w katalogu Pobrane lub przypadkowe pozostawienie ich na blogach/kanałach pomocy technicznej. Zaleca się zapobieganie kluczom konta usługi zarządzanej przez użytkownika.

Ważność: Niska

Upewnij się, że flaga bazy danych "połączenia użytkownika" dla wystąpienia usługi Cloud SQL SQL Server jest ustawiona zgodnie z potrzebami

Description: Zaleca się ustawienie flagi bazy danych "połączenia użytkownika" dla wystąpienia usługi Cloud SQL SQL Server zgodnie z wartością zdefiniowaną przez organizację. Opcja "Połączenia użytkownika" określa maksymalną liczbę równoczesnych połączeń użytkowników dozwolonych w wystąpieniu SQL Server. Rzeczywista dozwolona liczba dozwolonych połączeń użytkowników zależy również od używanej wersji SQL Server, a także limitów aplikacji lub aplikacji i sprzętu. SQL Server zezwala na maksymalnie 32 767 połączeń użytkowników. Ponieważ połączenia użytkowników są opcją dynamiczną (samozastawialną), SQL Server automatycznie dostosowuje maksymalną liczbę połączeń użytkowników zgodnie z potrzebami, aż do dozwolonej maksymalnej wartości. Jeśli na przykład tylko 10 użytkowników jest zalogowanych, przydzielono 10 obiektów połączenia użytkownika. W większości przypadków nie trzeba zmieniać wartości dla tej opcji. Wartość domyślna to 0, co oznacza, że dozwolone są maksymalne (32 767) połączenia użytkowników. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: Niska

Upewnij się, że flaga bazy danych "opcje użytkownika" dla wystąpienia usługi Cloud SQL SQL Server nie jest skonfigurowana

Description: Zaleca się, aby flaga bazy danych "opcje użytkownika" dla wystąpienia usługi Cloud SQL SQL Server nie była skonfigurowana. Opcja "opcje użytkownika" określa globalne wartości domyślne dla wszystkich użytkowników. Lista domyślnych opcji przetwarzania zapytań jest ustanawiana na czas trwania sesji roboczej użytkownika. Ustawienie opcji użytkownika umożliwia zmianę wartości domyślnych opcji SET (jeśli ustawienia domyślne serwera nie są odpowiednie). Użytkownik może zastąpić te wartości domyślne przy użyciu instrukcji SET. Opcje użytkownika można konfigurować dynamicznie dla nowych logowań. Po zmianie ustawienia opcji użytkownika nowe sesje logowania używają nowego ustawienia; Nie ma to wpływu na bieżące sesje logowania. To zalecenie ma zastosowanie do wystąpień bazy danych SQL Server.

Ważność: Niska

Rejestrowanie dla klastrów GKE powinno być włączone

Opis: To zalecenie ocenia, czy właściwość loggingService klastra zawiera lokalizację Rejestrowanie w chmurze, która powinna służyć do zapisywania dzienników.

Ważność: Wysoka

Przechowywanie wersji obiektów powinno być włączone w zasobnikach magazynu, w których skonfigurowano ujścia

Opis: To zalecenie ocenia, czy włączone pole we właściwości przechowywania wersji zasobnika ma wartość true.

Ważność: Wysoka

W celu zmniejszenia indeksu pełzania uprawnień (PCI) należy zbadać nadmierną aprowizację tożsamości w projektach

Opis: Należy zbadać nadmierną aprowizację tożsamości w projektach w celu zmniejszenia indeksu pełzania uprawnień (PCI) i ochrony infrastruktury. Zmniejsz pci, usuwając nieużywane przypisania uprawnień wysokiego ryzyka. Wysoka wartość PCI odzwierciedla ryzyko związane z tożsamościami z uprawnieniami, które przekraczają normalne lub wymagane użycie.

Ważność: średni rozmiar

Projekty z kluczami kryptograficznymi nie powinny mieć użytkowników z uprawnieniami właściciela

Opis: To zalecenie ocenia zasady zezwalania na zarządzanie dostępem i tożsamościami w metadanych projektu dla przypisanych ról podmiotów zabezpieczeń/właściciela.

Ważność: średni rozmiar

Zasobniki magazynu używane jako ujście dziennika nie powinny być publicznie dostępne

Opis: To zalecenie ocenia zasady zarządzania dostępem i tożsamościami zasobnika dla podmiotów zabezpieczeń allUsers lub allAuthenticatedUsers, które udzielają dostępu publicznego.

Ważność: Wysoka

Geograficznie nadmiarowe kopie zapasowe powinny być włączone dla serwerów PostgreSQL

Opis:
Co to jest geograficznie nadmiarowa kopia zapasowa? Geograficznie nadmiarowa kopia zapasowa replikuje kopie zapasowe serwera do sparowanego regionu Azure, zapewniając odporność na awarie regionalne.

Dlaczego jest to kwestia bezpieczeństwa? Jeśli geograficznie nadmiarowe kopie zapasowe są wyłączone, regionalna awaria może spowodować utratę danych i dłuższy przestój, co wpływa na dostępność i zgodność.

W jaki sposób atakujący mogą go wykorzystać lub jak może to prowadzić do naruszeń danych? Chociaż nie można bezpośrednio wykorzystać, brak nadmiarowości geograficznej zwiększa wpływ awarii lub ukierunkowane ataki na pojedynczy region.

Ważność: Niska

require_secure_transport należy ustawić na wartość on dla serwerów Azure Database for PostgreSQL

Opis:
Co to jest require_secure_transport? require_secure_transport to parametr na poziomie serwera, który wymusza użycie protokołu SSL/TLS dla wszystkich połączeń klienta z bazą danych PostgreSQL. Po ustawieniu opcji włączonej klienci muszą łączyć się przy użyciu zaszyfrowanych kanałów.

Dlaczego jest to kwestia bezpieczeństwa? Jeśli to ustawienie jest wyłączone (wyłączone), klienci mogą łączyć się za pośrednictwem niezaszyfrowanych kanałów, ujawniając poufne dane, takie jak poświadczenia, zapytania i wyniki przechwytywania lub manipulowania nimi.

W jaki sposób atakujący mogą go wykorzystać lub jak może to prowadzić do naruszeń danych? Osoba atakująca w sieci może wykonać atak typu man-in-the-middle, przechwytując lub zmieniając dane wymieniane między klientem a serwerem, jeśli szyfrowanie nie jest wymuszane.

Ważność: Wysoka

Prywatny punkt końcowy należy skonfigurować dla serwerów Azure Database for PostgreSQL

Opis:

Co to jest prywatny punkt końcowy? Prywatny punkt końcowy w Azure umożliwia bezpieczny dostęp do zasobów za pośrednictwem prywatnego adresu IP w sieci wirtualnej. W przypadku serwerów Azure Database for PostgreSQL skonfigurowanie prywatnego punktu końcowego gwarantuje, że ruch bazy danych nie przechodzi przez publiczny Internet.

Dlaczego jest to kwestia bezpieczeństwa? Bez prywatnego punktu końcowego serwer może być narażony na dostęp do sieci publicznej, zwiększając ryzyko nieautoryzowanego dostępu, przechwytywania danych i ataków typu "odmowa usługi".

W jaki sposób atakujący mogą go wykorzystać lub jak może to prowadzić do naruszeń danych? Osoba atakująca może skanować publiczne zakresy adresów IP w celu odnalezienia ujawnionych serwerów i podjęcia prób ataków siłowych lub ataków opartych na exploitach. Narażenie publiczne zwiększa również ryzyko eksfiltracji danych za pośrednictwem zagrożonych klientów.

Ważność: Wysoka

Opcja "Zezwalaj na dostęp do usług Azure" powinna być wyłączona dla serwerów PostgreSQL

Opis:

Co to jest opcja "Zezwalaj na dostęp do usług Azure"? To ustawienie tworzy regułę zapory, która zezwala wszystkim usługom Azure na łączenie się z serwerem PostgreSQL. Chociaż jest to wygodne, wprowadza znaczne ryzyko, zezwalając na połączenia z dowolnej subskrypcji Azure.

Dlaczego jest to kwestia bezpieczeństwa? Włączenie tego ustawienia pomija mechanizmy kontroli izolacji sieciowej, co potencjalnie naraża bazę danych na nieautoryzowany dostęp z zewnętrznych dzierżaw Azure.

W jaki sposób atakujący mogą go wykorzystać lub jak może to prowadzić do naruszeń danych? Osoba atakująca działająca z innej subskrypcji Azure może próbować ataków siłowych lub wykorzystać luki w zabezpieczeniach, jeśli ta reguła jest włączona.

Ważność: Wysoka

Opinia

Czy ta strona była pomocna?

Last updated on 2026-04-20