Recomendações de segurança de rede
Este artigo lista todas as recomendações de segurança de rede que você pode ver no Microsoft Defender for Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.
Gorjeta
Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.
Recomendações de rede do Azure
O acesso a contas de armazenamento com firewall e configurações de rede virtual deve ser restrito
Descrição: Reveja as definições de acesso à rede nas definições da firewall da sua conta de armazenamento. Recomendamos configurar regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP públicos da Internet. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede).
Gravidade: Baixa
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet
Descrição: O Defender for Cloud analisou os padrões de comunicação de tráfego da Internet das máquinas virtuais listadas abaixo e determinou que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em um aumento da superfície de ataque potencial. Isso normalmente ocorre quando esse endereço IP não se comunica regularmente com esse recurso. Como alternativa, o endereço IP foi sinalizado como malicioso pelas fontes de inteligência de ameaças do Defender for Cloud. (Política relacionada: As recomendações de proteção de rede adaptativa devem ser aplicadas em máquinas virtuais voltadas para a Internet).
Gravidade: Alta
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual
Descrição: o Defender for Cloud identificou algumas das regras de entrada dos seus grupos de segurança de rede como sendo demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. (Política relacionada: Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual).
Gravidade: Alta
O Azure DDoS Protection Standard deve ser habilitado
Descrição: O Defender for Cloud descobriu redes virtuais com recursos do Application Gateway desprotegidos pelo serviço de proteção contra DDoS. Esses recursos contêm IPs públicos. Habilite a mitigação de ataques volumétricos e de protocolo de rede. (Política relacionada: O Azure DDoS Protection Standard deve estar habilitado).
Gravidade: Média
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Descrição: proteja sua VM contra ameaças potenciais restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua VM de outras instâncias, dentro ou fora da mesma sub-rede. Para manter sua máquina o mais segura possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. As VMs com severidade 'Alta' são VMs voltadas para a Internet. (Política relacionada: As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede).
Gravidade: Alta
O encaminhamento de IP em sua máquina virtual deve ser desabilitado
Descrição: O Defender for Cloud descobriu que o encaminhamento de IP está habilitado em algumas de suas máquinas virtuais. Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. (Política relacionada: O Encaminhamento de IP na sua máquina virtual deve ser desativado).
Gravidade: Média
As máquinas devem ter portas fechadas que possam expor vetores de ataque
Descrição: os termos de utilização do Azure proíbem a utilização dos serviços do Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. Esta recomendação lista as portas expostas que precisam ser fechadas para sua segurança contínua. Também ilustra a ameaça potencial a cada porto. (Nenhuma política relacionada)
Gravidade: Alta
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time
Descrição: o Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso just-in-time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre o acesso à VM just-in-time (JIT). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).
Gravidade: Alta
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais
Descrição: As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. (Política relacionada: As portas de gerenciamento devem ser fechadas em suas máquinas virtuais).
Gravidade: Média
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Descrição: proteja sua máquina virtual não voltada para a Internet contra ameaças potenciais restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua VM de outras instâncias, estejam elas na mesma sub-rede ou não. Observe que, para manter sua máquina o mais segura possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. (Política relacionada: As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede).
Gravidade: Baixa
A transferência segura para contas de armazenamento deve ser ativada
Descrição: A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques de camada de rede, como man-in-the-middle, escutas e sequestro de sessão. (Política relacionada: A transferência segura para contas de armazenamento deve ser ativada).
Gravidade: Alta
As sub-redes devem ser associadas a um grupo de segurança de rede
Descrição: proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um grupo de segurança de rede (NSG). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM e serviços integrados nessa sub-rede, mas não se aplicam ao tráfego interno dentro da sub-rede. Para proteger recursos na mesma sub-rede uns dos outros, habilite o NSG diretamente nos recursos também. Observe que os seguintes tipos de sub-rede serão listados como não aplicáveis: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Política relacionada: As sub-redes devem estar associadas a um Grupo de Segurança de Rede).
Gravidade: Baixa
As redes virtuais devem ser protegidas pelo Firewall do Azure
Descrição: Algumas das suas redes virtuais não estão protegidas por uma firewall. Utilize a Firewall do Azure para restringir o acesso às suas redes virtuais e prevenir potenciais ameaças. (Política relacionada: Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado).
Recomendações de rede da AWS
O Amazon EC2 deve ser configurado para usar VPC endpoints
Descrição: esse controle verifica se um endpoint de serviço para o Amazon EC2 foi criado para cada VPC. O controle falhará se uma VPC não tiver um VPC endpoint criado para o serviço Amazon EC2. Para melhorar a postura de segurança da VPC, você pode configurar o Amazon EC2 para usar um VPC endpoint de interface. Os endpoints de interface são alimentados pelo AWS PrivateLink, uma tecnologia que permite acessar operações de API do Amazon EC2 de forma privada. Ele restringe todo o tráfego de rede entre sua VPC e o Amazon EC2 para a rede da Amazon. Como os endpoints são suportados apenas na mesma região, não é possível criar um ponto de extremidade entre uma VPC e um serviço em uma região diferente. Isso evita chamadas não intencionais à API do Amazon EC2 para outras regiões. Para saber mais sobre como criar VPC endpoints para Amazon EC2, consulte Amazon EC2 e interface VPC endpoints no Guia do usuário do Amazon EC2 para instâncias do Linux.
Gravidade: Média
Os serviços do Amazon ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
Descrição: Um endereço IP público é um endereço IP acessível a partir da Internet. Se você executar suas instâncias do Amazon ECS com um endereço IP público, suas instâncias do Amazon ECS poderão ser acessadas pela Internet. Os serviços do Amazon ECS não devem ser acessíveis publicamente, pois isso pode permitir acesso não intencional aos servidores de aplicativos de contêiner.
Gravidade: Alta
Os nós mestres de cluster do Amazon EMR não devem ter endereços IP públicos
Descrição: esse controle verifica se os nós mestres em clusters do Amazon EMR têm endereços IP públicos. O controle falhará se o nó principal tiver endereços IP públicos associados a qualquer uma de suas instâncias. Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces para a instância. Esse controle verifica apenas os clusters do Amazon EMR que estão em um estado RUNNING ou WAIT.
Gravidade: Alta
Os clusters do Amazon Redshift devem usar roteamento de VPC aprimorado
Descrição: esse controle verifica se um cluster do Amazon Redshift tem EnhancedVpcRouting habilitado. O roteamento aprimorado de VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pela VPC. Em seguida, você pode usar recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Você também pode usar os logs de fluxo da VPC para monitorar o tráfego da rede.
Gravidade: Alta
O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS
Descrição: Para impor a criptografia em trânsito, você deve usar ações de redirecionamento com Application Load Balancers para redirecionar solicitações HTTP do cliente para uma solicitação HTTPS na porta 443.
Gravidade: Média
Os balanceadores de carga do aplicativo devem ser configurados para descartar cabeçalhos HTTP
Descrição: esse controle avalia os AWS Application Load Balancers (ALB) para garantir que eles estejam configurados para descartar cabeçalhos HTTP inválidos. O controle falhará se o valor de routing.http.drop_invalid_header_fields.enabled estiver definido como false. Por padrão, os ALBs não são configurados para descartar valores de cabeçalho HTTP inválidos. A remoção desses valores de cabeçalho evita ataques de dessincronização HTTP.
Gravidade: Média
Configurar funções do Lambda para uma VPC
Descrição: esse controle verifica se uma função do Lambda está em uma VPC. Ele não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. Observe que, se Lambda@Edge for encontrado na conta, esse controle gerará descobertas com falha. Para evitar essas descobertas, você pode desabilitar esse controle.
Gravidade: Baixa
As instâncias do EC2 não devem ter um endereço IP público
Descrição: esse controle verifica se as instâncias do EC2 têm um endereço IP público. O controle falhará se o campo "publicIp" estiver presente no item de configuração da instância do EC2. Este controlo aplica-se apenas a endereços IPv4. Um endereço IPv4 público é um endereço IP acessível a partir da Internet. Se você executar sua instância com um endereço IP público, sua instância do EC2 poderá ser acessada pela Internet. Um endereço IPv4 privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar endereços IPv4 privados para comunicação entre instâncias do EC2 na mesma VPC ou em sua rede privada conectada. Os endereços IPv6 são globalmente únicos e, portanto, podem ser acessados a partir da Internet. No entanto, por padrão, todas as sub-redes têm o atributo de endereçamento IPv6 definido como false. Para obter mais informações sobre IPv6, consulte Endereçamento IP em sua VPC no Guia do usuário da Amazon VPC. Se você tiver um caso de uso legítimo para manter instâncias do EC2 com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre opções de arquitetura de front-end, consulte o blog de arquitetura da AWS ou a série This Is My Architecture.
Gravidade: Alta
As instâncias do EC2 não devem usar vários ENIs
Descrição: esse controle verifica se uma instância do EC2 usa várias Interfaces de Rede Elástica (ENIs) ou Adaptadores de Malha Elástica (EFAs). Esse controle passa se um único adaptador de rede for usado. O controlo inclui uma lista de parâmetros opcional para identificar os ENI autorizados. Várias ENIs podem causar instâncias de hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode adicionar complexidade de segurança de rede e introduzir caminhos de rede e acesso não intencionais.
Gravidade: Baixa
As instâncias do EC2 devem usar o IMDSv2
Descrição: esse controle verifica se a versão de metadados da instância do EC2 está configurada com o IMDSv2 (Instance Metadata Service Versão 2). O controle passa se "HttpTokens" estiver definido como "required" para IMDSv2. O controle falhará se "HttpTokens" estiver definido como "opcional". Você usa metadados de instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e frequentemente rotativas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais para instâncias manualmente ou programaticamente. O IMDS é anexado localmente a cada instância do EC2. Ele é executado em um endereço IP especial 'link local' de 169.254.169.254. Esse endereço IP só é acessível por software executado na instância. A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.
- Abrir firewalls de aplicativos de sites
- Proxies reversos abertos
- Vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF)
- O Security Hub de Camada 3 aberta e NAT (conversão de endereços de rede) recomenda que você configure suas instâncias do EC2 com o IMDSv2.
Gravidade: Alta
As sub-redes do EC2 não devem atribuir automaticamente endereços IP públicos
Descrição: esse controle verifica se a atribuição de IPs públicos em sub-redes da Amazon Virtual Private Cloud (Amazon VPC) tem "MapPublicIpOnLaunch" definido como "FALSE". O controle passa se o sinalizador estiver definido como "FALSE". Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço IPv4 público. As instâncias que são iniciadas em sub-redes que têm esse atributo habilitado têm um endereço IP público atribuído à interface de rede primária.
Gravidade: Média
Verifique se existem um filtro de métrica de log e um alarme para alterações na configuração do AWS Config
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. É recomendável que um filtro métrico e um alarme sejam estabelecidos para detetar alterações nas configurações do CloudTrail. O monitoramento de alterações na configuração do AWS Config ajuda a garantir a visibilidade sustentada dos itens de configuração na conta da AWS.
Gravidade: Baixa
Verifique se existe um filtro de métrica de log e um alarme para falhas de autenticação do Console de Gerenciamento da AWS
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. É recomendável que um filtro métrico e um alarme sejam estabelecidos para tentativas de autenticação de console com falha. O monitoramento de logins de console com falha pode diminuir o tempo de espera para detetar uma tentativa de força bruta de uma credencial, o que pode fornecer um indicador, como IP de origem, que pode ser usado em outra correlação de eventos.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações nas Listas de Controle de Acesso à Rede (NACL)
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. As NACLs são usadas como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída de sub-redes dentro de uma VPC. Recomenda-se que seja estabelecido um filtro métrico e um alarme para as alterações feitas nas NACLs. O monitoramento de alterações em NACLs ajuda a garantir que os recursos e serviços da AWS não sejam expostos involuntariamente.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações em gateways de rede
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os gateways de rede são necessários para enviar/receber tráfego para um destino fora de uma VPC. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações nos gateways de rede. O monitoramento de alterações em gateways de rede ajuda a garantir que todo o tráfego de entrada/saída atravesse a borda da VPC por meio de um caminho controlado.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações de configuração do CloudTrail
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. É recomendável que um filtro métrico e um alarme sejam estabelecidos para detetar alterações nas configurações do CloudTrail.
O monitoramento de alterações na configuração do CloudTrail ajuda a garantir visibilidade sustentada das atividades realizadas na conta da AWS.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para desabilitar ou excluir programadamente CMKs criadas pelo cliente
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para CMKs criadas pelo cliente, que mudaram de estado para exclusão desabilitada ou programada. Os dados encriptados com chaves desativadas ou eliminadas deixarão de estar acessíveis.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações na política do IAM
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos nas alterações feitas nas políticas de Gerenciamento de Identidade e Acesso (IAM). O monitoramento de alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para entrar no Console de Gerenciamento sem MFA
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para logins de console que não estejam protegidos pela autenticação multifator (MFA). O monitoramento de logins de console de fator único aumenta a visibilidade em contas que não são protegidas por MFA.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações na tabela de rotas
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. As tabelas de roteamento são usadas para rotear o tráfego de rede entre sub-redes e gateways de rede. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações nas tabelas de rotas. O monitoramento de alterações nas tabelas de rotas ajuda a garantir que todo o tráfego da VPC flua através de um caminho esperado.
Gravidade: Baixa
Verifique se existe um filtro de métrica de log e um alarme para alterações na política de bucket do S3
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações nas políticas de bucket do S3. O monitoramento de alterações nas políticas de bucket do S3 pode reduzir o tempo para detetar e corrigir políticas permissivas em buckets confidenciais do S3.
Gravidade: Baixa
Verifique se existe um filtro de métrica de log e um alarme para alterações no grupo de segurança
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os Security Groups são um filtro de pacotes com monitoração de estado que controla o tráfego de entrada e saída dentro de uma VPC. Recomenda-se que seja estabelecido um filtro métrico e um alarme para alterações nos Grupos de Segurança. O monitoramento de alterações no grupo de segurança ajuda a garantir que os recursos e serviços não sejam expostos involuntariamente.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para chamadas de API não autorizadas
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativos e pode reduzir o tempo para detetar atividades maliciosas.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para uso da conta 'root'
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Recomenda-se que um filtro métrico e alarme sejam estabelecidos para tentativas de login root.
O monitoramento de logins de contas root fornece visibilidade sobre o uso de uma conta totalmente privilegiada e uma oportunidade de reduzir o uso dela.
Gravidade: Baixa
Verifique se existe uma métrica de log, filtro e alarme para alterações na VPC
Descrição: O monitoramento em tempo real das chamadas de API pode ser alcançado direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. É possível ter mais de uma VPC em uma conta, além disso, também é possível criar uma conexão de mesmo nível entre 2 VPCs, permitindo que o tráfego de rede seja roteizado entre VPCs. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações feitas em VPCs. O monitoramento de alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
Gravidade: Baixa
Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 para a porta 3389
Descrição: os grupos de segurança fornecem filtragem com monitoração de estado do tráfego de rede de entrada/saída para recursos da AWS. Recomenda-se que nenhum grupo de segurança permita acesso irrestrito à porta 3389. Quando você remove a conectividade irrestrita com serviços de console remoto, como RDP, isso reduz a exposição de um servidor ao risco.
Gravidade: Alta
Os bancos de dados e clusters RDS não devem usar uma porta padrão do mecanismo de banco de dados
Descrição: esse controle verifica se o cluster RDS ou a instância usa uma porta diferente da porta padrão do mecanismo de banco de dados. Se você usar uma porta conhecida para implantar um cluster ou instância RDS, um invasor poderá adivinhar informações sobre o cluster ou instância. O invasor pode usar essas informações em conjunto com outras informações para se conectar a um cluster ou instância RDS ou obter informações adicionais sobre seu aplicativo. Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes que foram usadas para se conectar à porta antiga. Você também deve verificar o security group da instância de banco de dados para garantir que ele inclua uma regra de entrada que permita a conectividade na nova porta.
Gravidade: Baixa
As instâncias RDS devem ser implantadas em uma VPC
Descrição: As VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem VPC Endpoints, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você mova instâncias do EC2-Classic RDS para o EC2-VPC.
Gravidade: Baixa
Os buckets do S3 devem exigir solicitações para usar o Secure Socket Layer
Descrição: recomendamos exigir solicitações para usar SSL (Secure Socket Layer) em todos os buckets do Amazon S3. Os buckets do S3 devem ter políticas que exijam que todas as solicitações ('Ação: S3:*') aceitem apenas a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição 'aws:SecureTransport'.
Gravidade: Média
Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 para a porta 22
Descrição: Para reduzir a exposição do servidor, recomenda-se não permitir o acesso irrestrito à porta '22'.
Gravidade: Alta
Os grupos de segurança não devem permitir o acesso ilimitado a portos de alto risco
Descrição: esse controle verifica se o tráfego de entrada irrestrito para os grupos de segurança está acessível às portas especificadas que têm o maior risco. Esse controle passa quando nenhuma das regras em um grupo de segurança permite tráfego de entrada de 0.0.0.0/0 para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como hacking, ataques de negação de serviço e perda de dados. Os grupos de segurança fornecem filtragem com monitoração de estado do tráfego de rede de entrada e saída para recursos da AWS. Nenhum grupo de segurança deve permitir o acesso irrestrito às seguintes portas:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (procuração)
- 1433, 1434 (MSSQL)
- 9200 ou 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (AHSP)
- 5432 (PostgreSQL)
- 5500 (FCP-ADDR-SRVR1)
Gravidade: Média
Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas
Descrição: esse controle verifica se os grupos de segurança que estão em uso permitem tráfego de entrada irrestrito. Opcionalmente, a regra verifica se os números de porta estão listados no parâmetro "authorizedTcpPorts".
- Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta for especificado em "authorizedTcpPorts", o controle passará. O valor padrão para "authorizedTcpPorts" é 80, 443.
- Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta não estiver especificado no parâmetro de entrada authorizedTcpPorts, o controle falhará.
- Se o parâmetro não for usado, o controle falhará para qualquer grupo de segurança que tenha uma regra de entrada irrestrita. Os grupos de segurança fornecem filtragem com monitoração de estado do tráfego de rede de entrada e saída para a AWS. As regras dos grupos de segurança devem seguir o princípio do acesso menos privilegiado. O acesso irrestrito (endereço IP com um sufixo /0) aumenta a oportunidade de atividades maliciosas, como hacking, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.
Gravidade: Alta
As EIPs EC2 não utilizadas devem ser removidas
Descrição: os endereços IP elásticos alocados a uma VPC devem ser anexados a instâncias do Amazon EC2 ou interfaces de rede elástica (ENIs) em uso.
Gravidade: Baixa
As listas de controle de acesso à rede não utilizadas devem ser removidas
Descrição: Este controlo verifica se existem listas de controlo de acesso à rede (ACLs) não utilizadas. O controle verifica a configuração do item do recurso "AWS::EC2::NetworkAcl" e determina as relações da ACL de rede. Se a única relação for a VPC da ACL de rede, o controle falhará. Se outros relacionamentos forem listados, o controle passará.
Gravidade: Baixa
O security group padrão da VPC deve restringir todo o tráfego
Descrição: O grupo de segurança deve restringir todo o tráfego para reduzir a exposição aos recursos.
Gravidade: Baixa
Recomendações de rede do GCP
Os hosts de cluster devem ser configurados para usar apenas endereços IP privados e internos para acessar as APIs do Google
Descrição: esta recomendação avalia se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.
Gravidade: Alta
As instâncias de computação devem usar um balanceador de carga configurado para usar um proxy HTTPS de destino
Descrição: Esta recomendação avalia se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo target na regra de encaminhamento e se a regra de encaminhamento contém um campo loadBalancingScheme definido como External.
Gravidade: Média
As Redes Autorizadas do Plano de Controle devem ser habilitadas em clusters GKE
Descrição: Esta recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.
Gravidade: Alta
A regra de negação de saída deve ser definida em um firewall para bloquear o tráfego de saída indesejado
Descrição: Esta recomendação avalia se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade denied contém o par chave-valor, 'IPProtocol': 'all.'
Gravidade: Baixa
Certifique-se de que as regras de firewall para instâncias por trás do Proxy com reconhecimento de identidade (IAP) só permitam o tráfego da verificação de integridade e dos endereços proxy do Google Cloud Loadbalancer (GCLB)
Descrição: O acesso a VMs deve ser restrito por regras de firewall que permitam apenas tráfego IAP, garantindo que apenas conexões proxy pelo IAP sejam permitidas. Para garantir que o balanceamento de carga funcione corretamente, as verificações de integridade também devem ser permitidas. O IAP garante que o acesso às VMs seja controlado pela autenticação de solicitações de entrada. No entanto, se a VM ainda estiver acessível a partir de endereços IP diferentes do IAP, ainda poderá ser possível enviar solicitações não autenticadas para a instância. Deve-se tomar cuidado para garantir que as verificações de integridade do loadblancer não sejam bloqueadas, pois isso impediria o balanceador de carga de conhecer corretamente a integridade da VM e o balanceamento de carga corretamente.
Gravidade: Média
Garantir que redes herdadas não existam para um projeto
Descrição: Para evitar o uso de redes herdadas, um projeto não deve ter uma rede herdada configurada. As redes herdadas têm um único intervalo de prefixos IPv4 e um único endereço IP de gateway para toda a rede. A rede tem um âmbito global e abrange todas as regiões da nuvem. As sub-redes não podem ser criadas em uma rede herdada e não podem alternar de redes de sub-rede herdadas para automáticas ou personalizadas. As redes legadas podem ter um impacto para projetos de alto tráfego de rede e estão sujeitas a um único ponto de discórdia ou falha.
Gravidade: Média
Verifique se o sinalizador de banco de dados 'log_hostname' para a instância do Cloud SQL PostgreSQL está definido adequadamente
Descrição: O PostgreSQL registra apenas o endereço IP dos hosts de conexão. O sinalizador "log_hostname" controla o registro de "nomes de host", além dos endereços IP registrados. O acerto de desempenho depende da configuração do ambiente e da configuração de resolução de nome de host. Este parâmetro só pode ser definido no arquivo "postgresql.conf" ou na linha de comando do servidor. O registro de nomes de host pode incorrer em sobrecarga no desempenho do servidor, pois para cada instrução registrada, a resolução DNS será necessária para converter o endereço IP em nome do host. Dependendo da configuração, isso pode não ser desprezível. Além disso, os endereços IP que são registrados podem ser resolvidos para seus nomes DNS mais tarde ao revisar os logs, excluindo os casos em que os nomes de host dinâmicos são usados. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que nenhum balanceador de carga de proxy HTTPS ou SSL permita políticas SSL com pacotes de codificação fracos
Descrição: as políticas SSL (Secure Sockets Layer) determinam quais recursos de TLS (Transport Layer Security) de porta podem ser usados pelos clientes ao se conectarem a balanceadores de carga. Para evitar o uso de recursos inseguros, as políticas SSL devem usar (a) pelo menos TLS 1.2 com o perfil MODERN; ou (b) o perfil RESTRITO, porque efetivamente exige que os clientes usem o TLS 1.2 independentemente da versão mínima do TLS escolhida; ou (3) um perfil PERSONALIZADO que não suporta nenhum dos seguintes recursos: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
Os balanceadores de carga são usados para distribuir o tráfego de forma eficiente entre vários servidores. Ambos os balanceadores de carga SSL e proxy HTTPS são balanceadores de carga externos, o que significa que distribuem o tráfego da Internet para uma rede GCP. Os clientes do GCP podem configurar políticas SSL do balanceador de carga com uma versão mínima do TLS (1.0, 1.1 ou 1.2) que os clientes podem usar para estabelecer uma conexão, juntamente com um perfil (Compatível, Moderno, Restrito ou Personalizado) que especifica conjuntos de codificação permitidos. Para estar em conformidade com os usuários que usam protocolos desatualizados, os balanceadores de carga GCP podem ser configurados para permitir pacotes de codificação inseguros. Na verdade, a política SSL padrão do GCP usa uma versão TLS mínima de 1.0 e um perfil Compatível, que permite a maior variedade de pacotes de codificação inseguros. Como resultado, é fácil para os clientes configurar um balanceador de carga sem nem mesmo saber que estão permitindo pacotes de codificação desatualizados.
Gravidade: Média
Verifique se o registro em log do Cloud DNS está habilitado para todas as redes VPC
Descrição: O registro em log do Cloud DNS registra as consultas dos servidores de nomes em sua VPC para o Stackdriver. As consultas registradas podem vir de VMs do Compute Engine, contêineres GKE ou outros recursos GCP provisionados na VPC. O monitoramento de segurança e a perícia não podem depender apenas dos endereços IP dos logs de fluxo da VPC, especialmente quando se considera o uso dinâmico de IP de recursos de nuvem, roteamento de host virtual HTTP e outras tecnologias que podem obscurecer o nome DNS usado por um cliente a partir do endereço IP. O monitoramento de logs do Cloud DNS fornece visibilidade aos nomes DNS solicitados pelos clientes dentro da VPC. Esses logs podem ser monitorados em busca de nomes de domínio anômalos, avaliados em relação a informações sobre ameaças, e
Para a captura completa do DNS, o firewall deve bloquear a saída UDP/53 (DNS) e TCP/443 (DNS sobre HTTPS) para impedir que o cliente use o servidor de nomes DNS externo para resolução.
Gravidade: Alta
Verifique se o DNSSEC está ativado para o Cloud DNS
Descrição: O Cloud Domain Name System (DNS) é um sistema de nomes de domínio rápido, fiável e económico que alimenta milhões de domínios na Internet.
As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) no Cloud DNS permitem que os proprietários de domínios tomem medidas fáceis para proteger os seus domínios contra sequestro de DNS e ataques man-in-the-middle e outros.
As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) adicionam segurança ao protocolo DNS, permitindo que as respostas DNS sejam validadas.
Ter um DNS confiável que traduza um nome de domínio como www.example.com
em seu endereço IP associado é um bloco de construção cada vez mais importante dos aplicativos baseados na Web de hoje.
Os atacantes podem sequestrar este processo de pesquisa de domínio/IP e redirecionar os utilizadores para um site malicioso através de sequestro de DNS e ataques man-in-the-middle.
O DNSSEC ajuda a mitigar o risco de tais ataques assinando criptograficamente os registros DNS.
Como resultado, impede que os atacantes emitam respostas DNS falsas que podem direcionar incorretamente os navegadores para sites nefastos.
Gravidade: Média
Certifique-se de que o acesso RDP é restrito a partir da Internet
Descrição: As regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando suas condições são atendidas. Suas condições permitem que os usuários especifiquem o tipo de tráfego, como portas e protocolos, e a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. As regras de firewall são definidas no nível de rede da VPC e são específicas para a rede na qual são definidas. As regras em si não podem ser compartilhadas entre as redes. As regras de firewall suportam apenas tráfego IPv4. Quando você especifica uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, um endereço IPv4 ou bloco IPv4 na notação CIDR pode ser usado. O tráfego de entrada genérico (0.0.0.0/0) da Internet para uma instância de VPC ou VM usando RDP na porta 3389 pode ser evitado. Regras de firewall do GCP em uma rede VPC. Essas regras se aplicam ao tráfego de saída (saída) de instâncias e ao tráfego de entrada (entrada) para instâncias na rede. Os fluxos de tráfego de saída e entrada são controlados mesmo que o tráfego permaneça dentro da rede (por exemplo, comunicação instância a instância). Para que uma instância tenha acesso de saída à Internet, a rede deve ter uma rota válida de gateway da Internet ou uma rota personalizada cujo IP de destino seja especificado. Esta rota simplesmente define o caminho para a Internet, para evitar o intervalo de IP de destino mais geral (0.0.0.0/0) especificado da Internet através do RDP com a porta padrão 3389. O acesso genérico da Internet a um intervalo de IP específico deve ser restringido.
Gravidade: Alta
Certifique-se de que RSASHA1 não é usado para a chave de assinatura de chave no DNS da nuvem DNSSEC
Descrição: Os números do algoritmo DNSSEC neste registo podem ser utilizados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transações (SIG(0) e TSIG) fazem uso de subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chaves deve ser recomendado e forte. Os números do algoritmo DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) neste registo podem ser utilizados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transações (SIG(0) e TSIG) fazem uso de subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chaves deve ser recomendado e forte. Quando você habilita o DNSSEC para uma zona gerenciada ou cria uma zona gerenciada com DNSSEC, o usuário pode selecionar os algoritmos de assinatura DNSSEC e o tipo de negação de existência. A alteração das configurações do DNSSEC só é eficaz para uma zona gerenciada se o DNSSEC ainda não estiver habilitado. Se houver necessidade de alterar as configurações de uma zona gerenciada onde ele foi habilitado, desative o DNSSEC e reative-o com configurações diferentes.
Gravidade: Média
Verifique se RSASHA1 não é usado para a chave de assinatura de zona no DNS DNS da Nuvem
Descrição: Os números do algoritmo DNSSEC neste registo podem ser utilizados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transações (SIG(0) e TSIG) fazem uso de subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chaves deve ser recomendado e forte. Os números do algoritmo DNSSEC neste registo podem ser utilizados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transações (SIG(0) e TSIG) fazem uso de subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chaves deve ser recomendado e forte. Quando você habilita o DNSSEC para uma zona gerenciada ou cria uma zona gerenciada com DNSSEC, os algoritmos de assinatura DNSSEC e o tipo de negação de existência podem ser selecionados. A alteração das configurações do DNSSEC só é eficaz para uma zona gerenciada se o DNSSEC ainda não estiver habilitado. Se houver necessidade de alterar as configurações de uma zona gerenciada onde ele foi habilitado, desative o DNSSEC e reative-o com configurações diferentes.
Gravidade: Média
Certifique-se de que o acesso SSH é restrito a partir da Internet
Descrição: As regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando suas condições são atendidas. Suas condições permitem que o usuário especifique o tipo de tráfego, como portas e protocolos, e a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. As regras de firewall são definidas no nível de rede da VPC e são específicas para a rede na qual são definidas. As regras em si não podem ser compartilhadas entre as redes. As regras de firewall suportam apenas tráfego IPv4. Quando você especifica uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, somente um endereço IPv4 ou bloco IPv4 na notação CIDR pode ser usado. O tráfego de entrada genérico (0.0.0.0/0) da Internet para a instância da VPC ou VM usando SSH na porta 22 pode ser evitado. As Regras de Firewall do GCP em uma rede VPC aplicam-se ao tráfego de saída (saída) de instâncias e ao tráfego de entrada (entrada) para instâncias na rede. Os fluxos de tráfego de saída e entrada são controlados mesmo que o tráfego permaneça dentro da rede (por exemplo, comunicação instância a instância). Para que uma instância tenha acesso de saída à Internet, a rede deve ter uma rota válida de gateway da Internet ou uma rota personalizada cujo IP de destino seja especificado. Esta rota simplesmente define o caminho para a Internet, para evitar o intervalo de IP de destino mais geral (0.0.0.0/0) especificado da Internet através de SSH com a porta padrão '22'. O acesso genérico da Internet a um intervalo de IP específico precisa ser restrito.
Gravidade: Alta
Verifique se a rede padrão não existe em um projeto
Descrição: Para evitar o uso da rede "padrão", um projeto não deve ter uma rede "padrão". A rede padrão tem uma configuração de rede pré-configurada e gera automaticamente as seguintes regras de firewall inseguras:
- default-allow-internal: Permite conexões de entrada para todos os protocolos e portas entre instâncias na rede.
- default-allow-ssh: Permite conexões de entrada na porta TCP 22 (SSH) de qualquer origem para qualquer instância da rede.
- default-allow-rdp: Permite conexões de entrada na porta TCP 3389 (RDP) de qualquer fonte para qualquer instância da rede.
- default-allow-icmp: Permite a entrada de tráfego ICMP de qualquer origem para qualquer instância da rede.
Essas regras de firewall criadas automaticamente não são registradas em log de auditoria e não podem ser configuradas para habilitar o registro de regras de firewall. Além disso, a rede padrão é uma rede de modo automático, o que significa que suas sub-redes usam o mesmo intervalo predefinido de endereços IP e, como resultado, não é possível usar Cloud VPN ou VPC Network Peering com a rede padrão. Com base nos requisitos de segurança e rede da organização, a organização deve criar uma nova rede e excluir a rede padrão.
Gravidade: Média
Verifique se a métrica de log, o filtro e os alertas existem para alterações na rede VPC
Descrição: Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações na rede Virtual Private Cloud (VPC). É possível ter mais de uma VPC dentro de um projeto. Além disso, também é possível criar uma conexão de mesmo nível entre duas VPCs, permitindo que o tráfego de rede roteie entre VPCs. O monitoramento de alterações em uma VPC ajudará a garantir que o fluxo de tráfego da VPC não seja afetado.
Gravidade: Baixa
Verifique se a métrica de log, o filtro e os alertas existem para alterações nas regras do Firewall de Rede da VPC
Descrição: Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações nas regras do Firewall de Rede da Virtual Private Cloud (VPC). O monitoramento de eventos de regra Criar ou Atualizar Firewall fornece informações sobre as alterações de acesso à rede e pode reduzir o tempo necessário para detetar atividades suspeitas.
Gravidade: Baixa
Verifique se a métrica de log, o filtro e os alertas existem para alterações de rota de rede da VPC
Descrição: Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações de rota de rede na Virtual Private Cloud (VPC). As rotas do Google Cloud Platform (GCP) definem os caminhos que o tráfego de rede toma de uma instância de VM para outro destino. O outro destino pode estar dentro da rede VPC da organização (como outra VM) ou fora dela. Cada rota consiste em um destino e um próximo salto. O tráfego cujo IP de destino está dentro do intervalo de destino é enviado para o próximo salto para entrega. O monitoramento de alterações nas tabelas de rotas ajudará a garantir que todo o tráfego da VPC flua através de um caminho esperado.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_connections' para a instância do Cloud SQL PostgreSQL está definido como 'on'
Descrição: Habilitar a configuração log_connections faz com que cada tentativa de conexão com o servidor seja registrada, juntamente com a conclusão bem-sucedida da autenticação do cliente. Este parâmetro não pode ser alterado após o início da sessão. O PostgreSQL não registra tentativas de conexão por padrão. Habilitar a configuração log_connections criará entradas de log para cada tentativa de conexão, bem como a conclusão bem-sucedida da autenticação do cliente, o que pode ser útil na solução de problemas e para determinar quaisquer tentativas de conexão incomuns com o servidor. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Média
Verifique se o sinalizador de banco de dados 'log_disconnections' para a instância do Cloud SQL PostgreSQL está definido como 'on'
Descrição: A ativação da configuração log_disconnections registra o final de cada sessão, incluindo a duração da sessão. O PostgreSQL não registra detalhes da sessão, como duração e fim da sessão, por padrão. Ativar a configuração log_disconnections criará entradas de log no final de cada sessão, o que pode ser útil na solução de problemas e determinar qualquer atividade incomum em um período de tempo. O log_disconnections e log_connections trabalham lado a lado e, geralmente, o par seria ativado/desativado juntos. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Média
Verifique se o VPC Flow Logs está habilitado para cada sub-rede em uma rede VPC
Descrição: Os Logs de Fluxo são um recurso que permite aos usuários capturar informações sobre o tráfego IP que vai e vem das interfaces de rede nas sub-redes da VPC da organização. Depois que um log de fluxo é criado, o usuário pode visualizar e recuperar seus dados no Stackdriver Logging. É recomendável que os Logs de Fluxo sejam habilitados para cada sub-rede VPC crítica para os negócios. As redes e sub-redes VPC fornecem partições de rede logicamente isoladas e seguras onde os recursos do GCP podem ser iniciados. Quando os Logs de Fluxo estão habilitados para uma sub-rede, as VMs dentro dessa sub-rede começam a relatar todos os fluxos TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Cada VM obtém amostras dos fluxos TCP e UDP que vê, de entrada e saída, quer o fluxo seja de ou para outra VM, um anfitrião no centro de dados local, um serviço Google ou um anfitrião na Internet. Se duas VMs GCP estiverem se comunicando e ambas estiverem em sub-redes com VPC Flow Logs habilitados, ambas as VMs relatarão os fluxos. O Flow Logs suporta os seguintes casos de uso: 1. Monitorização de redes. 2. Compreender o uso da rede e otimizar as despesas de tráfego da rede. 3. Perícia forense de rede. 4. Análise de segurança em tempo real Os Logs de Fluxo fornecem visibilidade do tráfego de rede para cada VM dentro da sub-rede e podem ser usados para detetar tráfego anômalo ou insights durante fluxos de trabalho de segurança.
Gravidade: Baixa
O registo de regras de firewall deve estar ativado
Descrição: Esta recomendação avalia a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou se contém o par chave-valor 'enable': false.
Gravidade: Média
O firewall não deve ser configurado para ser aberto ao acesso público
Descrição: Esta recomendação avalia sourceRanges e propriedades permitidas para uma de duas configurações:
A propriedade sourceRanges contém 0.0.0.0/0 e a propriedade allowed contém uma combinação de regras que inclui qualquer protocolo ou protocolo:port, exceto o seguinte:
- ICMP
- TCP: 22
- TCP: 443
- TCP: 3389
- PDP: 3389
- SCTP: 22
A propriedade sourceRanges contém uma combinação de intervalos IP que inclui qualquer endereço IP não privado e a propriedade allowed contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp.
Gravidade: Alta
O firewall não deve ser configurado para ter uma porta CASSANDRA aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta CISCOSECURE_WEBSM aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 9090.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta DIRECTORY_SERVICES aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 445 e UDP: 445.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta DNS aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 53 e UDP: 53.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta ELASTICSEARCH aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 9200, 9300.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta FTP aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 21.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta HTTP aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 80.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta LDAP aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 389, 636 e UDP: 389.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta MEMCACHED aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 11211, 11214-11215 e UDP: 11211, 11214-11215.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta MONGODB aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 27017-27019.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta MYSQL aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 3306.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta NETBIOS aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 137-139 e UDP: 137-139.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta ORACLEDB aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 1521, 2483-2484 e UDP: 2483-2484.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta POP3 aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 110.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta PostgreSQL aberta que permita acesso genérico
Descrição: Esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 5432 e UDP: 5432.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta REDIS aberta que permita acesso genérico
Descrição: Esta recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 6379.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta SMTP aberta que permita acesso genérico
Descrição: Esta recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 25.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta SSH aberta que permita acesso genérico
Descrição: Esta recomendação avalia se a propriedade permitida nos metadados do firewall contém os seguintes protocolos e portas: TCP: 22 e SCTP: 22.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta TELNET aberta que permita acesso genérico
Descrição: Esta recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 23.
Gravidade: Baixa
Os clusters GKE devem ter intervalos de IP de alias habilitados
Descrição: esta recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.
Gravidade: Baixa
Os clusters GKE devem ter clusters privados habilitados
Descrição: Esta recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.
Gravidade: Alta
A política de rede deve ser habilitada em clusters GKE
Descrição: Esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.
Gravidade: Média