Рекомендации по безопасности данных

В этой статье перечислены все рекомендации по обеспечению безопасности данных, которые могут отображаться в Microsoft Defender для облака.

Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации. Вы можете просмотреть рекомендации на портале , которые применяются к ресурсам.

Дополнительные сведения о действиях, которые можно выполнить в ответ на эти рекомендации, см. в статье РекомендацииRemediate в Defender для облака.

Совет

Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.

Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.

рекомендации по данным Azure

Azure Cosmos DB должен отключить доступ к общедоступной сети

Описание. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что учетная запись Cosmos DB не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие учетной записи Cosmos DB. Подробнее. (Связанная политика: Azure Cosmos DB должен отключить доступ к общедоступной сети).

Серьезность: средний

(Включить при необходимости) Azure Cosmos DB учетные записи должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивных Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/cosmosdb-cmk. (Связанная политика: учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Управление шифрованием неактивных данных рабочей области Машинное обучение Azure с помощью ключей, управляемых клиентом (CMK). По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом (CMK). Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/azureml-workspaces-cmk. (Связанная политика: Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)).

Серьезность: низкая

База данных SQL Azure должен работать с TLS версии 1.2 или более поздней

Description: установка tls версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. (Связанная политика: База данных SQL Azure должна работать с TLS версии 1.2 или более поздней).

Серьезность: средний

Azure SQL управляемые экземпляры должны отключить доступ к общедоступной сети

Description. Отключение доступа к общедоступной сети (общедоступная конечная точка) на Azure SQL Управляемые экземпляры повышает безопасность, обеспечивая доступ только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступной сети. (Связанная политика: Azure SQL Управляемые экземпляры должны отключить доступ к общедоступной сети).

Серьезность: средний

Учетные записи Cosmos DB должны использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватный канал обрабатывает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB риски утечки данных снижаются. Дополнительные сведения о частных ссылках. (Связанная политика: Учетные записи Cosmos DB должны использовать приватный канал).

Серьезность: средний

(Включить при необходимости) Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов MySQL следует включить защиту собственных ключей.

Серьезность: низкая

(Включить при необходимости) Серверы PostgreSQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов PostgreSQL следует включить защиту собственных ключей.

Серьезность: низкая

(Включить при необходимости) Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачное шифрование данных (TDE) с собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, повышение безопасности с помощью внешней службы, поддерживаемой HSM, и повышение разделения обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачное шифрование данных (TDE) с собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, повышение безопасности с помощью внешней службы, поддерживаемой HSM, и повышение разделения обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) Учетные записи хранения должны использовать управляемый клиентом ключ (CMK) для шифрования

Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Обеспечьте большую гибкость своей учетной записи хранения с помощью управляемых клиентом ключей (ключей CMK). Когда вы указываете ключ CMK, он используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей CMK предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. (Связанная политика: Для шифрования учетные записи хранения должны использовать управляемый клиентом ключ (CMK).

Серьезность: низкая

Открытый доступ к учетной записи хранения должен быть запрещен

Description: анонимный общедоступный доступ на чтение к контейнерам и большим двоичным объектам в служба хранилища Azure — удобный способ совместного использования данных, но может представлять риски безопасности. Чтобы предотвратить нарушения данных, вызванные нежелательным анонимным доступом, Microsoft рекомендует запретить общедоступный доступ к учетной записи хранения, если не требуется.

Связанная политика: общедоступный доступ к учетной записи хранения должен быть запрещен

Серьезность: средний

Все типы расширенной защиты от угроз должны быть включены в расширенных параметрах безопасности данных управляемого экземпляра SQL.

Описание. Рекомендуется включить все типы расширенной защиты от угроз в управляемых экземплярах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)

Серьезность: средний

На серверах SQL в параметрах расширенной защиты данных должны быть включены все типы расширенной защиты от угроз.

Описание. Рекомендуется включить все типы расширенной защиты от угроз на серверах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)

Серьезность: средний

Службы управления API должны использовать виртуальную сеть

Description: развертывание Azure Virtual Network обеспечивает повышенную безопасность, изоляцию и позволяет размещать службу управления API в сети, к которым вы управляете доступом в Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. (Связанная политика: Управление API службам следует использовать виртуальную сеть).

Серьезность: средний

Служба "Конфигурация приложений" должна использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. (Связанная политика: Конфигурация приложений должен использовать приватный канал).

Серьезность: средний

Аудит для серверов SQL должен храниться не менее 90 дней.

Описание. Аудит серверов SQL, настроенных с периодом хранения аудита менее 90 дней. (Связанная политика: Серверы SQL должны быть настроены с 90 дней хранения аудита или более поздней версии.)

Серьезность: низкая

Следует включить аудит на сервере SQL

Description. Включите аудит в SQL Server для отслеживания действий базы данных во всех базах данных на сервере и сохранения их в журнале аудита. (Связанная политика: Аудит на SQL Server должен быть включен).

Серьезность: низкая

Автоматическая подготовка агента Log Analytics должна быть включена в подписках.

Description. Чтобы отслеживать уязвимости и угрозы безопасности, Microsoft Defender для облака собирает данные из Azure виртуальных машин. Данные собираются агентом Log Analytics, ранее известным как агент мониторинга Microsoft (MMA), который считывает различные конфигурации и журналы событий, связанные с безопасностью, с компьютера и копирует данные в рабочую область Log Analytics для анализа. Рекомендуется включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых Azure виртуальных машинах и всех новых созданных виртуальных машинах. (Связанная политика: Auto подготовка агента Log Analytics должна быть включена в подписке).

Серьезность: низкая

Кэш Azure для Redis должен находиться в виртуальной сети

Description: развертывание Azure Virtual Network (виртуальная сеть) обеспечивает расширенную безопасность и изоляцию для Кэш Azure для Redis, а также подсети, политики управления доступом и другие функции для дальнейшего ограничения доступа. Если экземпляр Кэш Azure для Redis настроен с виртуальной сетью, он не является общедоступным и может быть доступен только из виртуальных машин и приложений в виртуальной сети. (Связанная политика: Кэш Azure для Redis должна находиться в виртуальной сети).

Серьезность: средний

База данных Azure для MySQL должен быть подготовлен администратор Microsoft Entra

Description. Подготовка администратора Microsoft Entra для База данных Azure для MySQL для включения проверки подлинности Microsoft Entra. Microsoft Entra проверка подлинности обеспечивает упрощенное управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт (связанная политика: a Microsoft Entra администратор должен быть подготовлен для серверов MySQL).

Серьезность: средний

База данных Azure для PostgreSQL должен быть подготовлен администратор Microsoft Entra

Description. Подготовка администратора Microsoft Entra для База данных Azure для PostgreSQL для включения проверки подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт
(Связанная политика: a Microsoft Entra администратор должен быть подготовлен для серверов PostgreSQL).

Серьезность: средний

База данных Azure для PostgreSQL гибкий сервер должен иметь только включенную проверку подлинности Microsoft Entra

Description: отключение локальных методов проверки подлинности и требование проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу База данных Azure для PostgreSQL только удостоверениями Microsoft Entra (связанная политика: Azure Гибкий сервер PostgreSQL должен иметь Microsoft Entra включена только проверка подлинности).

Серьезность: средний

Azure Cosmos DB учетные записи должны иметь правила брандмауэра

Description: правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить трафик из несанкционированных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. (Связанная политика: учетные записи Azure Cosmos DB должны иметь правила брандмауэра).

Серьезность: средний

Сетка событий Azure домены должны использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменами Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: домены Сетка событий Azure должны использовать приватный канал).

Серьезность: средний

Сетка событий Azure темы должны использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделами вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: Сетка событий Azure темы должны использовать приватный канал).

Серьезность: средний

Машинное обучение Azure рабочие области должны использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с рабочими областями Машинное обучение Azure вместо всей службы, вы также будете защищены от рисков утечки данных. См. дополнительные сведения: https://aka.ms/azureml-workspaces-privatelink. (Связанная политика: Машинное обучение Azure рабочие области должны использовать приватный канал).

Серьезность: средний

Служба Azure SignalR должен использовать приватный канал

Description: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с ресурсами SignalR вместо всей службы обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/asrs/privatelink. (Связанная политика: Служба Azure SignalR должна использовать приватный канал).

Серьезность: средний

Azure Spring Cloud следует использовать внедрение сети

Description: Azure экземпляры Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Разрешить Azure Spring Cloud взаимодействовать с системами в локальных центрах обработки данных или Azure службе в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящий и исходящий сетевой обмен данными для Azure Spring Cloud. (Связанная политика: Azure Spring Cloud должна использовать внедрение сети).

Серьезность: средний

Серверы SQL должны быть подготовлены администратором Microsoft Entra

Description. Подготовка администратора Microsoft Entra для сервера SQL Server для включения проверки подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт. (Связанная политика: a Microsoft Entra администратор должен быть подготовлен для серверов SQL).

Серьезность: высокий уровень

Azure Synapse режим проверки подлинности рабочей области должен быть Microsoft Entra ID только

Description: Azure Synapse режим проверки подлинности рабочей области должен быть Microsoft Entra ID только методы проверки подлинности Microsoft Entra ID только Microsoft Entra ID, гарантируя, что рабочие области Synapse требуют исключительно Microsoft Entra ID удостоверений Проверки подлинности. Подробнее. (Связанная политика: Synapse Workspaces следует использовать только Microsoft Entra ID удостоверения для проверки подлинности).

Серьезность: средний

В репозиториях кода должны быть устранены результаты сканирования кода

Description: Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях кода должны быть устранены ошибки в результате сканирования Dependabot

Серьезность: средний

В репозиториях кода должны быть устранены результаты сканирования инфраструктуры как кода

Description: Defender для DevOps обнаружил инфраструктуру в качестве проблем с конфигурацией безопасности кода в репозиториях. Проблемы, показанные ниже, были обнаружены в файлах шаблонов. Чтобы повысить уровень безопасности связанных облачных ресурсов, настоятельно рекомендуется исправить эти уязвимости. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях кода должны быть исправлены результаты секретного сканирования

Description: Defender для DevOps нашел секрет в репозиториях кода. Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности. Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых она настроена для запуска. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует)

Серьезность: высокий уровень

Учетные записи Cognitive Services должны включать шифрование данных

Описание. Эта политика проверяет все учетные записи Cognitive Services, которые не используют шифрование данных. Для каждой учетной записи с хранилищем необходимо включить шифрование данных с помощью управляемого клиента или Microsoft управляемого ключа. (Связанная политика: Учетные записи Cognitive Services должны включать шифрование данных).

Серьезность: низкая

Учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту, или шифрование данных

Описание. Эта политика выполняет аудит любой учетной записи Cognitive Services, не использующей хранилище клиента или шифрование данных. Каждая учетная запись Cognitive Services с хранилищем должна использовать хранилище, принадлежащее клиенту, или шифрование данных. Соответствует Microsoft Cloud тесту безопасности. (Связанная политика: учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту, или шифрование данных.)

Серьезность: низкая

Журналы диагностики в магазине Azure Data Lake должны быть включены

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Diagnostic logs in Azure Data Lake Store должна быть включена).

Серьезность: низкая

Журналы диагностики в Data Lake Analytics должны быть включены

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Diagnostic logs in Data Lake Analytics должна быть включена).

Серьезность: низкая

Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте

Description. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, если в одной из подписок есть потенциальное нарушение безопасности, включите уведомления по электронной почте для оповещений с высоким уровнем серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте для оповещений с высоким уровнем серьезности должно быть включено).

Серьезность: низкая

Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте

Description. Чтобы убедиться, что владельцы подписок уведомляются о возможном нарушении безопасности в подписке, задайте владельцам подписок уведомления по электронной почте для оповещений с высоким уровнем серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте владельцу подписки для оповещений с высоким уровнем серьезности должно быть включено).

Серьезность: средний

Для серверов базы данных MySQL должен быть включен параметр "Принудительно использовать SSL-соединение"

Description: База данных Azure для MySQL поддерживает подключение сервера База данных Azure для MySQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных MySQL.

Серьезность: средний

Для серверов базы данных PostgreSQL должен быть включен параметр "Принудительно использовать SSL-соединение"

Description: База данных Azure для PostgreSQL поддерживает подключение сервера База данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных PostgreSQL.

Серьезность: средний

Уязвимости, обнаруженные в приложениях-функциях, должны быть устранены

Описание. Сканирование уязвимостей среды выполнения для функций сканирует приложения-функции для уязвимостей безопасности и предоставляет подробные результаты. Устранение уязвимостей может значительно улучшить безопасность бессерверных приложений и защитить их от атак. (Связанная политика отсутствует)

Серьезность: высокий уровень

Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL

Description: База данных Azure для MySQL позволяет выбрать параметр избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Забыточное резервное копирование должно быть включено для База данных Azure для MySQL).

Серьезность: низкая

Геоизбыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL

Description: База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Geo-избыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL).

Серьезность: низкая

GitHub репозитории должны иметь включенную проверку кода

Description: GitHub использует сканирование кода для анализа кода для поиска уязвимостей и ошибок в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если сканирование кода находит потенциальную уязвимость или ошибку в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует)

Серьезность: средний

GitHub репозитории должны иметь включенную проверку зависимостей

Description: GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует)

Серьезность: средний

GitHub репозитории должны иметь включенную проверку секретов

Description: GitHub сканирует репозитории известных типов секретов, чтобы предотвратить мошенническую использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов сканирует весь журнал Git во всех ветвях, присутствующих в репозитории GitHub для любых секретов. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует)

Серьезность: высокий уровень

Microsoft Defender для серверов База данных SQL Azure следует включить

Description: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он включает в себя функции обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных, а также обнаружения и классификации конфиденциальных данных.

Защита от этого плана взимается, как показано на странице Defender планов. Если у вас нет База данных SQL Azure серверов в этой подписке, плата не будет взиматься. Если позже вы создадите серверы База данных SQL Azure в этой подписке, они будут автоматически защищены и плата начнется. Узнайте больше о ценах в каждом регионе.

Дополнительные сведения см. в разделе Introduction Microsoft Defender для SQL. (Связанная политика: Azure Defender для серверов База данных SQL Azure следует включить).

Серьезность: высокий уровень

Microsoft Defender для DNS следует включить

Description: Microsoft Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов путем непрерывного мониторинга всех запросов DNS из Azure ресурсов. Defender для оповещений DNS о подозрительных действиях на уровне DNS. Дополнительные сведения см. в разделе Introduction, чтобы Microsoft Defender для DNS. Включение этого плана Defender приводит к оплате. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)

Серьезность: высокий уровень

Microsoft Defender для реляционных баз данных с открытым исходным кодом следует включить

Description: Microsoft Defender для реляционных баз данных с открытым исходным кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. Дополнительные сведения см. в Introduction для Microsoft Defender реляционных баз данных с открытым кодом.

Включение этого плана приведет к сбору расходов на защиту реляционных баз данных с открытым исходным кодом. Если в этой подписке нет реляционных баз данных с открытым кодом, плата не будет взиматься. Если в будущем вы создадите в этой подписке реляционные базы данных с открытым кодом, они будут автоматически защищены, и с этого момента начнет начисляться плата. (Связанная политика отсутствует)

Серьезность: высокий уровень

Microsoft Defender для Resource Manager следует включить

Description: Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Defender для облака обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения см. в разделе Introduction to Microsoft Defender for Resource Manager. Включение этого плана Defender приводит к оплате. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)

Серьезность: высокий уровень

Microsoft Defender для SQL на компьютерах следует включить в рабочих областях

Description: Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. С помощью этого Defender плана, включенного для подписок, но не в рабочих областях, вы платите за полную возможность Microsoft Defender для серверов, но отсутствуют некоторые преимущества. Если включить Microsoft Defender для серверов в рабочей области, все компьютеры, отчеты с этой рабочей областью, будут выставлены счета за Microsoft Defender для серверов, даже если они в подписках без включения планов Defender. Если вы также не включите Microsoft Defender для серверов в подписке, эти компьютеры не смогут воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивным элементам управления приложениями и сетевыми обнаружениями для Azure ресурсов. Дополнительные сведения см. в разделе Introduction Microsoft Defender для серверов. (Связанная политика отсутствует)

Серьезность: средний

Microsoft Defender для серверов SQL на компьютерах следует включить

Применение этой рекомендации предусматривает плату за защиту экземпляров SQL Server на компьютерах. Если в этой подписке нет экземпляров SQL Server на компьютерах, плата не будет взиматься. Если в будущем вы создадите в этой подписке экземпляры SQL Server на компьютерах, они будут автоматически защищены, и с этого момента начнет начисляться плата. Дополнительные сведения о Microsoft Defender для серверов SQL на компьютерах. (Связанная политика: Azure Defender для серверов SQL на компьютерах должна быть включена).

Серьезность: высокий уровень

Microsoft Defender для SQL следует включить для незащищенных серверов Azure SQL

Description: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Microsoft Defender для SQL выставляется счет, как показано на прысков в каждом регионе. (Связанная политика: На серверах SQL должна быть включена расширенная безопасность данных.

Серьезность: высокий уровень

Microsoft Defender для SQL следует включить для незащищенных управляемых экземпляров SQL

Description: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Microsoft Defender для SQL выставляется счет, как показано на прысков в каждом регионе. (Связанная политика: Advanced data security должен быть включен в Управляемый экземпляр SQL).

Серьезность: высокий уровень

Microsoft Defender для хранилища следует включить

Description: Microsoft Defender для хранилища обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или эксплойтирования.

Защита от этого плана взимается, как показано на странице Defender планов. Если у вас нет учетных записей служба хранилища Azure в этой подписке, плата не будет взиматься. Если позже вы создадите служба хранилища Azure учетные записи в этой подписке, они будут автоматически защищены и будут взиматься плата. Узнайте больше о ценах в каждом регионе. Дополнительные сведения см. в разделе Introduction для Microsoft Defender для хранилища. (Связанная политика: Azure Defender для хранилища должна быть включена).

Серьезность: высокий уровень

Наблюдатель за сетями следует включить

Description: Наблюдатель за сетями — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы на сквозном уровне сети. Средства диагностики и визуализации сети, доступные с помощью Наблюдатель за сетями помогут вам понять, диагностировать и получить аналитические сведения о сети в Azure. (Связанная политика: Наблюдатель за сетями должна быть включена).

Серьезность: низкая

Подключения к частной конечной точке в База данных SQL Azure должны быть включены

Description: подключения к частной конечной точке обеспечивают безопасное взаимодействие, позволяя использовать частное подключение к База данных SQL Azure. (Связанная политика: подключения конечных точек Private в База данных SQL Azure должны быть включены).

Серьезность: средний

Для серверов MySQL необходимо включить частную конечную точку.

Description: подключения к частной конечной точке обеспечивают безопасное взаимодействие путем включения частного подключения к База данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов MySQL.

Серьезность: средний

Для серверов PostgreSQL необходимо включить частную конечную точку.

Description: подключения к частной конечной точке обеспечивают безопасное взаимодействие, позволяя использовать частное подключение к База данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы обеспечить доступ к трафику, исходящему только из известных сетей, и запретить доступ ко всем другим IP-адресам, включая Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов PostgreSQL.

Серьезность: средний

Доступ к общедоступной сети в База данных SQL Azure должен быть отключен

Description. Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных SQL Azure только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. (Связанная политика: доступ к сети Public в База данных SQL Azure должен быть отключен).

Серьезность: средний

Для учетных записей Cognitive Services должен быть отключен доступ к общедоступной сети

Описание. Эта политика проверяет любую учетную запись Cognitive Services в вашей среде с включенным общедоступным доступом к сети. Доступ к общедоступной сети следует отключить, чтобы разрешить подключения только из частных конечных точек. (Связанная политика: Для учетных записей Cognitive Services необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Для северов MySQL должен быть отключен доступ через общедоступную сеть

Description. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что доступ к База данных Azure для MySQL можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. (Связанная политика: Для серверов MySQL необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть

Description. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для PostgreSQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. (Связанная политика: Для серверов PostgreSQL необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Redis Cache должен разрешать доступ только через SSL

Описание. Включение только подключений через SSL к кэшу Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. (Связанная политика: Only безопасные подключения к Кэш Azure для Redis должны быть включены).

Серьезность: высокий уровень

Уязвимости, обнаруженные в базах данных SQL, должны быть устранены

Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости в базах данных SQL должны быть исправлены).

Серьезность: высокий уровень

Для управляемых экземпляров SQL должна быть настроена оценка уязвимостей

Описание. Оценка уязвимостей может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. (Связанная политика: оценка Vulnerability должна быть включена в Управляемый экземпляр SQL).

Серьезность: высокий уровень

Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены

Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости на серверах SQL на компьютере должны быть исправлены).

Серьезность: высокий уровень

Серверы SQL должны быть подготовлены администратором Microsoft Entra

Серьезность: высокий уровень

Для серверов SQL должна быть настроена оценка уязвимостей

Описание. Оценка уязвимостей может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. (Связанная политика: Оценка уязвимостей должна быть включена на серверах SQL.

Серьезность: высокий уровень

Учетная запись хранения должна использовать соединение с приватным каналом

Описание. Приватные каналы обеспечивают безопасное взаимодействие, предоставляя частное подключение к учетной записи хранения (связанная политика: учетная запись хранения должна использовать частное подключение).

Серьезность: средний

Учетные записи хранения должны переноситься в новые ресурсы Azure Resource Manager

Description. Чтобы воспользоваться новыми возможностями в Azure Resource Manager, можно перенести существующие развертывания из классической модели развертывания. Resource Manager обеспечивает такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, развертывание и управление на основе ARM, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure аутентификации на основе AD, а также поддержка тегов и групп ресурсов для упрощения управления безопасностью. Learn more (связанная политика: учетные записи Storage следует перенести на новые ресурсы Azure Resource Manager).

Серьезность: низкая

Учетные записи хранения должны предотвращать доступ к общему ключу

Description: требование аудита Microsoft Entra ID (Microsoft Entra ID) для авторизации запросов учетной записи хранения. По умолчанию запросы можно авторизовать с помощью учетных данных Microsoft Entra ID или с помощью ключа доступа к учетной записи для авторизации общего ключа. Из этих двух типов авторизации Microsoft Entra ID обеспечивает более высокую безопасность и удобство использования общего ключа и рекомендуется Microsoft. (Связанная политика: политика)

Замечание

Для некоторых служб Azure по-прежнему требуется доступ к функции с общим ключом. Например, шлюз управления облаком (CMG) Microsoft Configuration Manager (SCCM) использует авторизацию на основе общих ключей для своих базовых учетных записей хранения. Отключение доступа к общему ключу в учетных записях хранения, используемых CMG, нарушает функциональные возможности CMG. Если вы используете CMG или другие службы, зависящие от доступа к общему ключу, исключите учетные записи хранения из этой рекомендации, а не применяйте исправление. Сохраните связанные Политика Azure в режиме Audit вместо Deny для этих учетных записей и задокументируйте бизнес-обоснование исключения.

Серьезность: средний

Учетные записи хранения должны ограничивать доступ к сети, используя правила виртуальной сети

Описание. Защита учетных записей хранения от потенциальных угроз с помощью правил виртуальной сети в качестве предпочтительного метода вместо фильтрации на основе IP-адресов. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. (Связанная политика: Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети.

Серьезность: средний

Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности

Description. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, если в одной из подписок есть потенциальная нарушение безопасности, задайте контакт безопасности для получения уведомлений по электронной почте от Defender для облака. (Связанная политика: Подписки должны иметь контактный адрес электронной почты для проблем с безопасностью)

Серьезность: низкая

прозрачное шифрование данных в базах данных SQL следует включить

Description. Включите transparent data encryption для защиты неактивных данных и соответствия требованиям (связанная политика: прозрачное шифрование данных в базах данных SQL должна быть включена).

Серьезность: низкая

Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы

Описание. Аудит шаблонов построителя образов виртуальных машин, которые не настроены в виртуальной сети. Если виртуальная сеть не настроена, создается и используется общедоступный IP-адрес, который может напрямую предоставлять ресурсы в Интернете и увеличивать потенциальную область атаки. (Связанная политика: Шаблоны построителя образов виртуальных машин должны использовать приватный канал).

Серьезность: средний

Брандмауэр веб-приложений (WAF) следует включить для шлюза приложений

Description. Развертывание Брандмауэр веб-приложений Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. (Связанная политика: Брандмауэр веб-приложений (WAF) должна быть включена для шлюза приложений).

Серьезность: низкая

Брандмауэр веб-приложений (WAF) следует включить для службы Azure Front Door Service

Серьезность: низкая

Рекомендации по данным AWS

Параметр "Удалить при завершении" должен быть включен для присоединенного экземпляра томов EBS

Description: Defender для облака определил отсутствующий экземпляр тома EBS, отсутствующий в параметре завершения. Этот параметр автоматически удаляет основное хранилище экземпляра при завершении. Без него потерянные тома могут хранить конфиденциальные данные, повышая риск несанкционированного доступа и соответствия требованиям.

Серьезность: низкая

Шифрование службы управления ключами AWS должно быть настроено для канала EventBridge

Описание. Настройка шифрования службы управления ключами AWS (KMS) для EventBridge Pipe гарантирует, что неактивные данные шифруются с помощью ключей, управляемых клиентом, обеспечивая расширенные возможности безопасности и соответствия требованиям. Эта мера позволяет лучше управлять ключами шифрования и менять их в соответствии с внутренними политиками или нормативными требованиями. Если это не реализовано, данные будут зашифрованы с помощью ключей, управляемых AWS, которые могут не соответствовать строгим стандартам безопасности или соответствия требованиям. Эта рекомендация особенно важна для организаций, обрабатывающих конфиденциальные или регулируемые данные, такие как личная информация (PII), финансовые записи или интеллектуальная собственность. Чтобы реализовать эту функцию, настройте Канал EventBridge для использования ключа KMS, управляемого клиентом, в консоли управления AWS или с помощью интерфейса командной строки AWS.

Серьезность: низкая

Шифрование службы управления ключами AWS должно быть включено для домена SageMaker

Description: Defender для облака определили, что домен SageMaker использует ключи KMS, управляемые AWS, а не ключи, управляемые клиентом. Шифрование AWS KMS защищает неактивных данных, позволяя контролировать управление ключами, включая смену ключей и обеспечение соответствия строгим требованиям безопасности. Без ключей, управляемых клиентом, конфиденциальные данные могут быть подвержены более высокому риску несанкционированного доступа и несоответствия. Подробнее.

Серьезность: низкая

Шифрование службы управления ключами AWS должно быть включено в конечных точках SageMaker

Description: Defender для облака определили отсутствие шифрования службы управления ключами AWS (KMS) в конечных точках Sagemaker. Шифрование KMS защищает конфиденциальные данные, управляя ключами шифрования, включая их действия жизненного цикла, такие как создание, смена и удаление. Без включения KMS конечные точки рискуют нарушениями данных и несанкционированным доступом. Подробнее.

Серьезность: средний

Ведение журнала доступа должно быть включено для контейнеров LightSail

Description: Defender для облака определили, что ведение журнала доступа не настроено в контейнере LightSail. Доступ к записям журнала, выполняемым в контейнере, и помогает убедиться, что выполняются только авторизованные действия. Без него несанкционированный доступ может оказаться незамеченным, уменьшая видимость безопасности и усложняя судебно-медицинские расследования и реагирование на инциденты.

Серьезность: низкая

Экспорт журналов аудита должен быть включен в кластерах Amazon DocumentDB

Description: Defender для облака определили, что экспорт журнала аудита в CloudWatch отключен в кластерах Amazon DocumentDB. Журналы аудита фиксируют критически важные сведения о действиях пользователя и системы, которые поддерживают судебно-медицинский анализ во время инцидентов безопасности. Без этой информации существует повышенный риск того, что несанкционированные действия могут быть незамечены, потенциально задерживая реагирование на инциденты и исправление.

Серьезность: низкая

Автоматическое обновление дополнительных версий должно быть включено в кластерах MemoryDB

Description: Defender для облака идентифицированный кластер MemoryDB без автоматического обновления дополнительных версий. Кластеры MemoryDB используют эти обновления для автоматического установки основных исправлений безопасности и дополнительных улучшений программного обеспечения. Без этой автоматизации кластеры могут оставаться уязвимыми для проблем безопасности. Включение процесса обновления помогает поддерживать надежную систему безопасности.

Серьезность: низкая

Политики автоматического резервного копирования должны быть включены в кластерах AlloyDB

Description: Defender для облака определили, что политика автоматического резервного копирования отключена для кластера AlloyDB, то есть ежедневные моментальные снимки для восстановления не создаются автоматически. Без этих резервных копий кластеры подвергаются рискам, таким как потеря данных от случайного удаления или программ-шантажистов, которые могут скомпрометировать требования к аварийному восстановлению и соответствию требованиям.

Серьезность: средний

Автоматическое хранение моментальных снимков должно быть включено для кластеров Redshift

Description: Defender для облака определили, что автоматическое хранение моментальных снимков не включено для кластера Amazon Redshift. Автоматические моментальные снимки предоставляют возможности восстановления на определенный момент времени для хранилища данных. Без надлежащего хранения критически важные данные восстановления могут быть потеряны, увеличивая риск потери данных от случайного удаления, повреждения или атак программ-шантажистов и потенциально нарушая требования соответствия.

Серьезность: низкая

Автоматическое резервное копирование должно быть включено для кластеров Elasticache

Description: Defender для облака определили, что автоматические резервные копии не включены для кластеров Elasticache. Кластеры Elasticache являются критически важными ресурсами кэширования, которые без регулярных резервных копий уязвимы для потери данных от случайного или вредоносного удаления. Это создает риск расширенного простоя и скомпрометированного целостности данных, что может повлиять на общую надежность службы. Мы рекомендуем включить автоматическое резервное копирование для защиты данных и поддержания непрерывности работы.

Серьезность: средний

Автоматическое резервное копирование должно быть включено для бессерверной elasticache

Description: Defender для облака определили, что автоматические резервные копии не включены для бессерверных ElastiCache. Без периодических моментальных снимков ваша ElastiCache не имеет точки восстановления для восстановления данных в случаях случайного или вредоносного удаления, что повышает риск безвозвратной потери данных. Включение автоматического резервного копирования сводит к минимуму потенциальные нарушения и защищает целостность кэшированных данных.

Серьезность: средний

Автоматическое обновление системы безопасности должно быть включено в кластерах RedisOSS ElastiCache

Description: Defender для облака определили, что автоматическое обновление отключено в кластерах RedisOSS ElastiCache. Автоматическое обновление автоматически устанавливает последние исправления безопасности и обновления программного обеспечения для защиты узлов кластера от известных уязвимостей. Это создает риск, оставляя кластеры открытыми для кибератак, которые используют устаревшее программное обеспечение. Подробнее.

Серьезность: низкая

Автоматические моментальные снимки должны быть включены для кластеров MemoryDB

Description: Defender для облака идентифицированный кластер MemoryDB без автоматической настройки моментального снимка. Автоматический моментальный снимок автоматически сохраняет моментальные снимки ресурсов в течение указанной длительности, обеспечивая доступность критически важных данных восстановления после инцидентов. Без этого существует повышенный риск потери данных путем случайного удаления или повреждения.

Серьезность: средний

Хранение резервных копий должно быть включено для службы реляционной базы данных LightSail

Description: Defender для облака определили, что хранение резервных копий отключено в службе реляционной базы данных LightSail. Хранение резервных копий автоматически сохраняет резервные копии базы данных с течением времени, чтобы можно было восстановить данные в случае случайного удаления или вредоносного повреждения. Без этого восстановление становится сложнее, и вы рискуете потерять up-toданные даты, если злоумышленник компрометирует базу данных.

Серьезность: средний

Из учетных записей служб в наборах данных BigQuery следует исключить широкие роли владельца или редактора.

Description: Defender для облака идентифицированные учетные записи служб с чрезмерными разрешениями на наборы данных BigQuery. Оценка обнаруженных учетных записей служб, назначенных широким ролям, таким как OWNER, WRITER или role/bigquery.admin, которые предоставляют больше доступа, чем необходимо. Это создает риск бокового перемещения и кражи данных, если эти учетные данные скомпрометируются. Важно ограничить разрешения ролей, которые соответствуют функциональным требованиям учетной записи службы, например "Средство просмотра данных BigQuery" или "Редактор данных BigQuery".

Серьезность: высокий уровень

Шифрование конечной точки кластера должно быть включено для кластеров DAX

Description: Defender для облака определили, что шифрование конечной точки кластера не включено в кластерах. Шифрование конечной точки кластера защищает данные во время передачи между клиентами и кластером. Без этого конфиденциальная информация может быть перехвачена или доступ к неавторизованным сторонам, потенциально компрометируя конфиденциальность и целостность данных. Включите шифрование для защиты передаваемых данных и снижения риска кибератак.

Серьезность: средний

Description: Defender для облака определили, что раздел Amazon SNS настроен для доступа между учетными записями, позволяя внешним учетным записям AWS взаимодействовать с ним. Доступ между учетными записями означает, что пользователи за пределами доверенной среды могут публиковать или подписываться на разделы. Это представляет угрозу, потенциально предоставляя конфиденциальные уведомления неавторизованным сторонам и неправильному использованию. Ограничение такого доступа поможет защитить раздел от внешних угроз.

Серьезность: средний

Шифрование KMS, управляемое клиентом, должно быть включено в Amazon Bedrock Agent

Description: Defender для облака определили, что Amazon Bedrock Custom Models развертывается без шифрования KMS, управляемого клиентом. Amazon Bedrock Custom Models можно создавать или импортировать без явного выбора ключа, управляемого клиентом, что приводит к шифрованию артефактов модели с помощью ключей, управляемых AWS. Это создает риск, уменьшая контроль над сменой ключей, строгими политиками доступа и прозрачностью аудита, что потенциально приводит к уязвимостям соответствия и безопасности.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для доменов CodeArtifact

Description: Defender для облака определили, что ключи, управляемые клиентом (CMKs), не включены в ваших доменах. Пакеты УПРАВЛЕНИЯ — это ключи шифрования, которые вы управляете, включая их жизненный цикл, смену и политики доступа. Без настройки CMK домены полагаются исключительно на ключи, управляемые поставщиком, сокращая контроль и потенциально оставляя конфиденциальные данные более уязвимыми для несанкционированного доступа.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для потоков данных

Description: Defender для облака идентифицированные потоки данных, которые не используют ключи шифрования Customer-Managed (CMEK). Эта оценка определяет, включены ли потоки данных CMEK, элемент управления, который позволяет напрямую смену ключей и управление политиками доступа. Без CMEK автоматическое шифрование, предоставленное Google Cloud, может не соответствовать строгим требованиям для конфиденциальных данных, что позволяет рабочей нагрузке более подвержены потенциальному компрометации ключей или несанкционированного доступа. Подробнее: https://cloud.google.com/datastream/docs

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для кластеров ElastiCache

Description: Defender для облака идентифицированные кластеры ElastiCache, которые не имеют шифрования управляемого ключа (CMK). Шифрование CMK использует пользовательские ключи, которые позволяют управлять поворотом и повышенной безопасностью по сравнению с ключами по умолчанию. Это создает риск, потенциально предоставляя кластеры несанкционированным доступом к данным и проблемами соответствия. Подробнее.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для баз данных GCP Spanner

Description: Defender для облака определяемые базы данных, которые не настроены с ключами шифрования, управляемыми клиентом (CMEK). CMEK ссылается на ключи шифрования, созданные и управляемые организацией, а не ключи, управляемые платформой. Без CMEK базы данных могут не соответствовать нормативным требованиям или требованиям политики, потенциально предоставляя данные несанкционированным доступом или соответствия требованиям из-за снижения контроля над управлением жизненным циклом ключей.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для экземпляров Memorystore для экземпляров Redis

Description: Defender для облака определили, что управляемые клиентом ключи шифрования не включены для экземпляров Memorystore для экземпляров Redis. Эта оценка проверяет, управляются ли операции шифрования исключительно по умолчанию управляемыми Google ключами, что ограничивает смену ключей, ведение журнала аудита и своевременное улучшение управления доступом. Такие ограничения представляют собой риск, потенциально компрометируя усилия по защите данных и соответствию требованиям, так как организации не имеют явного владения и управления ключами шифрования.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для разделов Pub/Sub

Description: Defender для облака определенные разделы Pub/Sub с использованием ключей шифрования, управляемых по умолчанию Google, а не ключей шифрования, управляемых клиентом (CMEK). CMEK позволяет управлять политиками поворота ключей и доступа, в то время как зависимость от ограничений ключей по умолчанию и может увеличить риск несанкционированного доступа и соответствия требованиям. Подробнее.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для хранилища данных ИИ Вершины

Description: Defender для облака определили, что хранилище данных Vertex AI не настроено с ключами шифрования, управляемыми клиентом (CMK), то есть используется шифрование, управляемое Google по умолчанию. Это представляет риск, так как ключи, управляемые GCP, не позволяют управлять политиками поворота, устанавливать детализированные разрешения доступа или использовать ключ аудита, потенциально не отвечая строгим требованиям соответствия и независимости данных в регулируемых отраслях.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены для подсистемы ИИ Вершин

Description: Defender для облака определили, что экземпляр ядра ИИ Vertex не настроен с ключами шифрования, управляемыми клиентом (CMK), то есть используется шифрование, управляемое Google по умолчанию. Это представляет риск, так как ключи, управляемые GCP, не позволяют управлять политиками поворота, устанавливать детализированные разрешения доступа или использовать ключ аудита, потенциально не отвечая строгим требованиям соответствия и независимости данных в регулируемых отраслях.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены в кластерах AlloyDB

Description: Defender для облака определили, что кластер AlloyDB не настроен с ключами шифрования, управляемыми клиентом (CMK), то есть используется шифрование, управляемое Google по умолчанию. Это представляет риск, так как ключи, управляемые GCP, не позволяют управлять политиками поворота, устанавливать детализированные разрешения доступа или использовать ключ аудита, потенциально не отвечая строгим требованиям соответствия и независимости данных в регулируемых отраслях.

Серьезность: низкая

Description: Defender для облака определили, что разделы SNS AWS используют шифрование по умолчанию вместо ключей, управляемых клиентом (CMK). Шифрование CMK позволяет управлять политиками ключей и использованием ключа аудита, обеспечивая улучшенную защиту от несанкционированного доступа и поддержки соответствия внутренним и нормативным стандартам безопасности. Этот надзор за конфигурацией может предоставлять конфиденциальные данные повышенным рискам.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены в репозиториях реестра артефактов

Description: Defender для облака определили, что репозитории защищены с помощью ключей шифрования, управляемых платформой, а не ключей шифрования, управляемых клиентом (CMEK). CMEK — это ключи, которые вы управляете, предлагая расширенное управление жизненным циклом и более строгий контроль доступа. Использование управляемых платформой ключей повышает риск уязвимостей защиты данных и может не соответствовать требованиям соответствия. Рекомендуется настроить CMEK для повышения безопасности шифрования и управления.

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены в экземплярах Filestore

Description: Defender для облака идентифицированные экземпляры хранилища файлов без ключей шифрования Customer-Managed (CMEK). Это представляет риск снижения контроля за сменой ключей шифрования и политиками доступа в Cloud KMS, что может скомпрометировать соответствие нормативным и организационным стандартам. Подробнее: https://cloud.google.com/filestore/docs/cmek

Серьезность: низкая

Ключи шифрования, управляемые клиентом, должны быть включены в кластерах MemoryDB

Description: Defender для облака определили, что кластер MemoryDB не использует управляемые клиентом ключи (CMK) для шифрования. Использование управляемых клиентом ключей (CMK) позволяет повысить контроль над жизненным циклом ключей и подробным аудитом, гарантируя соответствие требованиям к шифрованию.

Серьезность: низкая

Шифрование неактивных данных должно быть включено в кластерах ElastiCache

Description: Defender для облака определили, что шифрование неактивно в кластере ElastiCache. Шифрование неактивных данных преобразует сохраненные данные в криптографически безопасный формат, защищая информацию, даже если базовое хранилище нарушено. Без этой защиты может возникнуть несанкционированный доступ или изменение данных, риск соответствия требованиям и общая целостность системы.

Серьезность: средний

Защита от удаления базы данных должна быть включена для баз данных GCP Spanner

Description: Defender для облака определили, что защита от удаления базы данных отключена для баз данных. Защита от удаления базы данных предотвращает случайное или несанкционированное удаление, требуя дополнительного подтверждения перед удалением базы данных. Без этой защиты критически важные данные подвергаются потенциальной потере от человеческой ошибки или неправильно настроенной автоматизации.

Серьезность: средний

Расписание резервного копирования по умолчанию для новых баз данных должно быть включено

Описание. Включение расписания резервного копирования по умолчанию для нового экземпляра Spanner гарантирует автоматическую защиту данных от создания баз данных. Это помогает поддерживать согласованные резервные копии без ручного вмешательства и снижает риск человеческой ошибки. Регулярные резервные копии предоставляют варианты восстановления в случае случайного удаления данных, повреждения или сбоя системы. Если расписание резервного копирования по умолчанию не включено, новые базы данных могут оставаться незащищенными и уязвимыми, что повышает риск постоянной потери данных. Рекомендуется включить этот параметр для повышения устойчивости базы данных и непрерывности бизнес-процессов.

Серьезность: средний

Определенные периоды хранения моментальных снимков должны применяться для кластеров Redshift

Description: Defender для облака определенный неопределенный срок хранения в моментальных снимках Amazon Redshift, где моментальные снимки настроены так и не истекать (срок хранения, установленный для -1). Это представляет собой риск накапливать ненужные затраты на хранение и длительное воздействие потенциально конфиденциальных данных. Определение периода хранения гарантирует автоматическое очистку устаревших моментальных снимков, что снижает как финансовые последствия, так и уязвимости безопасности.

Серьезность: низкая

Защита от удаления должна быть включена в кластерах Amazon DocumentDB

Description: Defender для облака определили, что защита удаления не включена в кластерах Amazon DocumentDB. Защита от удаления — это защита, которая предотвращает случайное или вредоносное удаление кластеров баз данных. Без этого кластеры DocumentDB подвергаются рискам несанкционированного удаления, что приводит к значительному простою и нарушению работы. Активируйте защиту удаления для обеспечения безопасности и доступности данных.

Серьезность: средний

Защита от удаления должна быть включена в базах данных Firestore

Description: Defender для облака идентифицированные базы данных Firestore с защитой удаления, отключенной в Firestore. Защита от удаления предотвращает удаление баз данных, если только явно не отключается. Без этой защиты случайные или вредоносные удаления могут привести к необратимой потере данных и нарушению работы в рабочих средах.

Серьезность: средний

Шифрование при передаче должно быть включено в кластерах MemoryDB

Description: Defender для облака, что шифрование TLS (Transport Layer Security) не включено в кластере MemoryDB. TLS защищает данные и обмен данными клиента путем шифрования передаваемых данных. Без включения TLS данные при передаче подвержены перехвату и изменению несанкционированными сторонами.

Серьезность: средний

Шифрование при передаче должно быть включено в кэше на основе кластера

Description: Defender для облака определили, что шифрование при передаче не включено в кэше на основе кластера, используемом ElastiCache. Шифрование при передаче защищает данные по мере перемещения между узлами кэша и клиентскими приложениями. Без нее конфиденциальные сведения могут быть подвержены перехвату или нарушению во время передачи, созданию риска нарушений данных и несоответствию рекомендациям по обеспечению безопасности.

Серьезность: средний

Шифрование с помощью службы управления ключами AWS должно быть включено в шине событий EventBridge

Description: Defender для облака определили, что шина событий EventBridge не использует ключ службы управления ключами AWS для шифрования данных, управляемый клиентом. Ключи KMS, управляемые клиентом, обеспечивают расширенный контроль с функциями смены ключей, которые критически важны для защиты конфиденциальных данных. Без этой конфигурации шина событий использует ключи, управляемые AWS, которые могут не соответствовать строгим стандартам соответствия и безопасности.

Серьезность: низкая

Убедитесь, что планы резервного копирования AWS включают действия копирования между регионами или между учетными записями

Описание. Планы резервного копирования AWS без действий копирования между регионами или между учетными записями хранят точки восстановления в одном расположении, повышая риск потери данных из-за региональных сбоев, компрометации учетных записей или программ-шантажистов. Настройка действий копирования повышает устойчивость резервного копирования, обеспечивая сохранение точек восстановления в независимой границе безопасности и доступности.

Серьезность: низкая

Явное переопределение запроса должно быть настроено для Amazon Bedrock Agent

Description: Defender для облака идентифицированные неконтролируемые параметры переопределения параметров запроса в Amazon Bedrock Agent. Эти агенты, выполняющие задачи генерированного искусственного интеллекта, подвергаются риску при неправильной настройке элементов управления, что позволяет небезопасным инструкциям обойти установленные механизмы безопасности. Такая неправильное настройка может привести к непредсказуемому поведению ИИ и потенциальным нарушениям безопасности или соответствия требованиям, что приводит к подрыву надежной работы служб.

Серьезность: средний

Шифрование при передаче должно быть включено для экземпляров Memorystore для экземпляров Redis

Description: Defender для облака определили, что при передаче шифрование отключено для экземпляров Memorystore для экземпляров Redis. Шифрование при передаче, обычно предоставляемое через TLS, защищает данные по мере перемещения по сети. Без него конфиденциальные кэшированные данные передаются в виде открытого текста, предоставляя их перехвату, проверке трафика и атакам в середине, которые могут скомпрометировать конфиденциальность и целостность данных.

Серьезность: средний

Конфигурация управляемого ключа KMS должна быть включена для шифрования на стороне сервера SQS.

Description: Defender для облака определили, что очередь SQS не настроена на использование управляемых ключей KMS для шифрования на стороне сервера. Управляемые ключи KMS полностью контролируются службой управления ключами и обеспечивают расширенный надзор за жизненным циклом ключей и аудитом доступа. Без этих элементов управления очередь сталкивается с повышенным риском несанкционированного использования ключей и снижением защиты конфиденциальных данных.

Серьезность: средний

Сопоставление полей базы знаний должно быть безопасно настроено в Amazon Bedrock

Description: Defender для облака определили неправильно настроенные сопоставления полей в Базах знаний Amazon Bedrock. Это представляет риск повреждения внедрения и получения неточного документа, что может привести к небезопасным или вводящим в заблуждение выходным данным в конвейерах добавочного поколения (RAG) при сопоставлении полей векторов, текста и метаданных, являются неполными или неправильными.

Серьезность: высокий уровень

Блокировка Конфигурации должна быть включена в Хранилище резервных копий

Description: Defender для облака определили, что блокировка Не включена в Хранилище резервных копий. LockConfiguration предотвращает несанкционированные изменения или удаление критически важных параметров резервного копирования, обеспечивая безопасность точек восстановления. Без этого управления хранилище резервных копий рискует повысить риск случайных или вредоносных изменений, которые могут компрометировать устойчивость данных и целостность резервных копий. Подробнее.

Серьезность: средний

Учетные данные управляемого администратора должны быть включены для кластеров Amazon Redshift

Description: Defender для облака определили, что кластеры Amazon Redshift не используют учетные данные управляемого администратора. Учетные данные управляемого администратора включают безопасное хранение административных учетных данных в диспетчере секретов AWS с автоматическим поворотом, что снижает риск воздействия учетных данных. Без этой настройки существует повышенный риск несанкционированного доступа к базе данных и потенциальных нарушений данных.

Серьезность: средний

Управление версиями объектов должно быть включено в контейнерах LightSail

Description: Defender для облака определили, что управление версиями объектов отключено в контейнере LightSail. Управление версиями объектов автоматически сохраняет и сохраняет исторические копии объектов, необходимые для восстановления данных из случайных удалений, изменений или повреждения. Без этой функции любые несанкционированные изменения или ошибки могут окончательно скомпрометирует целостность данных.

Серьезность: низкая

Переопределение синтаксического анализа должно быть отключено для Amazon Bedrock Agent

Description: Defender для облака определен параметр переопределения пользовательского средства синтаксического анализа (ParserMode = OVERRIDDEN) в Amazon Bedrock Agent. Пользовательские переопределения синтаксического анализа изменяют механизм синтаксического анализа по умолчанию в соответствии с конкретными требованиями к выходным данным, но могут повысить операционную сложность, что может привести к ошибкам синтаксического анализа или раскрытию уязвимостей системы безопасности, если они не поддерживаются строго. Мы рекомендуем отключить эту переопределение, если не является важной строгой проверкой выходных данных.

Серьезность: высокий уровень

Восстановление на момент времени должно быть включено для баз данных Firestore

Description: Defender для облака идентифицированные базы данных Firestore с отключенным восстановлением (PITR). PITR — это функция, которая позволяет восстанавливать данные из определенной метки времени в течение периода хранения, защищая от случайных удалений и ошибочных операций записи. Без PITR базы данных подвергаются риску расширенной потери данных и потенциальных проблем при восстановлении целостности данных после инцидентов.

Серьезность: средний

Состояние выполнения запроса должно быть включено для критически важных этапов агента в Amazon Bedrock

Description: Defender для облака идентифицированное состояние выполнения отключено для критически важных этапов агента в Amazon Bedrock. Критически важные этапы агента, такие как оркестрация и создание ответов базы знаний, жизненно важны для обеспечения полной причины и точных выходных данных. Отключение этих этапов представляет риск создания небезопасных, неполных или неправильных ответов, что может привести к скомпрометированному поведению агента и общей целостности системы.

Серьезность: высокий уровень

Настройка общедоступного блока доступа должна быть включена в точке доступа AWS S3

Description: Defender для облака, определяемая конфигурацией общедоступного блока доступа, не включена в точке доступа AWS S3. Параметры общедоступного блока доступа предназначены для предотвращения непреднамеренной общедоступной экспозиции, автоматически блокируя общедоступный доступ к ресурсам S3 независимо от разрешений на уровне контейнера или объекта. Без этого параметра существует повышенный риск несанкционированного доступа к конфиденциальным данным, хранящимся в контейнерах S3.

Серьезность: высокий уровень

Description: Defender для облака определили, что в разделах SNS включен неограниченный доступ издателя. Этот параметр позволяет любой сущности публиковать уведомления в ваших разделах, что может привести к несанкционированным оповещениям, спаму или даже вредоносным сообщениям, которые ослабляют надежность и безопасность системы уведомлений. Обеспечивая доступ издателя, вы свести к минимуму эти риски и повысить общую целостность инфраструктуры обмена сообщениями.

Серьезность: высокий уровень

Description: Defender для облака определили, что подписки SNS Topic являются общедоступными. Здесь "общедоступный доступ" означает, что любая сущность может подписываться и получать уведомления, предоставляя систему обмена сообщениями несанкционированным мониторингу и утечке данных. Такое воздействие может позволить злоумышленникам перехватывать или злоупотреблять конфиденциальной информацией. Рекомендуется настроить подписки, чтобы разрешить только утвержденных подписчиков. Подробнее.

Серьезность: высокий уровень

Общедоступные домены электронной почты должны быть запрещены получать привилегированные роли в BigQuery

Description: Defender для облака определены высоко привилегированные роли BigQuery (например, OWNER, WRITER или Admin), назначенные участникам с общедоступными доменами электронной почты. Общедоступные домены электронной почты являются внешними для управления жизненным циклом удостоверений организации, что представляет риск несанкционированного изменения, удаления или эскалации разрешений.

Серьезность: высокий уровень

Общедоступный доступ на чтение в контейнерах LightSail должен быть отключен

Description: Defender для облака определили, что контейнер LightSail разрешает общедоступный доступ на чтение. Этот параметр позволяет любому пользователю получать доступ к хранимым объектам без проверки подлинности, что делает конфиденциальные данные уязвимыми для несанкционированного воздействия и эксплуатации.

Серьезность: высокий уровень

Метки ресурсов должны быть настроены в репозиториях реестра артефактов

Description: Defender для облака идентифицированы отсутствующие метки ресурсов в репозиториях. Метки ресурсов — это пары "ключ-значение", которые классифицируют репозитории и обеспечивают автоматическое применение политик безопасности. Без соответствующих меток возникает повышенный риск неправильной настройки и несанкционированного доступа из-за несогласованных элементов управления безопасностью.

Серьезность: низкая

Безопасные соединители должны быть включены для экземпляров AlloyDB

Description: Defender для облака определенных небезопасных параметров подключения клиента в экземпляре AlloyDB. Оценка проверяет свойство "Требовать соединители", которое при установке на значение false разрешает прямые подключения протокола PostgreSQL без безопасного посредника, такого как прокси-сервер auth Db. Это проходит проверку подлинности на основе IAM и автоматическое шифрование TLS, повышая риск более слабой проверки подлинности и потенциальное воздействие незашифрованного трафика в VPC.

Серьезность: средний

Группы безопасности должны быть настроены для кластеров MemoryDB

Description: Defender для облака идентифицированный кластер MemoryDB без каких-либо групп безопасности. Группы безопасности работают в качестве правил брандмауэра, которые регулируют как входящий, так и исходящий трафик для кластера. Без них кластер подвергается риску несанкционированного доступа и потенциальных нарушений данных. Включение групп безопасности может значительно снизить этот риск, гарантируя, что доступ к кластеру MemoryDB разрешен только утвержденным трафиком.

Серьезность: средний

Группы безопасности должны быть настроены для ограничения доступа для ElastiCache

Description: Defender для облака определили недостаточно конфигураций групп безопасности в службе ElastiCache. Группы безопасности — это сетевые фильтры, которые управляют трафиком между ресурсами; если они не настроены должным образом, они не могут применять точные ограничения доступа, потенциально предоставляя кэш несанкционированным доступом и эксплуатации. Это повышает риск нарушений данных и других инцидентов безопасности. Подробнее.

Серьезность: низкая

Группы безопасности должны ограничить доступ для ElastiCache

Description: Defender для облака определены ограничения группы безопасности в настройке ElastiCache. Группы безопасности действуют как виртуальные брандмауэры, которые управляют доступом пользователей и экземпляров, и недостаточно сегментации могут привести к несанкционированным доступу, повышая риск воздействия данных и потенциально вредоносных действий. Мы рекомендуем просматривать и применять детализированные правила доступа, чтобы обеспечить взаимодействие только авторизованных пользователей и процессов с ресурсами ElastiCache.

Серьезность: низкая

Журналы безопасности должны быть включены для группы репликации ElastiCache

Description: Defender для облака определили, что ведение журнала не включено для группы репликации ElastiCache. Эта рекомендация была активирована при обнаружении отсутствия журналов подсистемы, которые фиксируют подробные операционные события или медленные журналы, отслеживающие проблемы задержки. Без этих журналов потенциальные аномалии и несанкционированные действия могут оказаться незамеченными, что повышает риск отложенного реагирования на инциденты или нарушений безопасности. Подробнее.

Серьезность: низкая

Устранение рисков воздействия конфиденциальных данных должно быть включено в выходных данных стека CloudFormation AWS

Description: Defender для облака идентифицированные конфиденциальные выходные данные в стеке CloudFormation AWS. Выходные данные CloudFormation используются для передачи данных между стеками, но не должны включать конфиденциальные сведения, такие как пароли, ключи API, маркеры или учетные данные. Предоставление этих сведений повышает риск несанкционированного доступа к данным. Удалите эти выходные данные или безопасно храните секретные данные с помощью диспетчера секретов AWS или хранилища параметров SSM. Дополнительные сведения см. здесь: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Серьезность: высокий уровень

Конфиденциальные параметры должны включать атрибут NoEcho в стеках AWS CloudFormation

Description: Defender для облака определены стеки AWS CloudFormation с параметрами, отсутствующими атрибутом NoEcho. Атрибут NoEcho маскирует конфиденциальные значения из журналов и выходных данных, предотвращая предоставление учетных данных и других конфиденциальных данных. Без него ваши стеки могут утечки критически важных сведений, что повысило риск несанкционированного доступа. Мы рекомендуем обновить шаблоны, чтобы включить параметр NoEcho, где это применимо.

Серьезность: высокий уровень

Шифрование на стороне сервера должно быть включено для источников данных Баз знаний Amazon Bedrock

Description: Defender для облака определили отсутствие конкретной конфигурации шифрования на стороне сервера в источниках данных Базы знаний Amazon Bedrock. Без надлежащей конфигурации ServerSideEncryptionConfiguration, приема документов, метаданных и обработки артефактов могут храниться незашифрованные или управляемые AWS ключи, уменьшая контроль над шифрованием, сменой ключей и возможностями аудита, что повышает риск несанкционированного доступа к данным и снижает управление безопасностью.

Серьезность: средний

Шифрование на стороне сервера должно быть включено в очередях SQS

Description: Defender для облака определили, что шифрование на стороне сервера (SSE) не включено в очередях SQS. SSE — это метод, использующий ключи шифрования для преобразования конфиденциальных данных в непрочитаемый формат, пока он не будет правильно расшифровывается. Без этой защиты очереди SQS подвергаются риску несанкционированного доступа к данным, потенциально предоставляя конфиденциальную информацию и приводя к нарушениям безопасности данных и проблемам соответствия требованиям.

Серьезность: высокий уровень

Строгие ограничения доступа между учетными записями должны быть настроены в контейнерах LightSail

Description: Defender для облака определенный доступ между учетными записями в контейнере LightSail. Доступ между учетными записями возникает, когда учетные записи AWS за пределами доверенной среды предоставляются разрешения на доступ к объектам контейнеров. Это представляет риск несанкционированного воздействия данных, если эти внешние учетные записи неизвестны или не определены. Ограничение доступа исключительно к учетным записям с законной потребностью может помочь защитить конфиденциальную информацию.

Серьезность: средний

Неподключенные тома EBS должны быть удалены или присоединены к экземпляру EC2.

Description: Defender для облака обнаружен неподключенные тома EBS. Тома EBS — это устройства хранения постоянных блоков, предназначенные для вложения к экземплярам EC2. Неподключенные тома могут указывать на потерянные ресурсы из завершенных экземпляров, увеличивая область атаки и, возможно, удерживая конфиденциальные данные, которые больше не получают активного мониторинга безопасности.

Серьезность: низкая

Нераспределенные подписки должны иметь политики истечения срока действия, настроенные в подписках Pub/Sub

Description: Defender для облака определены отсутствующие политики истечения срока действия в подписках Pub/Sub. Политики истечения срока действия определяют, сколько времени неактивная подписка остается активной перед автоматическим удалением. Без этой конфигурации подписки могут продолжать хранить данные на неопределенный срок, что приводит к увеличению затрат на хранение конфиденциальных данных и более высокому риску хранения конфиденциальной информации дольше, чем необходимо. Дополнительные сведения см. в https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period

Серьезность: низкая

Неиспользуемые домены CodeArtifact следует удалить

Description: Defender для облака идентифицированные домены CodeArtifact не имеют активных репозиториев или артефактов в CodeArtifact. Неиспользуемый домен — это домен, который не размещает текущее содержимое, но по-прежнему может содержать устаревшие параметры, такие как устаревшие разрешения или ключи шифрования. Это создает риск, расширяя область атаки плоскости управления и потенциально обеспечивая несанкционированный доступ. Подробнее.

Серьезность: низкая

Рекомендации ПО AWS/GCP для межсайтовых данных и сетевых рекомендаций

Для кластеров Redis следует включить шифрование при передаче данных в хранилище памяти для кластеров Redis.

Description: Defender для облака определили, что в кластерах Redis отсутствует транзитное шифрование. Сквозное шифрование (TLS) защищает данные между клиентами и кластерами Redis, включая учетные данные проверки подлинности и кэшированные данные. Без ПРОТОКОЛА TLS злоумышленники с сетевым доступом через общие виртуальные машины, пиринговые сети или скомпрометированные рабочие нагрузки могут перехватывать или изменять эти конфиденциальные данные, повышая риск воздействия и манипуляции данными.

Серьезность: средний

Доступ к общедоступной сети должен быть отключен для службы реляционной базы данных LightSail

Description: Defender для облака определили, что доступ к общедоступной сети включен в службе реляционной базы данных LightSail. Доступ к общедоступной сети означает, что база данных принимает подключения через Интернет, который проходит ограничения сети и предоставляет его несанкционированным доступом. Эта конфигурация повышает риск кражи данных или потери данных путем предоставления потенциальных точек входа злоумышленникам.

Серьезность: высокий уровень

Для кластеров Amazon Aurora должно быть включено обратное отслеживание

Описание. Этот элемент управления проверяет, включены ли кластеры Amazon Aurora.

Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также обеспечивают возможность восстановления ваших систем. Обратное отслеживание Aurora сокращает время восстановления базы данных до точки во времени. Для этого не требуется восстановление базы данных.

Дополнительные сведения об обратном отслеживании в Aurora см. в разделе Backtracking an Aurora DB cluster (Обратное отслеживание в кластере Aurora DB) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Моментальные снимки Amazon EBS не должны быть общедоступными для восстановления

Описание. Моментальные снимки Amazon EBS не должны быть общедоступными для всех, если не разрешено явно, чтобы избежать случайного воздействия данных. Кроме того, разрешение на изменение конфигураций Amazon EBS должно быть предоставлено только уполномоченным учетным записям AWS.

Серьезность: высокий уровень

У определений задач ECS должны быть защищенные сетевые режимы и определения пользователей

Описание. Этот элемент управления проверяет, имеет ли активное определение задачи Amazon ECS, которое имеет режим сети узла, также имеет привилегированные или пользовательские определения контейнеров. Элемент управления завершается ошибкой для определений задач, которые используют режим сети узла и определения контейнеров, где параметр privileged=false (или пустое значение) и user=root (или пустое значение). Если определение задачи имеет повышенные привилегии, это связано с тем, что клиент, в частности, принял участие в этой конфигурации. Этот элемент управления проверяет непредвиденное повышение привилегий, если определение задачи включило сеть узлов, но клиент не принял участие в повышенных привилегиях.

Серьезность: высокий уровень

Домены Amazon Elasticsearch Service должны шифровать данные, передаваемые между узлами

Описание. Этот элемент управления проверяет, включена ли шифрование доменов Amazon ES для узлов. Протокол HTTPS (TLS) можно использовать для предотвращения несанкционированного перехвата или управления сетевым трафиком с помощью атак "злоумышленник в середине" или аналогичных атак. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Включение шифрования между узлами для доменов Amazon ES гарантирует, что обмен данными внутри кластера будет шифроваться. С этой конфигурацией может быть связано снижение производительности. Прежде чем включать этот параметр, необходимо изучить и протестировать допустимые потери производительности.

Серьезность: средний

Для доменов Amazon Elasticsearch Service должно быть включено шифрование неактивных данных

Описание. Важно включить шифрование остальных доменов Amazon ES для защиты конфиденциальных данных

Серьезность: средний

База данных Amazon RDS должна быть зашифрована с помощью управляемого клиентом ключа

Описание. Эта проверка определяет базы данных RDS, зашифрованные ключами KMS по умолчанию, а не управляемыми клиентом ключами. В качестве ведущей практики используйте управляемые клиентом ключи, чтобы шифровать данные в базах данных RDS и поддерживать контроль над ключами и данными на конфиденциальных рабочих нагрузках.

Серьезность: средний

Экземпляр Amazon RDS должен быть настроен с параметрами автоматического резервного копирования

Описание. Эта проверка определяет экземпляры RDS, которые не задаются с параметром автоматического резервного копирования. При настройке автоматического резервного копирования RDS создает моментальный снимок тома хранилища экземпляра базы данных, резервное копирование всего экземпляра базы данных и не только отдельных баз данных, которые обеспечивают восстановление на определенный момент времени. Автоматическое резервное копирование происходит во время указанного периода резервного копирования и сохраняет резервные копии в течение ограниченного периода времени, как определено в период хранения. Рекомендуется настроить автоматическое резервное копирование для критически важных серверов RDS, которые помогают в процессе восстановления данных.

Серьезность: средний

Для кластеров Amazon Redshift должно быть включено ведение журналов аудита

Описание. Этот элемент управления проверяет, включен ли кластер Amazon Redshift ведение журнала аудита. Ведение журнала аудита Amazon RedShift обеспечивает дополнительные сведения о подключениях и действиях пользователей в кластере. Эти данные можно хранить и защищать в Amazon S3. Они могут быть полезны в аудите безопасности и расследованиях инцидентов. Дополнительные сведения см. в разделе Database audit logging (Ведение журнала аудита базы данных) в руководстве по управлению кластером Amazon RedShift.

Серьезность: средний

Для кластеров Amazon Redshift должны быть включены автоматические моментальные снимки

Описание. Этот элемент управления проверяет, включены ли кластеры Amazon Redshift автоматические моментальные снимки. Он также проверяет, превышает ли срок хранения моментальных снимков семи дней.

Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они обеспечивают возможность восстановления систем. Amazon RedShift по умолчанию периодически создает моментальные снимки. Этот элемент управления проверяет, включено ли автоматическое создание моментальных снимков и хранятся ли они дольше семи дней. Дополнительные сведения об автоматических моментальных снимках Amazon Redshift см. в руководстве по управлению кластерами Amazon Redshift.

Серьезность: средний

Кластеры Amazon Redshift должны запрещать открытый доступ

Описание. Рекомендуется использовать кластеры Amazon Redshift, чтобы избежать общедоступной доступности, оценивая поле "publiclyAccessible" в элементе конфигурации кластера.

Серьезность: высокий уровень

В Amazon Redshift должно быть включено автоматическое обновление до основных номеров версии

Описание. Этот элемент управления проверяет, включены ли автоматические обновления основных версий для кластера Amazon Redshift. Включение автоматического обновления до основных номеров версий гарантирует, что в течение периода обслуживания на кластеры Amazon RedShift будут устанавливаться последние обновления для основных номеров версий. Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: средний

Очереди Amazon SQS должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверяет, шифруются ли очереди Amazon SQS неактивных данных. Шифрование на стороне сервера (SSE) позволяет передавать конфиденциальные данные в зашифрованные очереди. Для защиты содержимого сообщений в очередях служба SSE использует ключи, управляемые в AWS KMS. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Queue Service.

Серьезность: средний

Подписка на уведомления о событиях RDS должна быть настроена для критических событий кластера

Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS, включающая уведомления для следующего типа источника: пары "Категория "ключ-значение" категории событий. DBCluster: [обслуживание и сбой]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий экземпляра базы данных

Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBInstance: [Обслуживание, изменение конфигурации и сбой]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы параметров базы данных

Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBParameterGroup: ["configuration","change"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы безопасности базы данных

Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBSecurityGroup: [Конфигурация, изменение, сбой]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Ведение журналов операций API REST и WebSocket в API Gateway должно быть включено

Описание. Этот элемент управления проверяет, включены ли все этапы rest или WebSocket API шлюза API Amazon. Элемент управления завершается ошибкой, если ведение журнала не включено для всех методов этапа или если уровень ведения журнала не является ошибкой или info. Для этапов REST API шлюза API и WebSocket API должны быть включены соответствующие журналы. Ведение журнала выполнения REST API шлюза API или WebSocket API обеспечивает подробные записи о запросах, выполненных на этапах REST API шлюза API или WebSocket API. Эти этапы включают в себя ответы серверной части интеграции API, ответа на лямбда-запросы авторизации и идентификаторы requestId запросов для конечных точек интеграции AWS.

Серьезность: средний

Данные кэша REST API шлюза API должны быть зашифрованы как неактивные данные

Описание. Этот элемент управления проверяет, шифруются ли все методы на этапах REST API шлюза API, в которых включен кэш. Элемент управления завершается ошибкой, если какой-либо метод на этапе REST API шлюза API настроен для кэширования, и кэш не шифруется. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Добавляется еще один набор элементов управления доступом для ограничения доступа к данным неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Чтобы обеспечить дополнительный уровень безопасности, следует шифровать неактивные данные в кэшах REST API шлюза API.

Серьезность: средний

Этапы REST API шлюза API должны быть настроены для использования SSL-сертификатов для внутренней проверки подлинности

Описание. Этот элемент управления проверяет, настроены ли этапы REST API ШЛЮЗа REST API Amazon. Серверные системы используют эти сертификаты для проверки подлинности входящих запросов из шлюза API. На этапах REST API шлюза API должны быть настроены SSL-сертификаты, позволяющие серверным системам проверять подлинность запросов, исходящих от шлюза API.

Серьезность: средний

Для этапов REST API службы API Gateway должно быть включено отслеживание X-Ray AWS

Описание. Этот элемент управления проверяет, включена ли активная трассировка AWS X-Ray для этапов REST API шлюза API Amazon. Активная трассировка X-Ray позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Изменение производительности может привести к недостаточному уровню доступности API. Активная трассировка X-Ray в реальном времени предоставляет метрики запросов пользователей, которые используются в операциях REST API шлюза API и подключенных службах.

Серьезность: низкая

Шлюз API должен быть связан с веб-списком управления доступом AWS WAF

Описание. Этот элемент управления проверяет, использует ли этап шлюза API список управления веб-доступом AWS WAF (ACL). Этот элемент управления завершается ошибкой, если веб-ACL AWS WAF не подключен к этапу шлюза REST API. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить список управления доступом (ACL), который представляет собой набор правил, разрешающих, блокирующих или подсчитывающих веб-запросы на основе настраиваемых правил веб-безопасности и определяемых условий. Убедитесь, что ваш этап шлюза API связан с списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.

Серьезность: средний

Необходимо включить ведение журналов для балансировщика нагрузки приложения и классического балансировщика

Description. Этот элемент управления проверяет, включено ли ведение журнала Load Balancer приложения и классической Load Balancer. Если элемент управления имеет значение false, элемент управления завершается ошибкой access_logs.s3.enabled . Служба эластичной балансировки нагрузки предоставляет журналы доступа, в которые записываются подробные сведения о запросах, отправляемых в подсистему балансировки нагрузки. Каждый журнал содержит такие сведения, как время получения запроса, IP-адрес клиента, задержки, пути запросов и ответы сервера. Журналы доступа можно использовать для анализа шаблонов трафика и устранения неполадок. Дополнительные сведения см. в журналах Access для классических Load Balancer в руководстве пользователя по классическим подсистемам балансировки нагрузки.

Серьезность: средний

Подключенные тома EBS должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверяет, шифруются ли тома EBS, которые находятся в подключенном состоянии. Чтобы пройти эту проверку, необходимо, чтобы тома EBS использовались и шифровались. Если том EBS не подключен, он не подлежит этой проверке. Чтобы обеспечить дополнительный уровень безопасности конфиденциальных данных в томах EBS, следует включить шифрование неактивных данных EBS. Шифрование Amazon EBS предлагает простое решение для шифрования ресурсов EBS, которое не требует создания, обслуживания и защиты собственной инфраструктуры управления ключами. При создании зашифрованных томов и моментальных снимков в нем используются главные ключи клиента (CMK) службы AWS KMS. Дополнительные сведения о шифровании Amazon EBS см. в разделе Amazon EBS encryption (Шифрование Amazon EBS) в руководстве пользователя Amazon EC2 для экземпляров Linux.

Серьезность: средний

Экземпляры репликации AWS Database Migration Service не должны быть общедоступными

Описание. Защита реплицированных экземпляров от угроз. Экземпляр частной репликации должен иметь частный IP-адрес, к которому невозможно получить доступ за пределами сети репликации. Экземпляр репликации должен иметь частный IP-адрес, если исходная и целевая базы данных находятся в одной сети, которая подключена к облаку VPC экземпляра репликации с помощью VPN, AWS Direct Connect или пиринга VPC. Также следует убедиться, что доступ к конфигурации экземпляра AWS DMS предоставлен только уполномоченным пользователям. Для этого ограничьте для пользователей разрешения IAM на изменение параметров и ресурсов AWS DMS.

Серьезность: высокий уровень

Классические Load Balancer прослушиватели должны быть настроены с использованием протокола HTTPS или завершения TLS

Description. Этот элемент управления проверяет, настроены ли классические прослушиватели Load Balancer с помощью протокола HTTPS или TLS для подключений внешнего интерфейса (клиента к load balancer). Элемент управления применим, если в классическом Load Balancer есть прослушиватели. Если классический Load Balancer не настроен прослушиватель, элемент управления не сообщает о результатах. Элемент управления передается, если классические прослушиватели Load Balancer настроены с помощью TLS или HTTPS для интерфейсных подключений. Элемент управления завершается ошибкой, если прослушиватель не настроен с помощью TLS или HTTPS для интерфейсных подключений. Прежде чем приступить к использованию подсистемы балансировки нагрузки, необходимо добавить один или несколько прослушивателей. Прослушиватель — это процесс, использующий настроенный протокол и порт для проверки на наличие запросов на подключение. Прослушиватели могут поддерживать протоколы HTTP и HTTPS/TLS. Следует всегда использовать прослушиватель HTTPS или TLS, чтобы подсистема балансировки нагрузки применяла шифрование и расшифровку при передаче данных.

Серьезность: средний

Для классических балансировщиков нагрузки должен быть включен сток подключений

Описание. Этот элемент управления проверяет, включены ли классические подсистемы балансировки нагрузки. Включение очистки подключений в классических подсистемах балансировки нагрузки гарантирует, что подсистема балансировки нагрузки перестает отправлять запросы в экземпляры, которые отменяют регистрацию или неработоспособны. Имеющиеся подключения остаются открытыми. Это полезно для экземпляров в группах автоматического масштабирования, чтобы убедиться, что подключения не были резко удалены.

Серьезность: средний

Для распределений CloudFront должен быть включен брандмауэр AWS WAF

Описание. Этот элемент управления проверяет, связаны ли дистрибутивы CloudFront с веб-списками ACL AWS WAF или AWS WAFv2. Элемент управления завершается ошибкой, если распределение не связано с веб-ACL. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить набор правил, которые называются списком управления веб-доступом. Эти правила разрешают, блокируют или подсчитывают веб-запросы на основе настраиваемых правил веб-безопасности и условий, определяемых вами. Убедитесь, что ваш дистрибутив CloudFront связан со списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.

Серьезность: средний

Для распределений CloudFront должно быть включено ведение журналов

Описание. Этот элемент управления проверяет, включена ли ведение журнала доступа к серверу в дистрибутивах CloudFront. Элемент управления завершается ошибкой, если ведение журнала доступа не включено для распространения. Журналы доступа CloudFront предоставляют подробные сведения о каждом запросе пользователя, который получает CloudFront. Каждый журнал содержит такие сведения, как дата и время получения запроса, IP-адрес пользователя, который сделал запрос, источник запроса и номер порта запроса от пользователя. Эти журналы полезны для таких задач, как аудит безопасности и доступа, а также проведение экспертизы. Дополнительные сведения об анализе журналов доступа см. в разделе "Запрос журналов Amazon CloudFront" в руководстве пользователя Amazon Athena.

Серьезность: средний

Распределения CloudFront должны требовать шифрование при передаче

Описание. Этот элемент управления проверяет, требуется ли дистрибутив Amazon CloudFront использовать HTTPS напрямую или использовать перенаправление. Элемент управления возвращает ошибку, если для параметра ViewerProtocolPolicy задано значение allow-all в свойстве defaultCacheBehavior или cacheBehaviors. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.

Серьезность: средний

Журналы CloudTrail должны быть зашифрованы в неактивном режиме с помощью ключей CMK KMS

Описание. Мы рекомендуем настроить CloudTrail для использования SSE-KMS. Настройка CloudTrail для использования SSE-KMS обеспечивает более конфиденциальные элементы управления данными журнала, так как у данного пользователя должно быть разрешение на чтение S3 в соответствующем контейнере журналов и должно быть предоставлено разрешение расшифровки политикой CMK.

Серьезность: средний

Подключения к кластерам Amazon Redshift должны шифроваться при передаче

Описание. Этот элемент управления проверяет, требуются ли подключения к кластерам Amazon Redshift для использования шифрования при передаче. Проверка завершается ошибкой, если параметр кластера Amazon Redshift require_SSL не задан в значение 1. Протокол TLS можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу TLS. Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.

Серьезность: средний

Подключения к доменам Elasticsearch должны быть зашифрованы с помощью TLS 1.2

Описание. Этот элемент управления проверяет, требуются ли подключения к доменам Elasticsearch для использования TLS 1.2. Проверка завершается ошибкой, если домен Elasticsearch TLSSecurityPolicy не является Policy-Min-TLS-1-2-2019-07. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS. Протокол TLS 1.2 содержит несколько улучшений безопасности по сравнению с предыдущими версиями TLS.

Серьезность: средний

Для таблиц DynamoDB должно быть включено восстановление на определенный момент времени

Описание. Этот элемент управления проверяет, включена ли функция восстановления на определенный момент времени (PITR) для таблицы Amazon DynamoDB.

Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также обеспечивают возможность восстановления ваших систем. Восстановление до точки во времени DynamoDB позволяет автоматизировать резервное копирование таблиц DynamoDB. Это сокращает время восстановления после непреднамеренных операций удаления или записи.

Таблицы DynamoDB с включенным PITR можно восстановить до любой точки во времени в пределах последних 35 дней.

Серьезность: средний

Должно быть включено шифрование EBS по умолчанию

Описание. Этот элемент управления проверяет, включена ли шифрование на уровне учетной записи по умолчанию для Amazon Elastic Block Store (Amazon EBS). Элемент управления завершается ошибкой, если шифрование уровня учетной записи не включено. Если для вашей учетной записи включено шифрование, то копии томов и моментальных снимков Amazon EBS шифруются. Это добавляет еще один уровень защиты данных. Дополнительные сведения см. в разделе Encryption by default (Шифрование по умолчанию) в руководстве пользователя Amazon EC2 для экземпляров Linux.

Следующие типы экземпляров не поддерживают шифрование: R1, C1 и M1.

Серьезность: средний

В средах Elastic Beanstalk должны быть включены расширенные отчеты о работоспособности

Описание. Этот элемент управления проверяет, включена ли расширенная отчетность о работоспособности для сред AWS Elastic Beanstalk. Расширенные отчеты о работоспособности Elastic Beanstalk обеспечивают более быстрый отклик на изменения работоспособности базовой инфраструктуры. Такие изменения могут привести к недостаточному уровню доступности приложения. Расширенные отчеты о работоспособности Elastic Beanstalk предоставляют дескриптор состояния для оценки серьезности выявленных проблем и поиска возможных причин, которые можно расследовать. Агент работоспособности Elastic Beanstalk, входящий в состав поддерживаемых образов компьютеров Amazon (AMI), оценивает журналы и метрики экземпляров среды EC2.

Серьезность: низкая

Должны быть включены управляемые обновления платформы для Elastic Beanstalk

Описание. Этот элемент управления проверяет, включены ли обновления управляемой платформы для среды Elastic Beanstalk. Включение обновлений управляемой платформы гарантирует установку самых последних исправлений, обновлений и компонентов платформы для среды. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: высокий уровень

Эластичные Load Balancer не должны иметь срок действия сертификата ACM или истекает в 90 дней.

Описание. Эта проверка определяет эластичные подсистемы балансировки нагрузки (ELB), использующие сертификаты ACM, истекшие или истекшие в 90 дней. Aws Certificate Manager (ACM) — это предпочтительное средство для подготовки, управления и развертывания сертификатов сервера. С ACM. Вы можете запросить сертификат или развернуть существующий ACM или внешний сертификат в ресурсах AWS. Рекомендуется повторно использовать сертификаты с истекающим сроком действия и истекшим сроком действия, сохраняя связи ELB исходного сертификата.

Серьезность: высокий уровень

Необходимо включить ведение журнала ошибок доменов Elasticsearch с записью в журналы CloudWatch

Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch для отправки журналов ошибок в журналы CloudWatch. Необходимо включить журналы ошибок для доменов Elasticsearch и отправлять эти журналы в журналы CloudWatch для хранения и реагирования на них. Журналы ошибок домена могут помочь в аудите безопасности и доступа. Кроме того, они упрощают диагностику проблем с доступностью.

Серьезность: средний

Для доменов Elasticsearch необходимо настроить не менее трех выделенных главных узлов

Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch по крайней мере с тремя выделенными основными узлами. Этот элемент управления завершается ошибкой, если домен не использует выделенные главные узлы. Этот элемент управления возвращает положительный ответ, если домены Elasticsearch используют пять выделенных главных узлов. Однако использование более трех главных узлов может оказаться ненужным для снижения риска доступности и приведет к большей стоимости. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три выделенных главных узла. Ресурсы выделенного главного узла могут быть напряженными во время развертывания синим или зеленым узлом, так как есть больше узлов для управления. Развертывание домена Elasticsearch по крайней мере с тремя выделенными главными узлами обеспечивает достаточную емкость ресурсов главного узла и производительность кластерных операций в случае сбоя узла.

Серьезность: средний

У доменов Elasticsearch должно быть не менее трех узлов данных

Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch по крайней мере с тремя узлами данных и zoneAwarenessEnabled. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три узла данных. Развертывание домена Elasticsearch по крайней мере с тремя узлами данных обеспечивает выполнение кластерных операций в случае сбоя узла.

Серьезность: средний

Для доменов Elasticsearch должно быть включено ведение журналов аудита

Описание. Этот элемент управления проверяет, включены ли домены Elasticsearch ведение журнала аудита. Этот элемент управления завершается ошибкой, если домен Elasticsearch не включен в журнал аудита. Журналы аудита имеют широкие возможности настройки. Они позволяют отслеживать действия пользователей в кластерах Elasticsearch, включая успешные и неудачные попытки пройти проверку подлинности, запросы к OpenSearch, изменения индекса и входящие поисковые запросы.

Серьезность: средний

Должен быть настроен расширенный мониторинг для экземпляров и кластеров базы данных RDS

Описание. Этот элемент управления проверяет, включен ли расширенный мониторинг для экземпляров базы данных RDS. В Amazon RDS расширенный мониторинг позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Подобные изменения производительности могут привести к недостаточному уровню доступности данных. Служба расширенного мониторинга в реальном времени предоставляет метрики операционной системы, в которой запущен экземпляр базы данных RDS. На экземпляре устанавливается агент. Этот агент может получать более точные данные метрик, чем это возможно на уровне гипервизора. Метрики расширенного мониторинга полезны, когда нужно видеть, как разные процессы или потоки в экземпляре базы данных используют ЦП. Дополнительные сведения см. в разделе Enhanced Monitoring (Расширенный мониторинг) в руководстве пользователя Amazon RDS.

Серьезность: низкая

Убедитесь, что включена смена создаваемых клиентом ключей CMK

Описание: AWS служба управления ключами (KMS) позволяет клиентам повернуть резервный ключ, который является ключевым материалом, хранящимся в KMS, привязанным к идентификатору ключа созданного клиентом главного ключа (CMK). Это резервный ключ, используемый для выполнения криптографических операций, таких как шифрование и расшифровка. В настоящее время функция автоматической смены ключей сохраняет все предыдущие резервные ключи, чтобы расшифровка зашифрованных данных могла выполняться прозрачно. Рекомендуется включить поворот ключа CMK. Смена ключей шифрования помогает снизить потенциальное влияние скомпрометированного ключа, так как данные, зашифрованные с помощью нового ключа, не могут быть доступны с помощью предыдущего ключа, который, возможно, был предоставлен.

Серьезность: средний

Убедитесь, что в контейнере S3 CloudTrail включено ведение журнала доступа к контейнеру S3

Описание. Ведение журнала доступа к контейнерам S3 создает журнал, содержащий записи доступа, убедитесь, что в контейнере CloudTrail S3 включен ведение журнала доступа к контейнерам S3 CloudTrail S3 для каждого запроса, выполненного в контейнер S3. Запись журнала доступа содержит подробные сведения о запросе, включая тип запроса, ресурсы, указанные в запросе, а также время и дату обработки запроса. Рекомендуется включить ведение журнала доступа к контейнерам в контейнере CloudTrail S3. Включив ведение журнала контейнеров S3 в целевых контейнерах S3, можно записать все события, которые могут повлиять на объекты в целевых контейнерах. Настройка журналов для размещения в отдельном контейнере позволяет получить доступ к сведениям журнала, которые могут быть полезны в рабочих процессах реагирования на безопасность и инциденты.

Серьезность: низкая

Убедитесь, что контейнер S3, используемый для хранения журналов CloudTrail, не является общедоступным

Описание. CloudTrail регистрирует запись каждого вызова API, сделанного в вашей учетной записи AWS. Эти файлы журналов хранятся в контейнере S3. Рекомендуется применить политику сегментов или список управления доступом (ACL) к контейнеру S3, который CloudTrail регистрирует, чтобы предотвратить общедоступный доступ к журналам CloudTrail. Разрешение общедоступного доступа к содержимому журнала CloudTrail может помочь злоумышленнику выявить слабые места в использовании или конфигурации затронутой учетной записи.

Серьезность: высокий уровень

IAM не должен иметь сертификаты SSL/TLS с истекшим сроком действия

Описание. Эта проверка определяет истекшие сертификаты SSL/TLS. Чтобы включить подключения HTTPS к веб-сайту или приложению в AWS, требуется сертификат сервера SSL/TLS. Для хранения и развертывания сертификатов сервера можно использовать ACM или IAM. Удаление сертификатов SSL/TLS с истекшим сроком действия устраняет риск случайного развертывания недопустимого сертификата в ресурсе, например AWS Elastic Load Balancer (ELB), что может повредить доверие к приложению или веб-сайту за ELB. Эта проверка создает оповещения, если в AWS IAM хранятся сертификаты SSL/TLS с истекшим сроком действия. Рекомендуется удалить просроченные сертификаты.

Серьезность: высокий уровень

Импортированные сертификаты ACM следует продлять через указанный период времени

Описание. Этот элемент управления проверяет, помечены ли сертификаты ACM в вашей учетной записи в течение 30 дней. Он проверяет импортированные сертификаты и сертификаты, предоставляемые диспетчером сертификатов AWS. ACM может автоматически продлевать сертификаты, использующие проверку DNS. Для сертификатов, использующих проверку по электронной почте, необходимо ответить на электронное письмо проверки домена. ACM также не обновляет автоматически импортируемые сертификаты. Необходимо обновлять импортированные сертификаты вручную. Дополнительные сведения об управляемом продлении сертификатов ACM см. в разделе Managed renewal for ACM certificates (Управляемое продление сертификатов ACM) в руководстве пользователя диспетчера сертификатов AWS.

Серьезность: средний

Следует изучить избыточные удостоверения в учетных записях, чтобы уменьшить индекс ползука разрешений (PCI)

Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в учетных записях. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.

Серьезность: средний

Должно быть включено автоматическое обновление дополнительных номеров версий RDS

Описание. Этот элемент управления проверяет, включены ли автоматические обновления дополнительных версий для экземпляра базы данных RDS. Включение автоматического обновления до дополнительных номеров версий гарантирует установку последних обновлений дополнительных номеров версий в системе управления реляционной базой данных (реляционной СУБД). Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: высокий уровень

Моментальные снимки кластера RDS и моментальные снимки базы данных должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверяет, шифруются ли моментальные снимки базы данных RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для моментальных снимков экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Шифрование неактивных данных снижает риск того, что пользователь, не прошедший проверку подлинности, получит доступ к данным, хранящимся на диске. Данные в моментальных снимках RDS должны шифроваться в неактивном режиме для обеспечения дополнительного уровня безопасности.

Серьезность: средний

Для кластеров RDS должна быть включена защита от удаления

Описание. Этот элемент управления проверяет, включена ли защита от удаления кластеров RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Включение защиты удаления кластера — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Если защита от удаления включена, кластер удаленных рабочих служб не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.

Серьезность: низкая

Кластеры базы данных RDS должны быть настроены для нескольких Зоны доступности

Описание. Кластеры базы данных RDS должны быть настроены для нескольких сохраненных данных. Развертывание в нескольких Зоны доступности позволяет автоматизировать Зоны доступности для обеспечения доступности отработки отказа в случае проблемы доступности зоны доступности и во время регулярных событий обслуживания RDS.

Серьезность: средний

Кластеры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки

Описание. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и безопасности. Необходимо иметь представление о всех кластерах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские кластеры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских кластеров базы данных.

Серьезность: низкая

Экземпляры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки

Описание. Этот элемент управления проверяет, настроены ли экземпляры базы данных RDS для копирования всех тегов в моментальные снимки при создании моментальных снимков. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и обеспечения безопасности. Необходимо иметь представление о всех экземплярах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские экземпляры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских экземпляров базы данных.

Серьезность: низкая

Экземпляры базы данных RDS должны быть настроены с несколькими Зоны доступности

Описание. Этот элемент управления проверяет, включена ли высокая доступность для экземпляров базы данных RDS. Экземпляры базы данных RDS должны быть настроены для нескольких Зоны доступности (AZ). Это гарантирует доступность хранящихся в них данных. Развертывания с несколькими az позволяют автоматически выполнять отработку отказа, если возникает проблема с доступностью зоны доступности и во время регулярного обслуживания RDS.

Серьезность: средний

Для экземпляров базы данных RDS должна быть включена защита от удаления

Описание. Этот элемент управления проверяет, включена ли защита от удаления экземпляров базы данных RDS, использующих один из перечисленных ядр субД. Включение защиты удаления экземпляров — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Хотя защита от удаления включена, экземпляр базы данных RDS не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.

Серьезность: низкая

Для экземпляров базы данных RDS должно быть включено шифрование неактивных данных

Описание. Этот элемент управления проверяет, включена ли шифрование хранилища для экземпляров базы данных Amazon RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Для обеспечения дополнительного уровня безопасности конфиденциальных данных в экземплярах базы данных RDS необходимо настроить шифрование экземпляров базы данных RDS. Чтобы шифровать экземпляры базы данных RDS и их моментальные снимки, включите параметр шифрования для экземпляров базы данных RDS. Данные, которые шифруются в неактивном режиме, включают в себя базовое хранилище для экземпляров баз данных, их автоматически созданные резервные копии, реплики чтения и моментальные снимки. Зашифрованные экземпляры базы данных RDS используют алгоритм шифрования на основе открытого стандарта AES-256. Он используется для шифрования данных на сервере, на котором размещены экземпляры базы данных RDS. После шифрования данных Amazon RDS выполняет проверку подлинности доступа и прозрачно расшифровывает данные, минимально влияя на производительность. Вам не нужно изменять клиентские приложения базы данных для использования шифрования. В настоящее время шифрование Amazon RDS доступно для всех ядер СУБД и типов хранилища. Шифрование Amazon RDS доступно для большинства классов экземпляров базы данных. Сведения о классах экземпляров базы данных, которые не поддерживают шифрование Amazon RDS, см. в руководстве пользователя Amazon RDS для шифрования ресурсов Amazon RDS.

Серьезность: средний

Экземпляры базы данных RDS должны запрещать открытый доступ

Описание. Мы рекомендуем также убедиться, что доступ к конфигурации экземпляра RDS ограничен только авторизованными пользователями, ограничивая разрешения IAM пользователей на изменение параметров и ресурсов экземпляров RDS.

Серьезность: высокий уровень

Моментальные снимки RDS должны запрещать открытый доступ

Описание. Рекомендуется разрешить только авторизованным субъектам доступ к моментальному снимку и изменению конфигурации Amazon RDS.

Серьезность: высокий уровень

Удаление неиспользуемых секретов Диспетчера секретов

Описание. Этот элемент управления проверяет, был ли доступ к секретам в течение указанного количества дней. Стандартным значением является 90 дней. Если секрет не был доступ к определенному количеству дней, этот элемент управления завершается ошибкой. Удаление неиспользуемых секретов так же важно, как и смена секретов. Неиспользуемые секреты могут неправомерно использоваться их прежними пользователями, у которых больше не должен быть доступ к этим секретам. Кроме того, по мере того, как все больше пользователей получает доступ к секрету, кто-то может совершить ошибку и допустить его утечку в распоряжение какой-либо неавторизованной сущности, что повышает риск неправомерного использования. Удаление неиспользуемых секретов позволяет отменить доступ к секретам пользователей, которым он больше не требуется. Это также помогает снизить затраты на использование Secrets Manager. Поэтому важно регулярно удалять неиспользуемые секреты.

Серьезность: средний

Для контейнеров S3 должна быть включена репликация между регионами

Описание. Включение репликации между регионами S3 гарантирует доступность нескольких версий данных в разных регионах. Это позволяет защитить контейнер S3 от атак DDoS и повреждения данных.

Серьезность: низкая

Для контейнеров S3 должно быть включено шифрование на стороне сервера

Описание. Включение шифрования на стороне сервера для защиты данных в контейнерах S3. Шифрование данных может препятствовать доступу к конфиденциальным данным в случае нарушения системы безопасности данных.

Серьезность: средний

Секреты Secrets Manager, настроенные с автоматической сменой, должны быть успешно заменены

Описание. Этот элемент управления проверяет, успешно ли повернут секрет диспетчера секретов AWS на основе расписания поворота. Элемент управления возвращает ошибку, если RotationOccurringAsScheduled имеет значение false. Элемент управления не оценивает секреты, которые не настроены на смену. Secrets Manager помогает повысить уровень безопасности организации. Секреты включают в себя учетные данные базы данных, пароли и сторонние ключи API. Secrets Manager можно использовать для централизованного хранения секретов, автоматического шифрования секретов, управления доступом к секретам и безопасной смены секретов. Secrets Manager может выполнять смену секретов. Вы можете использовать смену, чтобы заменить долгосрочные секреты краткосрочными. Смена секретов ограничивает время, в течение которого неуполномоченный пользователь сможет использовать скомпрометированный секрет. По этой причине необходимо часто выполнять смену секретов. Помимо настройки секретов для автоматической смены следует убедиться, что смена секретов выполняется успешно и по расписанию смены. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Секреты Диспетчера секретов следует циклически изменять в течение указанного количества дней

Описание. Этот элемент управления проверяет, поворачиваются ли секреты по крайней мере один раз в течение 90 дней. Смена секретов помогает снизить риск несанкционированного использования секретов в учетной записи AWS. К примерам таких данных относятся учетные данные базы данных, пароли, сторонние ключи API и даже произвольный текст. Если вы не изменяете свои секреты в течение длительного периода времени, секреты, скорее всего, будут скомпрометированы. По мере того, как все больше пользователей получает доступ к секрету, возрастает вероятность того, что кто-то совершит ошибку и допустит утечку секрета в распоряжение неуполномоченной сущности. Возможно утечка секретов посредством журналов и данных в кэше. Могут использоваться общие секреты в целях отладки, которые не были изменены или отменены после отладки. По всем этим причинам секреты следует часто сменять. Вы можете настроить автоматическую смену секретов в AWS Secrets Manager. С помощью автоматической смены можно заменить долгосрочные секреты краткосрочными, что значительно снижает риск компрометации. Центр безопасности рекомендует включить смену секретов Secrets Manager. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Описание. Этот элемент управления проверяет, шифруется ли раздел SNS неактивных данных с помощью AWS KMS. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Оно также добавляет еще один набор элементов управления доступом, чтобы ограничить доступ к данным для неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Разделы SNS должны быть зашифрованы неактивных для дополнительного уровня безопасности. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Notification Service.

Серьезность: средний

Ведение журнала потоков VPC должно быть включено для всех VPC

Описание. Журналы потоков VPC обеспечивают видимость сетевого трафика, который проходит через VPC и может использоваться для обнаружения аномального трафика или анализа во время событий безопасности.

Серьезность: средний

Рекомендации по данным GCP

Убедитесь, что флаг базы данных 3625 (флаг трассировки) для экземпляра Cloud SQL SQL Server задано значение off.

Description. Рекомендуется задать флаг базы данных "3625 (флаг трассировки)" для экземпляра Cloud SQL SQL Server "off". Флаги трассировки часто используются для диагностики проблем с производительностью или отладки хранимых процедур или сложных компьютерных систем, но они также могут быть рекомендованы служба поддержки Майкрософт для решения поведения, которое негативно влияет на определенную рабочую нагрузку. Все задокументированные флаги трассировки и рекомендуемые служба поддержки Майкрософт полностью поддерживаются в рабочей среде при использовании в соответствии с инструкциями. "3625(журнал трассировки)" ограничивает объем информации, возвращенной пользователям, которые не являются членами предопределенной роли сервера sysadmin, маскируя параметры некоторых сообщений об ошибках с помощью "******". Это поможет предотвратить раскрытие конфиденциальных сведений. Поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что флаг базы данных "внешние скрипты включен" для экземпляра Cloud SQL SQL Server задано значение off.

Description. Рекомендуется задать флаг базы данных "внешние скрипты включено" для экземпляра Cloud SQL SQL Server отключен. "Внешние скрипты включены" позволяют выполнять скрипты с определенными расширениями удаленного языка. По умолчанию это свойство отключено. Программа установки может при необходимости задать этому свойству значение true, если установлены расширенные службы аналитики. Поскольку функция "Внешние скрипты включено" позволяет выполнять скрипты вне SQL, например файлы, расположенные в библиотеке R, что может негативно повлиять на безопасность системы, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных "удаленный доступ" для экземпляра Cloud SQL SQL Server установлен как "off"

Description. Рекомендуется задать флаг базы данных "удаленный доступ" для экземпляра Cloud SQL SQL Server "off". Параметр "удаленный доступ" управляет выполнением хранимых процедур с локальных или удаленных серверов, на которых выполняются экземпляры SQL Server. Значение этого параметра по умолчанию равно 1. Это предоставляет разрешение на запуск локальных хранимых процедур с удаленных серверов или удаленных хранимых процедур с локального сервера. Чтобы предотвратить выполнение локальных хранимых процедур с удаленного сервера или удаленных хранимых процедур на локальном сервере, это необходимо отключить. Параметр удаленного доступа управляет выполнением локальных хранимых процедур на удаленных серверах или удаленных хранимых процедурах на локальном сервере. Функциональные возможности удаленного доступа можно использовать для запуска атаки типа "отказ в обслуживании" на удаленных серверах путем отключения обработки запросов к целевому объекту, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных "skip_show_database" для экземпляра Cloud SQL Mysql имеет значение "on"

Описание. Рекомендуется задать для экземпляра Cloud SQL Mysql флаг базы данных "skip_show_database". Флаг базы данных "skip_show_database" запрещает пользователям использовать инструкцию SHOW DATABASE, если у них нет привилегий SHOW DATABASE. Это может повысить безопасность, если у вас возникли проблемы с пользователями, которые могут видеть базы данных, принадлежащие другим пользователям. Его влияние зависит от привилегии SHOW DATABASE: если значение переменной имеет значение ON, инструкция SHOW DATABASE разрешена только пользователям, у которых есть привилегия SHOW DATABASE, а инструкция отображает все имена баз данных. Если значение равно OFF, show DATABASE разрешено всем пользователям, но отображает имена только тех баз данных, для которых пользователь имеет права SHOW DATABASE или другие привилегии. Эта рекомендация применима к экземплярам базы данных Mysql.

Серьезность: низкая

Убедитесь, что ключ шифрования, управляемый клиентом по умолчанию (CMEK), указан для всех наборов данных BigQuery

Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для повышения контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Установка ключа шифрования, управляемого клиентом по умолчанию (CMEK) для набора данных, гарантирует, что все таблицы, созданные в будущем, будут использовать указанный CMEK, если ни один другой не указан.

Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ.

Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.

Серьезность: средний

Убедитесь, что все таблицы BigQuery шифруются с помощью ключа шифрования, управляемого клиентом (CMEK)

Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Если используется CMEK, CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для большего контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для таблиц BigQuery. CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery сохраняет сопоставление таблиц и CMEK, а шифрование и расшифровку выполняется автоматически. Применение ключей, управляемых клиентом по умолчанию, в наборах данных BigQuery гарантирует, что все новые таблицы, созданные в будущем, будут зашифрованы с помощью CMEK, но существующие таблицы необходимо обновить для использования CMEK по отдельности.

Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.

Серьезность: средний

Убедитесь, что наборы данных BigQuery не являются анонимными или общедоступными

Описание. Рекомендуется, чтобы политика IAM в наборах данных BigQuery не разрешала анонимный и (или) общедоступный доступ. Предоставление разрешений allUsers или allAuthenticatedUsers позволяет любому пользователю получить доступ к набору данных. Такой доступ может быть не желательным, если конфиденциальные данные хранятся в наборе данных. Поэтому убедитесь, что анонимный и /или общедоступный доступ к набору данных не разрешен.

Серьезность: высокий уровень

Убедитесь, что экземпляры базы данных SQL облака настроены с автоматическими резервными копиями

Описание. Рекомендуется установить все экземпляры базы данных SQL, чтобы включить автоматическое резервное копирование. Резервные копии позволяют восстановить экземпляр Cloud SQL для восстановления потерянных данных или восстановления из проблемы с этим экземпляром. Автоматические резервные копии необходимо задать для любого экземпляра, содержащего данные, которые должны быть защищены от потери или повреждения. Эта рекомендация применима для экземпляров SQL Server, PostgreSql, MySql поколения 1 и MySql поколения 2.

Серьезность: высокий уровень

Убедитесь, что экземпляры облачной базы данных SQL не открыты для мира

Описание. Сервер базы данных должен принимать подключения только из доверенных сетей/IP-адресов и ограничивать доступ из мира. Чтобы свести к минимуму область атаки на экземпляре сервера базы данных, необходимо утвердить только доверенные и известные и необходимые IP-адреса. У авторизованной сети не должно быть IP-адресов и сетей, настроенных на 0.0.0.0/0, что позволит получить доступ к экземпляру в любом месте мира. Обратите внимание, что авторизованные сети применяются только к экземплярам с общедоступными IP-адресами.

Серьезность: высокий уровень

Убедитесь, что в экземплярах базы данных CLOUD SQL нет общедоступных IP-адресов

Описание. Рекомендуется настроить экземпляр Sql второго поколения для использования частных IP-адресов вместо общедоступных IP-адресов. Чтобы снизить область атак организации, облачные базы данных SQL не должны иметь общедоступных IP-адресов. Частные IP-адреса обеспечивают улучшенную сетевую безопасность и низкую задержку для приложения.

Серьезность: высокий уровень

Убедитесь, что контейнер облачного хранилища не является анонимным или общедоступным

Описание. Рекомендуется, чтобы политика IAM в контейнере облачного хранилища не разрешала анонимный или общедоступный доступ. Разрешение анонимного или общедоступного доступа предоставляет всем пользователям разрешения на доступ к содержимому контейнера. Такой доступ может не потребоваться, если вы храните конфиденциальные данные. Поэтому убедитесь, что анонимный или общедоступный доступ к контейнеру не разрешен.

Серьезность: высокий уровень

Убедитесь, что контейнеры облачного хранилища имеют единый доступ на уровне контейнера

Описание. Рекомендуется включить единый доступ на уровне контейнера в облачном хранилище. Рекомендуется использовать единый доступ на уровне контейнера для объединения и упрощения предоставления доступа к ресурсам облачного хранилища. Cloud Storage предлагает две системы для предоставления пользователям разрешений на доступ к контейнерам и объектам: Cloud Identity and Access Management (Cloud IAM) и контроль доступа Lists (ACL).
Эти системы выполняются параллельно. Чтобы пользователь получил доступ к ресурсу облачного хранилища, необходимо предоставить пользователю разрешение только одной из систем. Облачный IAM используется в Google Cloud и позволяет предоставлять различные разрешения на уровне сегментов и проектов. Списки управления доступом используются только облачным хранилищем и имеют ограниченные параметры разрешений, но позволяют предоставлять разрешения на основе каждого объекта.

Для поддержки единой системы разрешений облачное хранилище имеет единый доступ на уровне контейнера. Использование этой функции отключает списки управления доступом ко всем ресурсам облачного хранилища: доступ к ресурсам облачного хранилища, а затем предоставляется исключительно через Cloud IAM. Включение единого доступа на уровне контейнера гарантирует, что если контейнер хранилища не является общедоступным, ни один объект в контейнере недоступен.

Серьезность: средний

Убедитесь, что в вычислительных экземплярах включена поддержка конфиденциальных вычислений

Описание: Google Cloud шифрует данные неактивных и передаваемых данных, но данные клиента должны быть расшифровываются для обработки. Конфиденциальные вычисления — это прорывная технология, которая шифрует данные во время обработки. Среды конфиденциальных вычислений хранят данные, зашифрованные в памяти и в других местах за пределами центрального модуля обработки (ЦП). Конфиденциальные виртуальные машины используют функцию безопасной зашифрованной виртуализации (SEV) ЦП AMD EPYC. Данные клиента будут оставаться зашифрованными во время его использования, индексирования, запроса или обучения. Ключи шифрования создаются в оборудовании, на каждую виртуальную машину и не экспортируются. Благодаря встроенной оптимизации оборудования как производительности, так и безопасности, не существует значительных штрафов за производительность для рабочих нагрузок конфиденциальных вычислений. Конфиденциальные вычисления позволяют клиентам конфиденциальный код и другие данные, зашифрованные в памяти во время обработки. У Google нет доступа к ключам шифрования. Конфиденциальная виртуальная машина может помочь облегчить опасения по поводу риска, связанного с зависимостью от инфраструктуры Google или доступа пользователей google insiders к данным клиентов в ясном виде.

Серьезность: высокий уровень

Убедитесь, что политики хранения в контейнерах журналов настроены с помощью блокировки контейнера

Описание. Включение политик хранения в контейнерах журналов защищает журналы, хранящиеся в контейнерах облачного хранилища, от перезаписи или случайного удаления. Рекомендуется настроить политики хранения и настроить блокировку контейнеров для всех контейнеров хранилища, которые используются в качестве приемников журналов. Журналы можно экспортировать, создав один или несколько приемников, включающих фильтр журналов и назначение. Так как журнал Stackdriver получает новые записи журнала, они сравниваются с каждым приемником. Если запись журнала соответствует фильтру приемника, копия записи журнала записывается в место назначения. Приемники можно настроить для экспорта журналов в контейнерах хранилища. Рекомендуется настроить политику хранения данных для этих контейнеров облачного хранилища и заблокировать политику хранения данных; таким образом, постоянно предотвращая сокращение или удаление политики. Таким образом, если система когда-либо скомпрометирована злоумышленником или злоумышленником, который хочет покрыть свои следы, журналы действий определенно сохраняются для судебно-медицинских экспертиз и расследований безопасности.

Серьезность: низкая

Убедитесь, что экземпляр облачной базы данных SQL требует, чтобы для всех входящих подключений использовался SSL.

Описание. Рекомендуется применить все входящие подключения к экземпляру базы данных SQL для использования SSL. SQL подключения к базе данных в случае успешной ловушки (MITM); может выявить конфиденциальные данные, такие как учетные данные, запросы базы данных, выходные данные запросов и т. д. Для обеспечения безопасности рекомендуется всегда использовать шифрование SSL при подключении к экземпляру. Эта рекомендация применима для экземпляров Postgresql, MySql поколения 1 и MySql поколения 2.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных "проверка подлинности автономной базы данных" для Cloud SQL в экземпляре SQL Server установлен как "off"

Description. Рекомендуется задать флаг базы данных "автономной проверки подлинности базы данных" для облачного экземпляра SQL в экземпляре SQL Server. В автономной базе данных включены все параметры базы данных и метаданные, необходимые для определения базы данных и не зависят от экземпляра ядро СУБД, где установлена база данных. Пользователи могут подключаться к базе данных без проверки подлинности входа на уровне ядро СУБД. Изоляция базы данных от ядро СУБД позволяет легко перемещать базу данных в другой экземпляр SQL Server. Содержащиеся базы данных имеют некоторые уникальные угрозы, которые следует понимать и устранять SQL Server Database Engine администраторами. Большинство угроз связаны с процессом проверки подлинности USER WITH PASSWORD, который перемещает границу проверки подлинности с уровня ядро СУБД на уровень базы данных, поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что для экземпляра Cloud SQL SQL Server установлен флаг базы данных межбазовой цепочки владения для облачного экземпляра SQL.

Description. Рекомендуется задать флаг базы данных "межбазовая цепочка владения" для экземпляра Cloud SQL SQL Server "off". Используйте параметр "межбдбовый доступ" для настройки цепочки владения между базами данных для экземпляра Microsoft SQL Server. Этот параметр сервера позволяет управлять цепочкой владения между базами данных на уровне базы данных или разрешать цепочку владения между базами данных для всех баз данных. Включение "межбазового владения" не рекомендуется, если только все базы данных, размещенные экземпляром SQL Server, должны участвовать в цепочке владения между базами данных, и вы знаете о последствиях безопасности этого параметра. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что для флага базы данных "local_infile" для Cloud SQL в экземпляре MySQL установлено значение off

Описание. Рекомендуется задать флаг базы данных local_infile для выключенного экземпляра Cloud SQL MySQL. Флаг local_infile управляет возможностями LOCAL на стороне сервера для инструкций LOAD DATA. В зависимости от параметра local_infile сервер отказывается или разрешает загрузку локальных данных клиентами, которые включили LOCAL на стороне клиента. Чтобы явно вызвать отказ сервера от инструкций LOAD DATA LOCAL (независимо от того, как клиентские программы и библиотеки настроены во время сборки или во время выполнения), начните mysqld с local_infile отключены. local_infile также можно задать во время выполнения. Из-за проблем безопасности, связанных с флагом local_infile, рекомендуется отключить его. Эта рекомендация применима к экземплярам базы данных MySQL.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений разрешений IAM облачного хранилища

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменений IAM в контейнере облачных хранилищ. Мониторинг изменений в разрешениях контейнера облачного хранилища может сократить время, необходимое для обнаружения и исправления разрешений для конфиденциальных контейнеров и объектов облачного хранилища в контейнере.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений конфигурации экземпляра SQL

Описание. Рекомендуется установить фильтр метрик и тревогу для изменений конфигурации экземпляра SQL. Мониторинг изменений в конфигурации экземпляра SQL может сократить время, необходимое для обнаружения и исправления неправильных конфигураций, выполненных на сервере SQL Server. Ниже приведены некоторые настраиваемые параметры, которые могут повлиять на состояние безопасности экземпляра SQL:

Включение автоматического резервного копирования и высокой доступности: неправильное настройка может негативно повлиять на непрерывность бизнес-процессов, аварийное восстановление и высокий уровень доступности.
Авторизация сетей: неправильное настройка может увеличить уязвимость к ненадежным сетям.

Серьезность: низкая

Убедитесь, что для каждой учетной записи службы есть только ключи учетной записи, управляемой GCP

Описание. Учетные записи управляемых пользователем служб не должны иметь ключи, управляемые пользователем. Любой пользователь, имеющий доступ к ключам, сможет получить доступ к ресурсам через учетную запись службы. Ключи, управляемые GCP, используются службами Cloud Platform, такими как ядро приложений и вычислительный модуль. Эти ключи нельзя скачать. Google будет держать ключи и автоматически поворачивать их примерно еженедельно. Управляемые пользователем ключи создаются, загружаются и управляются пользователями. Срок их действия истекает через 10 лет после создания. Для ключей, управляемых пользователем, пользователь должен взять на себя ответственность за действия управления ключами, в том числе:

Хранилище ключей
Распределение ключей
Отзыв ключа
Смена ключей
Защита ключей от несанкционированных пользователей
Восстановление ключей

Даже с мерами предосторожности владельца ключей ключи могут быть легко утечки менее чем оптимальными распространенными методами разработки, такими как проверка ключей в исходном коде или их выход из каталога загрузки, или случайное удаление их в блогах или каналах поддержки. Рекомендуется запретить ключи учетной записи службы, управляемые пользователем.

Серьезность: низкая

Убедитесь, что флаг базы данных "подключения пользователей" для экземпляра Cloud SQL SQL Server задан соответствующим образом.

Description: рекомендуется задать флаг базы данных "подключения пользователей" для экземпляра Cloud SQL SQL Server в соответствии со значением, определенным организацией. Параметр "Подключения пользователей" указывает максимальное количество одновременных подключений пользователей, разрешенных в экземпляре SQL Server. Фактическое количество разрешенных подключений пользователей также зависит от версии SQL Server, которую вы используете, а также ограничения приложений или приложений и оборудования. SQL Server допускает не более 32 767 пользовательских подключений. Так как пользовательские подключения являются динамическими (самостоятельно настроенными) параметром, SQL Server настраивает максимальное количество подключений пользователей автоматически в соответствии с максимально допустимым значением. Например, если к серверу подключилось 10 пользователей, будет выделено 10 объектов пользовательских соединений. В большинстве случаев вам не нужно изменять значение этого параметра. По умолчанию его значение равно нулю, то есть разрешено максимальное число соединений (32 767). Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: низкая

Убедитесь, что флаг базы данных "Параметры пользователя" для экземпляра Cloud SQL SQL Server не настроен

Description. Рекомендуется, чтобы флаг базы данных "параметры пользователя" для экземпляра Cloud SQL SQL Server не должен быть настроен. Параметр "Параметры пользователя" определяет глобальные значения по умолчанию для всех пользователей. Список параметров обработки запросов по умолчанию создается на время сеанса работы пользователя. Параметр параметров пользователя позволяет изменять значения по умолчанию параметров SET (если параметры сервера по умолчанию не подходят). Пользователь может заменить эти значения по умолчанию с помощью инструкцию SET. Для новых имен входа параметр user options можно настроить динамически. После изменения параметра параметров пользователя новые сеансы входа используют новый параметр; Текущие сеансы входа не затрагиваются. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: низкая

Ведение журнала для кластеров GKE должно быть включено

Описание. Эта рекомендация оценивает, должно ли свойство logService кластера содержать расположение облачного ведения журнала, которое должно использоваться для записи журналов.

Серьезность: высокий уровень

Управление версиями объектов должно быть включено в контейнерах хранилища, в которых настроены приемники

Описание. Эта рекомендация оценивает, задано ли для поля в свойстве управления версиями контейнера значение true.

Серьезность: высокий уровень

Слишком подготовленные удостоверения в проектах следует исследовать, чтобы уменьшить индекс ползука разрешений (PCI)

Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в проектах. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.

Серьезность: средний

Проекты с криптографическими ключами не должны иметь пользователей с разрешениями владельца

Описание. Эта рекомендация оценивает политику разрешения IAM в метаданных проекта для назначенных ролей или владельца субъектов.

Серьезность: средний

Контейнеры хранилища, используемые в качестве приемника журналов, не должны быть общедоступными

Описание. Эта рекомендация оценивает политику IAM контейнера для субъектов allUsers или allAuthenticatedUsers, которые предоставляют общедоступный доступ.

Серьезность: высокий уровень

Геоизбыточные резервные копии должны быть включены для серверов PostgreSQL

Описание:
Что такое геоизбыточное резервное копирование? Геоизбыточное резервное копирование реплицирует резервные копии серверов в парный регион Azure, обеспечивая устойчивость к региональным сбоям.

Почему это проблема безопасности? Если геоизбыточные резервные копии отключены, региональный сбой может привести к потере данных и расширенному простою, влияя на доступность и соответствие требованиям.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Хотя и не напрямую используется, отсутствие геоизбыточного обеспечения увеличивает влияние аварий или целевых атак на один регион.

Серьезность: низкая

require_secure_transport должен иметь значение on для серверов База данных Azure для PostgreSQL

Описание:
Что такое require_secure_transport? require_secure_transport — это параметр уровня сервера, который применяет использование SSL/TLS для всех клиентских подключений к PostgreSQL. При включении клиенты должны подключаться с помощью зашифрованных каналов.

Почему это проблема безопасности? Если этот параметр отключен (отключен), клиенты могут подключаться через незашифрованные каналы, предоставляя конфиденциальные данные, такие как учетные данные, запросы и результаты перехвата или манипуляции.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник в сети может выполнять атаку на стороне человека, перехватывать или изменять обмен данными между клиентом и сервером, если шифрование не применяется.

Серьезность: высокий уровень

Частная конечная точка должна быть настроена для серверов База данных Azure для PostgreSQL

Описание:

Что собой представляет частная конечная точка? Частная конечная точка в Azure позволяет ресурсам безопасно обращаться через частный IP-адрес в виртуальной сети. Для серверов База данных Azure для PostgreSQL настройка частной конечной точки гарантирует, что трафик базы данных не проходит через общедоступный Интернет.

Почему это проблема безопасности? Без частной конечной точки сервер может быть подвержен доступу к общедоступной сети, что повышает риск несанкционированного доступа, перехвата данных и атак типа "отказ в обслуживании".

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник может сканировать диапазоны общедоступных IP-адресов, чтобы обнаруживать открытые серверы и пытаться атак на основе подбора или атак на основе эксплойтов. Общедоступная экспозиция также повышает риск кражи данных с помощью скомпрометированных клиентов.

Серьезность: высокий уровень

Параметр "Разрешить доступ к службам Azure" должен быть отключен для серверов PostgreSQL

Описание:

Что такое "Разрешить доступ к службам Azure"? Этот параметр создает правило брандмауэра, позволяющее всем службам Azure подключаться к серверу PostgreSQL. Хотя это удобно, он представляет значительный риск, разрешая подключения из любой Azure подписки.

Почему это проблема безопасности? Включение этого параметра путем передачи элементов управления сетевой изоляции, потенциально предоставляя базе данных несанкционированный доступ из внешних Azure клиентов.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник, работающий из другой подписки Azure, может попытаться атак методом подбора или использовать уязвимости, если это правило включено.

Серьезность: высокий уровень

Общедоступный IP-адрес должен быть отключен для серверов База данных Azure для PostgreSQL

Описание:

Что такое доступ к общедоступной сети? Доступ к общедоступной сети позволяет клиентам подключаться к серверу PostgreSQL через Интернет с помощью общедоступного IP-адреса. Хотя это удобно, он представляет значительный риск, предоставляя серверу внешние атаки.

Почему это проблема безопасности? Если общедоступный доступ включен, злоумышленники могут сканировать диапазоны IP-адресов и пытаться атаковать методы подбора или атак на основе эксплойтов на сервере.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник может получить несанкционированный доступ или нарушить доступность службы, используя уязвимости, предоставляемые через общедоступные конечные точки.

Серьезность: средний

pgaudit.log_level должно быть задано значение log для серверов База данных Azure для PostgreSQL

Описание:

Что такое pgaudit.log_level? pgaudit.log_level — это параметр конфигурации, определяющий уровень журнала PostgreSQL, используемый для сообщений аудита, созданных расширением pgaudit. Допустимые значения включают журнал, уведомление, предупреждение и сведения.

Почему это проблема безопасности? Если для pgaudit.log_level задан уровень, отличный от журнала, сообщения аудита могут быть отключены или перенаправлены, что снижает видимость критически важных действий базы данных. Это может препятствовать обнаружению подозрительного поведения и задержке реагирования на инциденты.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник может выполнять неавторизованные действия, которые не записываются, если уровень аудита установлен слишком низким или слишком высоким, обходя системы мониторинга и средства судебной экспертизы.

Примечание: Эта рекомендация относится только к установке расширения pgaudit. Расширение pgaudit должно быть установлено для каждой базы данных, но параметр pgaudit.log_level настраивается на уровне сервера.

Серьезность: средний

pgaudit.log должны включать роль, ddl и misc для серверов База данных Azure для PostgreSQL

Описание:

Что такое pgaudit.log? pgaudit.log — это параметр конфигурации, определяющий, какие классы инструкций регистрируются расширением pgaudit. Общие классы включают READ, WRITE, ROLE, DDL и MISC.

Почему это проблема безопасности? Если role, DDL и MISC не включены в pgaudit.log, критически важные операции, такие как изменения привилегий, изменения схемы и команды уровня сеанса могут быть отключены. Это снижает видимость потенциально вредоносных или несанкционированных действий.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленник может повысить привилегии, изменить структуру базы данных или выполнить команды уровня сеанса без обнаружения, если эти классы исключены из журнала аудита.

Примечание: Эта рекомендация относится только к установке расширения pgaudit. Расширение pgaudit должно быть установлено для каждой базы данных, но параметр pgaudit.log настроен на уровне сервера.

Серьезность: высокий уровень

pgaudit.log_statement_once должно иметь значение on для серверов База данных Azure для PostgreSQL

Описание:

Что такое pgaudit.log_statement_once? pgaudit.log_statement_once — это параметр конфигурации, который определяет, включают ли журналы аудита повторяющиеся инструкции более одного раза в сеанс. При включении регистрируется только первое вхождение повторяющегося оператора.

Почему это проблема безопасности? Если этот параметр отключен (отключен), повторяющиеся инструкции могут потопить журналы аудита, что затрудняет определение значимых действий и увеличение затрат на хранение и обработку.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Хотя и не напрямую эксплуатируется, чрезмерное ведение журнала может скрыть вредоносные действия в наводнении доброкачественных записей, задерживая обнаружение и реагирование.

Примечание: Эта рекомендация относится только к установке расширения pgaudit. Расширение pgaudit должно быть установлено для каждой базы данных, но параметр pgaudit.log_statement_once настроен на уровне сервера.

Серьезность: средний

оператор pgaudit.log_statement должен иметь значение on для серверов База данных Azure для PostgreSQL

Описание:

Что такое pgaudit.log_statement? pgaudit.log_statement — это параметр конфигурации, который определяет, включен ли полный текст инструкции SQL в журналы аудита, созданные расширением pgaudit. При включении убедитесь, что каждое зарегистрированное действие включает в себя точную команду, выполненную.

Почему это проблема безопасности? Если параметр pgaudit.log_statement не задан, журналы аудита могут не содержать фактических инструкций SQL, что затрудняет понимание того, какие действия были выполнены. Это снижает эффективность мониторинга и реагирования на инциденты.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Без полного ведения журнала инструкций вредоносные или неавторизованные запросы могут быть записаны только как универсальные действия, затметив истинное намерение и влияние действия.

Примечание: Эта рекомендация относится только к установке расширения pgaudit. Расширение pgaudit должно быть установлено для каждой базы данных, но параметр pgaudit.log_statement настраивается на уровне сервера.

Серьезность: средний

logfiles.retention_days должно быть больше 3 для серверов PostgreSQL

Описание:

Что такое logfiles.retention_days? Этот параметр определяет количество дней хранения журналов сервера PostgreSQL. Значение по умолчанию — 3 дня, которое может быть недостаточно для соответствия требованиям или исследования.

Почему это проблема безопасности? Если журналы очищаются слишком быстро, группы безопасности могут не иметь достаточно исторических данных для обнаружения шаблонов, исследования инцидентов или соответствия нормативным требованиям.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленники могут полагаться на короткие сроки хранения для покрытия своих следов, зная, что доказательства будут удалены быстро.

Серьезность: средний

connection_throttle для серверов PostgreSQL должно быть установлено значение on

Описание:

Что такое connection_throttle? connection_throttle — это параметр конфигурации PostgreSQL, который определяет, включена ли регулирование подключений. Если задано значение on, сервер может ограничить чрезмерные попытки подключения, уменьшая риск от атак подбора или DoS.

Почему это проблема безопасности? Если они отключены (отключены), злоумышленники могут потопить сервер с попытками подключения, потенциально исчерпание ресурсов и причинение простоя.

Как злоумышленники могут использовать его или как это может привести к нарушениям данных? Злоумышленники могут запустить атаку DoS, открыв тысячи подключений, влияя на доступность и, возможно, создавая условия для повышения привилегий во время восстановления.

Серьезность: средний

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-20