Рекомендации по безопасности удостоверений и доступа

В этой статье перечислены все рекомендации по безопасности удостоверений и доступа, которые вы можете увидеть в Microsoft Defender для облака.

Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Совет

Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.

Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.

Рекомендации по идентификации и доступу Azure

Подпискам может быть назначено не более 3 владельцев

Описание. Чтобы уменьшить вероятность нарушений с помощью скомпрометированных учетных записей владельца, рекомендуется ограничить количество учетных записей владельца не более 3 (связанная политика: не более 3 владельцев должны быть назначены для вашей подписки).

Серьезность: высокий уровень

Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA

Описание. Если вы используете только пароли для проверки подлинности пользователей, вы оставляете вектор атаки открытым. Пользователи часто используют ненадежные пароли или используют одни и те же пароли для нескольких служб. Включив многофакторную проверку подлинности (MFA), вы обеспечиваете более высокую безопасность для учетных записей, позволяя пользователям проходить проверку подлинности практически в любом приложении с единым входом(SSO). Многофакторная проверка подлинности — это процесс, с помощью которого пользователи запрашивают запросы во время входа в систему для другой формы идентификации. Например, код может быть отправлен на свой мобильный телефон или может быть предложено проверить отпечатки пальцев. Мы рекомендуем включить MFA для всех учетных записей с разрешениями владельцев для ресурсов Azure, чтобы предотвратить брешь и атаки. Дополнительные сведения и часто задаваемые вопросы доступны здесь: управление применением многофакторной проверки подлинности (MFA) для подписок (нет связанной политики).

Серьезность: высокий уровень

Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA

Описание. Если вы используете только пароли для проверки подлинности пользователей, вы оставляете вектор атаки открытым. Пользователи часто используют ненадежные пароли или используют одни и те же пароли для нескольких служб. Включив многофакторную проверку подлинности (MFA), вы обеспечиваете более высокую безопасность для учетных записей, позволяя пользователям проходить проверку подлинности практически в любом приложении с единым входом(SSO). Многофакторная проверка подлинности — это процесс, с помощью которого пользователи запрашивают запросы во время входа в систему для дополнительной формы идентификации. Например, код может быть отправлен на свой мобильный телефон или может быть предложено проверить отпечатки пальцев. Мы рекомендуем включить MFA для всех учетных записей с разрешениями на чтение для ресурсов Azure, чтобы предотвратить брешь и атаки. Дополнительные сведения и часто задаваемые вопросы доступны здесь. (Связанная политика отсутствует)

Серьезность: высокий уровень

Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA

Описание. Если вы используете только пароли для проверки подлинности пользователей, вы оставляете вектор атаки открытым. Пользователи часто используют ненадежные пароли или используют одни и те же пароли для нескольких служб. Включив многофакторную проверку подлинности (MFA), вы обеспечиваете более высокую безопасность для учетных записей, позволяя пользователям проходить проверку подлинности практически в любом приложении с единым входом(SSO). Многофакторная проверка подлинности — это процесс, с помощью которого пользователи запрашивают запросы во время входа в систему для дополнительной формы идентификации. Например, код может быть отправлен на свой мобильный телефон или может быть предложено проверить отпечатки пальцев. Мы рекомендуем включить MFA для всех учетных записей с разрешениями на запись для ресурсов Azure, чтобы предотвратить брешь и атаки. Дополнительные сведения и часто задаваемые вопросы доступны здесь: управление применением многофакторной проверки подлинности (MFA) для подписок (нет связанной политики).

Серьезность: высокий уровень

Учетные записи Azure Cosmos DB должны использовать Azure Active Directory в качестве единственного способа проверки подлинности

Описание. Лучший способ проверки подлинности в службах Azure — использование контроль доступа на основе ролей (RBAC). RBAC позволяет поддерживать принцип минимальных привилегий и поддерживает возможность отзыва разрешений в качестве эффективного метода ответа при компрометации. Вы можете настроить учетную запись Azure Cosmos DB для принудительного применения RBAC в качестве единственного способа проверки подлинности. При настройке принудительного применения все остальные методы доступа будут запрещены (первичные или вторичные ключи и маркеры доступа). (Связанная политика отсутствует)

Серьезность: средний

Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure.

Описание. Учетные записи, которые были заблокированы для входа в Active Directory, должны быть удалены из ресурсов Azure. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика отсутствует)

Серьезность: высокий уровень

Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены

Описание. Учетные записи, которые были заблокированы для входа в Active Directory, должны быть удалены из ресурсов Azure. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика отсутствует)

Серьезность: высокий уровень

Необходимо удалить устаревшие учетные записи из подписок

Описание. Учетные записи пользователей, которые были заблокированы для входа, должны быть удалены из подписок. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика: Нерекомендуемые учетные записи следует удалить из подписки.

Серьезность: высокий уровень

Необходимо удалить устаревшие учетные записи с разрешениями владельца из подписки.

Описание. Учетные записи пользователей, которые были заблокированы для входа, должны быть удалены из подписок. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика: Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки).

Серьезность: высокий уровень

Журналы диагностики в Key Vault должны быть включены

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Key Vault должны быть включены).

Серьезность: низкая

Необходимо удалить внешние учетные записи с разрешениями владельца из подписки

Описание. Учетные записи с разрешениями владельца с разными доменными именами (внешними учетными записями) следует удалить из подписки. Это позволит предотвратить неотслеживаемый доступ. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика: Внешние учетные записи с разрешениями владельца должны быть удалены из подписки).

Серьезность: высокий уровень

Необходимо удалить внешние учетные записи с разрешениями на чтение из подписок

Описание. Учетные записи с разрешениями на чтение с разными доменными именами (внешними учетными записями) следует удалить из подписки. Это позволит предотвратить неотслеживаемый доступ. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика: Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки).

Серьезность: высокий уровень

Необходимо удалить внешние учетные записи с разрешениями на запись из подписок

Описание. Учетные записи с разрешениями на запись с разными доменными именами (внешними учетными записями) следует удалить из подписки. Это позволит предотвратить неотслеживаемый доступ. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика: Внешние учетные записи с разрешениями на запись должны быть удалены из вашей подписки).

Серьезность: высокий уровень

В Key Vault должен быть включен брандмауэр

Описание. Брандмауэр хранилища ключей предотвращает несанкционированный трафик в хранилище ключей и обеспечивает дополнительный уровень защиты секретов. Включите брандмауэр, чтобы убедиться, что только трафик из разрешенных сетей может получить доступ к хранилищу ключей. (Связанная политика: Брандмауэр должен быть включен в Key Vault).

Серьезность: средний

Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены

Описание. Учетные записи с разрешениями владельца, подготовленными за пределами клиента Azure Active Directory (разные доменные имена), должны быть удалены из ресурсов Azure. Гостевые учетные записи не управляются теми же стандартами, что и удостоверения корпоративных клиентов. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика отсутствует)

Серьезность: высокий уровень

Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены

Описание. Учетные записи с разрешениями на чтение, подготовленные за пределами клиента Azure Active Directory (разные доменные имена), должны быть удалены из ресурсов Azure. Гостевые учетные записи не управляются теми же стандартами, что и удостоверения корпоративных клиентов. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика отсутствует)

Серьезность: высокий уровень

Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены

Описание. Учетные записи с разрешениями на запись, подготовленные за пределами клиента Azure Active Directory (разные доменные имена), должны быть удалены из ресурсов Azure. Гостевые учетные записи не управляются теми же стандартами, что и удостоверения корпоративных клиентов. Эти учетные записи могут стать мишенью для злоумышленников, которые стремятся незаметно получить доступ к вашим данным. (Связанная политика отсутствует)

Серьезность: высокий уровень

Для ключей Key Vault должна быть задана дата окончания срока действия

Описание. Криптографические ключи должны иметь определенную дату окончания срока действия и не быть постоянной. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. Рекомендуется задать даты окончания срока действия криптографических ключей. (Связанная политика: Ключи Key Vault должны иметь дату окончания срока действия).

Серьезность: высокий уровень

Для секретов Key Vault должна быть задана дата окончания срока действия

Описание. Секреты должны иметь определенную дату окончания срока действия и не быть постоянной. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. Рекомендуется установить даты окончания срока действия секретов. (Связанная политика: Секреты Key Vault должны иметь дату окончания срока действия).

Серьезность: высокий уровень

В хранилищах ключей должна быть включена защита от очистки

Описание. Вредоносное удаление хранилища ключей может привести к постоянной потере данных. Потенциальный злоумышленник в вашей организации может удалить и очистить хранилища ключей. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. (Связанная политика: В хранилищах ключей должна быть включена защита от очистки).

Серьезность: средний

В хранилищах ключей должно быть включено обратимое удаление

Описание. Удаление хранилища ключей без обратимого удаления включено окончательно удаляет все секреты, ключи и сертификаты, хранящиеся в хранилище ключей. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. (Связанная политика: Хранилища ключей должны иметь обратимое удаление).

Серьезность: высокий уровень

Для учетных записей с разрешениями владельца в вашей подписке необходимо включить многофакторную проверку подлинности

Описание. Многофакторная проверка подлинности (MFA) должна быть включена для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение учетных записей или ресурсов. (Связанная политика: Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями владельца подписки.

Серьезность: высокий уровень

Для учетных записей с разрешениями на чтение в вашей подписке необходимо включить многофакторную проверку подлинности

Описание. Многофакторная проверка подлинности (MFA) должна быть включена для всех учетных записей подписки с правами чтения, чтобы предотвратить нарушение учетных записей или ресурсов. (Связанная политика: Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на чтение подписки).

Серьезность: высокий уровень

Необходимо включить многофакторную проверку подлинности для учетных записей с разрешениями на запись для подписок

Описание. Многофакторная проверка подлинности (MFA) должна быть включена для всех учетных записей подписки с правами записи, чтобы предотвратить нарушение учетных записей или ресурсов. (Связанная политика: Учетная запись MFA должна быть включена с разрешениями на запись в подписке).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для Key Vault

Описание: Microsoft Defender для облака включает в себя Microsoft Defender для Key Vault, предоставляя дополнительный уровень аналитики безопасности. Microsoft Defender для Key Vault выявляет необычные и потенциально опасные попытки доступа к учетным записям Key Vault или их использования.

Плата за защиту от этого плана взимается, как показано на странице планов Defender. Если в этой подписке нет хранилищ ключей, плата не будет взиматься. Если позже вы создадите в этой подписке хранилища ключей, к ним будет автоматически применена защита и начнет взиматься плата. Узнайте больше о ценах в каждом регионе. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для хранилища ключей. (Связанная политика: Необходимо включить Azure Defender для Key Vault).

Серьезность: высокий уровень

Разрешения неактивных удостоверений в подписке Azure должны быть отменены

Описание: Microsoft Defender для облака обнаружил удостоверение, которое не выполняло никаких действий на любом ресурсе в рамках подписки Azure за последние 45 дней. Рекомендуется отозвать разрешения неактивных удостоверений, чтобы уменьшить область атаки облачной среды.

Серьезность: средний

Для Key Vault должна быть настроена частная конечная точка

Описание. Приватный канал предоставляет способ подключения Key Vault к ресурсам Azure без отправки трафика через общедоступный Интернет. Приватный канал обеспечивает защиту от кражи данных в рамках подхода Defense in Depth. (Связанная политика: Частная конечная точка должна быть настроена для Key Vault.

Серьезность: средний

Открытый доступ к учетной записи хранения должен быть запрещен

Описание. Анонимный общедоступный доступ на чтение к контейнерам и большим двоичным объектам в служба хранилища Azure — удобный способ совместного использования данных, но может представлять риски для безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. (Связанная политика: Общедоступный доступ к учетной записи хранения должен быть запрещен).

Серьезность: средний

Для подписок необходимо назначить несколько владельцев

Описание. Назначение нескольких владельцев подписки для обеспечения избыточности доступа администратора. (Связанная политика: В подписке должно быть несколько владельцев.

Серьезность: высокий уровень

Срок действия сертификатов, хранящихся в Azure Key Vault, не должен превышать 12 месяцев

Описание. Убедитесь, что у сертификатов нет срока действия, превышающего 12 месяцев. (Связанная политика: Сертификаты должны иметь указанный максимальный срок действия).

Серьезность: средний

У удостоверений Azure должны быть только необходимые разрешения (предварительная версия)

Описание. Перепровернутые удостоверения или более разрешенные удостоверения не используют многие из предоставленных разрешений. Регулярно справа разрешения этих удостоверений, чтобы снизить риск неправильного использования разрешений либо случайным, либо вредоносным. Это действие уменьшает потенциальный радиус взрыва во время инцидента безопасности.

Серьезность: средний

Привилегированные роли не должны иметь постоянный доступ на уровне подписки и группы ресурсов

Описание: Microsoft Defender для облака обнаружил удостоверение, которое не выполняло никаких действий на любом ресурсе в рамках подписки Azure за последние 45 дней. Рекомендуется отозвать разрешения неактивных удостоверений, чтобы уменьшить область атаки облачной среды.

Серьезность: высокий уровень

Субъекты-службы не должны назначаться административными ролями на уровне подписки и группы ресурсов.

Описание: Defender для облака идентифицированные субъекты-службы, назначенные привилегированными ролями на уровне группы ресурсов или подписки. Привилегированные роли администратора — это роли, которые могут выполнять конфиденциальные операции с ресурсом, такими как владелец, участник или администратор доступа пользователей. Субъекты-службы играют важную роль в управлении ресурсами Azure эффективно и безопасно, устраняя необходимость вмешательства человека. Важно следовать принципу наименьших привилегий, предоставлять только минимальный уровень доступа, необходимый для выполнения своих обязанностей данного субъекта-службы. Администраторы и привилегированный доступ являются основным объектом хакеров. Рекомендации по использованию назначений ролей привилегированного администратора см. в рекомендациях по Azure RBAC. Рекомендации по Azure RBAC. Список доступных ролей в Azure RBAC см . в встроенных ролях Azure.

Серьезность: высокий уровень

Рекомендации по идентификации и доступу AWS

Домены Amazon Elasticsearch Service должны находиться в VPC

Описание. VPC не может содержать домены с общедоступной конечной точкой. Это не оценивает конфигурацию маршрутизации подсети VPC для определения общедоступной доступности.

Серьезность: высокий уровень

Разрешения Amazon S3, предоставленные другим учетным записям AWS в политиках контейнеров, должны быть ограничены

Описание. Реализация минимального доступа к привилегиям является фундаментальным для снижения риска безопасности и влияния ошибок или злонамеренных намерений. Если политика контейнеров S3 разрешает доступ из внешних учетных записей, это может привести к краже данных из-за внутренней угрозы или действий злоумышленника. Параметр blacklistedactionpatterns позволяет успешно оценить правило для контейнеров S3. Параметр предоставляет доступ к внешним учетным записям для шаблонов действий, которые не включены в список "blacklistedactionpatterns".

Серьезность: высокий уровень

Избегайте использования учетной записи root

Описание. Учетная запись root имеет неограниченный доступ ко всем ресурсам в учетной записи AWS. Настоятельно рекомендуется избегать использования этой учетной записи. Учетная запись root — это самая привилегированная учетная запись AWS. Минимизация использования этой учетной записи и реализация принципа минимальных привилегий для управления доступом снизят риск случайных изменений и непреднамеренного раскрытия учетных данных с высоким уровнем привилегий.

Серьезность: высокий уровень

Ключи AWS KMS не должны быть случайно удалены

Описание. Этот элемент управления проверяет, запланированы ли ключи KMS для удаления. Элемент управления возвращает ошибку, если запланировано удаление ключа KMS. Ключи KMS не могут быть восстановлены после удаления. Данные, зашифрованные с помощью ключа KMS, также невозможно восстановить, если этот ключ KMS удален. Если значимые данные были зашифрованы под ключом KMS, запланированным для удаления, рассмотрите возможность расшифровки данных или повторного шифрования данных под новым ключом KMS, если вы намеренно не выполняете криптографическую эрастику. При планировании удаления ключа KMS действует обязательный период ожидания, в течение которого можно отменить удаление, если оно было запланировано по ошибке. Период ожидания по умолчанию составляет 30 дней, но его можно сократить до семи дней, когда ключ KMS запланирован на удаление. В период ожидания запланированное удаление может быть отменено, и ключ KMS не будет удален. Дополнительные сведения об удалении ключей KMS см. в руководстве разработчика по AWS служба управления ключами по удалению ключей KMS.

Серьезность: высокий уровень

Для удостоверений AWS должны быть только необходимые разрешения (предварительная версия)

Описание. Чрезмерно подготовленное активное удостоверение — это удостоверение, которое имеет доступ к привилегиям, которые они не использовали. Слишком подготовленные активные удостоверения, особенно для учетных записей, не являющихся людьми, которые имеют определенные действия и обязанности, могут увеличить радиус взрыва в случае компрометации пользователей, ключей или ресурсов. Удалите ненужные разрешения и установите процессы проверки для достижения наименее привилегированных разрешений.

Серьезность: средний

Необходимо включить ведение журнала классических глобальных веб-списков доступа AWS WAF

Описание. Этот элемент управления проверяет, включена ли ведение журнала для глобального веб-ACL AWS WAF. Этот элемент управления завершается ошибкой, если ведение журнала не включено для веб-ACL. Ведение журнала является важным фактором для обеспечения глобальной надежности, доступности и производительности AWS WAF. Это бизнес-требования и требования соответствия во многих организациях и позволяет устранять неполадки в поведении приложений. Это также обеспечивает подробные сведения о трафике, который анализируется по списку управления веб-доступом, подключенному к AWS WAF.

Серьезность: средний

Для распределений CloudFront должен быть настроен корневой объект по умолчанию

Описание. Этот элемент управления проверяет, настроен ли дистрибутив Amazon CloudFront для возврата определенного объекта, который является корневым объектом по умолчанию. Элемент управления завершается ошибкой, если дистрибутив CloudFront не настроен корневой объект по умолчанию. Иногда пользователь может запросить URL-адрес корня дистрибутива, а не объекта в дистрибутиве. В этом случае указание корневого объекта по умолчанию поможет предотвратить предоставление содержимого веб-дистрибутива.

Серьезность: высокий уровень

Для распределений CloudFront должно быть включено удостоверение доступа к источнику

Описание. Этот элемент управления проверяет, настроен ли дистрибутив Amazon CloudFront с типом Amazon S3 Origin идентификатор доступа к источнику (OAI). Элемент управления завершается ошибкой, если OAI не настроен. CloudFront OAI предотвращает доступ пользователей к содержимому контейнера S3 напрямую. Когда пользователи обращаются к контейнеру S3 напрямую, они фактически обходят дистрибутив CloudFront и все разрешения, применяемые к базовому содержимому контейнера S3.

Серьезность: средний

Проверка файла журнала CloudTrail должна быть включена

Описание. Чтобы обеспечить дополнительную проверку целостности журналов CloudTrail, рекомендуется включить проверку файлов во всех CloudTrails.

Серьезность: низкая

Служба CloudTrail должна быть включена

Описание. AWS CloudTrail — это веб-служба, которая записывает вызовы API AWS для учетной записи и предоставляет вам файлы журналов. Не во всех службах по умолчанию включено ведение журнала для всех интерфейсов API и событий. Следует реализовать любые дополнительные журналы аудита помимо журнала CloudTrail. Ознакомьтесь с документацией по каждой службе в разделе "CloudTrail Supported Services and Integrations" (Поддерживаемые службы CloudTrail и интеграция).

Серьезность: высокий уровень

Журналы CloudTrail должны быть интегрированы с журналами CloudWatch

Описание. Помимо записи журналов CloudTrail в указанном контейнере S3 для долгосрочного анализа, анализ в режиме реального времени можно выполнить, настроив CloudTrail для отправки журналов в журналы CloudWatch. Для журнала, включенного во всех регионах в учетной записи, CloudTrail отправляет файлы журнала из всех этих регионов в группу журналов CloudWatch. Мы рекомендуем отправлять журналы CloudTrail в журналы CloudWatch, чтобы обеспечить запись, мониторинг действий с учетными записями AWS и оповещение об этих действиях. Отправка журналов CloudTrail в журналы CloudWatch упрощает ведение журнала в реальном времени и ведение журнала хронологии действий на основе пользователя, API, ресурса и IP-адреса. Это также дает возможность настраивать оповещения и уведомления об аномальных действиях или действиях в конфиденциальных учетных записях.

Серьезность: низкая

Необходимо включить ведение журнала базы данных

Описание. Этот элемент управления проверяет, включены ли следующие журналы Amazon RDS и отправляются в журналы CloudWatch:

• Oracle: (оповещение, аудит, трассировка, прослушиватель)
• PostgreSQL: (Postgresql, обновление)
• MySQL: (аудит, ошибка, общие, SlowQuery)
• MariaDB: (аудит, ошибка, общие, SlowQuery)
• SQL Server: (ошибка, агент)
• Аврора: (аудит, ошибка, общие, SlowQuery)
• Аврора-MySQL: (аудит, ошибка, общие, SlowQuery)
• Аврора-PostgreSQL: (Postgresql, обновление). Для баз данных RDS должны быть включены соответствующие журналы. Ведение журнала базы данных обеспечивает подробные записи о запросах, выполненных в RDS. Журналы базы данных могут помочь в аудите безопасности и доступа. Кроме того, они упрощают диагностику проблем с доступностью.

Серьезность: средний

Отключение прямого доступа к Интернету для экземпляров записных книжек Amazon Sage Maker

Описание. Для экземпляра записной книжки Sage Maker необходимо отключить прямой доступ к Интернету. Проверяет, отключено ли поле DirectInternetAccess для экземпляра записной книжки. Для экземпляра необходимо настроить VPC, а параметр по умолчанию должен отключать доступ к Интернету через VPC. Чтобы обеспечить доступ к Интернету для обучения или размещения моделей из записной книжки, убедитесь, что для вашего облака VPC настроен шлюз NAT, а группа безопасности разрешает исходящие подключения. Убедитесь, что доступ к конфигурации Sage Maker ограничен только авторизованными пользователями и ограничивает разрешения IAM пользователей на изменение параметров и ресурсов Sage Maker.

Серьезность: высокий уровень

Не нужно настраивать ключи доступа при первоначальной настройке всех пользователей IAM с паролем консоли

Описание. Консоль AWS по умолчанию установите флажок для создания ключей доступа для включения. Это приводит к нецелесообразному формированию множества ключей доступа. Помимо ненужных учетных данных, это также порождает ненужные операции управления при аудите и смене этих ключей. Требуя, чтобы пользователь мог выполнить дополнительные действия после создания профиля, даст более строгое представление о том, что ключи доступа являются [a] необходимыми для их работы и [b] после того, как ключ доступа установлен в учетной записи, что ключи могут использоваться где-то в организации.

Серьезность: средний

Убедитесь, что создана роль поддержки для управления инцидентами с помощью службы поддержки AWS

Описание: AWS предоставляет центр поддержки, который можно использовать для уведомления об инцидентах и реагирования, а также технической поддержки и обслуживания клиентов. Создайте роль IAM, чтобы позволить уполномоченным пользователям управлять инцидентами с помощью службы поддержки AWS. При реализации минимальных привилегий для управления доступом роль IAM требует соответствующей политики IAM, чтобы разрешить центру поддержки доступ к инцидентам с поддержкой AWS.

Серьезность: низкая

Убедитесь, что смена ключей доступа осуществляется не реже чем один раз в 90 дней

Описание. Ключи доступа состоят из идентификатора ключа доступа и ключа секретного доступа, которые используются для подписывания программных запросов, выполняемых в AWS. Пользователям AWS требуются собственные ключи доступа для выполнения программных вызовов AWS из интерфейса командной строки AWS (AWS CLI), инструментов для Windows PowerShell, пакетов SDK для AWS или прямых вызовов HTTP, использующих интерфейсы API отдельных служб AWS. Рекомендуется регулярно поворачивать все ключи доступа. Смена ключей доступа сокращает окно возможности использования ключа доступа, связанного с скомпрометированной или прекращенной учетной записью. Ключи доступа следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден.

Серьезность: средний

Убедитесь, что служба AWS Config включена во всех регионах

Описание. AWS Config — это веб-служба, которая выполняет управление конфигурацией поддерживаемых ресурсов AWS в вашей учетной записи и предоставляет вам файлы журналов. Записываемые сведения включают в себя элемент конфигурации (ресурс AWS), связи между элементами конфигурации (ресурсы AWS) и изменения конфигурации между ресурсами. Рекомендуется включить AWS Config во всех регионах.

Журнал элементов конфигурации AWS, записанный службой AWS Config, позволяет выполнять анализ системы безопасности, отслеживание изменения ресурсов и аудит соответствия.

Серьезность: средний

Убедитесь, что служба CloudTrail включена во всех регионах.

Описание. AWS CloudTrail — это веб-служба, которая записывает вызовы API AWS для учетной записи и предоставляет вам файлы журналов. Записываемые сведения включают в себя идентификатор вызывающего API, время вызова API, исходный IP-адрес вызывающего API, параметры запроса и элементы ответа, возвращенные службой AWS. CloudTrail предоставляет журнал вызовов API AWS для учетной записи, включая вызовы API, выполненные через консоль управления, пакеты SDK, программы командной строки и службы AWS более высокого уровня (например, CloudFormation). Журнал вызовов API AWS, созданный CloudTrail, позволяет выполнять анализ системы безопасности, отслеживание изменения ресурсов и аудит соответствия. Кроме того:

• Убедитесь, что существует путь с несколькими регионами, гарантирует, что неиспользуемые в противном случае неиспользуемые регионы обнаружены непредвиденные действия.
• Убедитесь, что существует путь с несколькими регионами, гарантирует, что для отслеживания событий, созданных в глобальных службах AWS, включена запись событий, созданных в глобальных службах AWS.
• Для нескольких регионов проверка того, что события управления настроены для всех типов операций чтения и записи, обеспечивают запись операций управления, выполняемых во всех ресурсах в учетной записи AWS.

Серьезность: высокий уровень

Убедитесь, что учетные данные, которые не используются в течение 90 дней и более, отключены

Описание. Пользователи AWS IAM могут получить доступ к ресурсам AWS с помощью различных типов учетных данных, таких как пароли или ключи доступа. Рекомендуется удалить или деактивировать все учетные данные, неиспользуемые в течение 90 или более дней. Отключение или удаление ненужных учетных данных сокращает окно возможности использования учетных данных, связанных с скомпрометированной или заброшенной учетной записью.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM срок действия паролей не превышает 90 дней

Описание. Политики паролей IAM могут требовать смены или истечения срока действия паролей после заданного количества дней. Рекомендуется срок действия политики паролей истекает через 90 дней или меньше. Уменьшение времени существования пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора. Кроме того, требование регулярного изменения пароля поможет в следующих сценариях:

• Пароли могут быть украдены или скомпрометированы иногда без ваших знаний. Причиной этого может быть нарушение безопасности системы, уязвимость программного обеспечения или внутренняя угроза.
• Некоторые корпоративные и государственные веб-фильтры или прокси-серверы могут перехватывать и записывать трафик, даже если он зашифрован.
• Многие люди используют один и тот же пароль для многих систем, таких как работа, электронная почта и личный.
• Скомпрометированные рабочие станции конечных пользователей могут иметь средство ведения журнала нажатия клавиш.

Серьезность: низкая

Убедитесь, что политика паролей IAM запрещает повторное использование паролей

Описание. Политики паролей IAM могут препятствовать повторному использованию заданного пароля тем же пользователем. Рекомендуется запретить повторное использование паролей политикой паролей. Запрет повторного использования пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: низкая

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну строчную букву

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одну строчную букву. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну цифру

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одного номера. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы один специальный символ

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одного символа. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну прописную букву

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одну прописную букву. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM минимальная длина пароля должна составлять не менее 14 символов

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать, чтобы гарантировать, что пароль будет содержать не меньше заданного числа знаков. Рекомендуется, чтобы политика паролей требовала минимальной длины пароля "14". Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что включена многофакторная проверка подлинности (MFA) для всех пользователей IAM с паролем консоли

Описание. Многофакторная проверка подлинности (MFA) добавляет дополнительный уровень защиты поверх имени пользователя и пароля. Если включенА MFA, когда пользователь входит на веб-сайт AWS, он будет запрашивать имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. Рекомендуется включить MFA для всех учетных записей с паролем консоли. Включение MFA обеспечивает повышенную безопасность доступа к консоли, так как эта служба требует, чтобы субъект, проходящий проверку подлинности, имел устройство, которое создает ключ с учетом времени и которому известны учетные данные.

Серьезность: средний

Служба GuardDuty должна быть включена

Описание. Чтобы обеспечить дополнительную защиту от вторжений, GuardDuty следует включить в учетной записи AWS и регионе.

GuardDuty может не быть полным решением для каждой среды.

Серьезность: средний

Необходимо включить аппаратную MFA для корневой учетной записи

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи. MFA обеспечивает дополнительный уровень защиты помимо имени пользователя и пароля. Если включена служба MFA, то при входе пользователя на веб-сайт AWS ему предлагается ввести имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. Для уровня 2 рекомендуется защитить корневую учетную запись с помощью аппаратной MFA. Аппаратная MFA обеспечивает меньшую уязвимость, чем виртуальная MFA. Например, аппаратная MFA не подвержена направлениям атаки, характерным для мобильного смартфона, на котором установлена виртуальная MFA. При использовании оборудования для многофакторной идентификации для многих учетных записей может возникнуть проблема с управлением материально-техническими устройствами. В этом случае рекомендуется избирательно реализовать данную рекомендацию уровня 2 для учетных записей с максимальным уровнем безопасности. Затем можно применить рекомендацию уровня 1 к остальным учетным записям.

Серьезность: низкая

Для кластеров RDS должна быть настроена проверка подлинности IAM

Описание. Этот элемент управления проверяет, включена ли проверка подлинности базы данных IAM в кластере RDS DB. Проверка подлинности базы данных IAM позволяет выполнять проверку подлинности без пароля для экземпляров базы данных. Для этой проверки подлинности используется маркер проверки подлинности. Входящий и исходящий трафик базы данных шифруется с помощью протокола SSL. Дополнительные сведения см. в разделе "IAM database authentication" (Проверка подлинности базы данных IAM) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Для экземпляров RDS должна быть настроена проверка подлинности IAM

Описание. Этот элемент управления проверяет, включена ли проверка подлинности базы данных IAM экземпляра RDS. Проверка подлинности базы данных IAM обеспечивает проверку подлинности в экземплярах базы данных с помощью маркера проверки подлинности, а не пароля. Входящий и исходящий трафик базы данных шифруется с помощью протокола SSL. Дополнительные сведения см. в разделе "IAM database authentication" (Проверка подлинности базы данных IAM) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Управляемые клиентом политики IAM не должны разрешать действия расшифровки для всех ключей KMS

Описание. Проверяет, разрешена ли версия управляемых клиентом IAM политик IAM использовать действия расшифровки AWS KMS во всех ресурсах. Этот элемент управления использует Zelkova, механизм автоматической рассудки, чтобы проверить и предупредить вас о политиках, которые могут предоставить широкий доступ к секретам в учетных записях AWS. Этот элемент управления завершается ошибкой, если действия "kms: decrypt" или "kms: ReEncryptFrom" разрешены во всех ключах KMS. Элемент управления оценивает подключенные и неподключенные управляемые клиентом политики. Он не проверяет встроенные политики или управляемые политики AWS. С помощью AWS KMS вы можете контролировать, кто может использовать ключи KMS и обращаться к зашифрованным данным. Политики IAM определяют, какие действия удостоверение (пользователя, группы или роли) позволяет выполнять с ресурсами. Согласно лучшим методикам обеспечения безопасности AWS рекомендует предоставлять минимальные права. Иными словами, следует предоставить удостоверениям только разрешение kms:Decrypt или kms:ReEncryptFrom и только для тех ключей, которые необходимы для выполнения конкретной задачи. В противном случае пользователь может использовать ключи, которые не соответствуют вашим данным. Вместо предоставления разрешений для всех ключей определите минимальный набор ключей, необходимых пользователям для доступа к зашифрованным данным. Затем разработайте политики, позволяющие пользователям использовать только эти ключи. Например, не разрешайте разрешение "kms: расшифровка" для всех ключей KMS. Вместо этого разрешайте "kms: расшифровка" только для ключей в определенном регионе для учетной записи. Реализуя принцип минимальных прав, можно снизить риск непреднамеренного раскрытия данных.

Серьезность: средний

Создаваемые вами управляемые политики клиента IAM не должны разрешать действия с подстановочными знаками для служб

Описание. Этот элемент управления проверяет, имеют ли создаваемые политики на основе удостоверений IAM операторы Allow, использующие подстановочный знак * для предоставления разрешений для всех действий в любой службе. Элемент управления завершается ошибкой, если любая инструкция политики включает "Эффект": "Разрешить" с действием: "Service:*". Например, приведенный ниже оператор в политике приводит к ошибке проверки.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Элемент управления также завершается ошибкой, если вы используете "Эффект": "Разрешить" с "NotAction": "service:". В этом случае элемент NotAction предоставляет доступ ко всем действиям в службе AWS, за исключением действий, указанных в NotAction. Этот элемент управления применяется только к политикам IAM, управляемым клиентом. Это не относится к политикам IAM, управляемым AWS. При назначении разрешений службам AWS важно ограничить допустимые действия IAM в политиках IAM. Действия IAM следует ограничить только теми действиями, которые необходимы. Это помогает подготовить разрешения с минимальными привилегиями. Чрезмерно разрешительные политики могут привести к эскалации привилегий, если политики присоединены к субъекту IAM, который может не требовать разрешения. В некоторых случаях может потребоваться разрешить действия IAM с аналогичным префиксом, такими как DescribeFlowLogs и DescribeAvailabilityZones. В этих авторизованных случаях можно добавить суффиксированные подстановочные знаки в общий префикс. Например, ec2:Describe.

Этот элемент управления возвращает положительный ответ, если используется действие IAM с префиксом, подстановочным знаком и суффиксом. Например, приведенный ниже оператор в политике проходит проверку.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

При таком способе группирования связанных действий IAM можно избежать превышения предельного размера политики IAM.

Серьезность: низкая

Политики IAM должны быть привязаны только к группам или ролям

Описание. По умолчанию пользователи, группы и роли IAM не имеют доступа к ресурсам AWS. Политики IAM — это средства, с помощью которых пользователям, группам или ролям предоставляются права. Рекомендуется применять политики IAM непосредственно к группам и ролям, но не к пользователям. Назначение привилегий на уровне группы или роли снижает сложность управления доступом по мере роста числа пользователей. Сокращение сложности управления доступом также может снизить возможность для непреднамеренного получения или сохранения чрезмерных привилегий субъекта.

Серьезность: низкая

Не следует создавать политики IAM, предоставляющие полные права администратора ":"

Описание. Политики IAM — это средства предоставления привилегий пользователям, группам или ролям. Рекомендуется и считается стандартным советом по безопасности, чтобы предоставить минимальные привилегии, то есть предоставить только разрешения, необходимые для выполнения задачи. Определите, что пользователям нужно делать, а затем создайте для них политики, позволяющие выполнять только эти задачи, а не предоставляя им права администратора. Более безопасно начать с минимального набора разрешений и предоставлять дополнительные разрешения, а не начать со слишком обширных разрешений, а затем пытаться ограничить их. Предоставление полных прав администратора вместо ограниченного минимального набора разрешений, необходимых пользователю для работы, потенциально подвергает ресурсы нежелательным действиям. Политики IAM, содержащие оператор с "Effect": "Allow" с "Action": "" для "Resource": "", следует удалить.

Серьезность: высокий уровень

Субъекты IAM не должны иметь встроенные политики IAM, разрешающие действия расшифровки для всех ключей KMS

Описание. Проверяет, разрешены ли встроенные политики, внедренные в удостоверения IAM (роль, пользователь или группа), разрешать действия расшифровки AWS KMS во всех ключах KMS. Этот элемент управления использует Zelkova, механизм автоматической рассудки, чтобы проверить и предупредить вас о политиках, которые могут предоставить широкий доступ к секретам в учетных записях AWS. Этот элемент управления завершается ошибкой, если kms:Decrypt или kms:ReEncryptFrom действия разрешены для всех ключей KMS в встроенной политике. С помощью AWS KMS вы можете контролировать, кто может использовать ключи KMS и обращаться к зашифрованным данным. Политики IAM определяют, какие действия удостоверение (пользователя, группы или роли) позволяет выполнять с ресурсами. Согласно лучшим методикам обеспечения безопасности AWS рекомендует предоставлять минимальные права. Иными словами, следует предоставить удостоверениям только необходимые им разрешения и только для тех ключей, которые требуются для выполнения конкретной задачи. В противном случае пользователь может использовать ключи, которые не соответствуют вашим данным. Вместо предоставления разрешения для всех ключей определите минимальный набор ключей, необходимых пользователям для доступа к зашифрованным данным. Затем разработайте политики, позволяющие пользователям использовать только эти ключи. Например, не разрешайте kms:Decrypt разрешение на все ключи KMS. Вместо этого предоставьте им разрешение только для ключей в определенном регионе для своей учетной записи. Реализуя принцип минимальных прав, можно снизить риск непреднамеренного раскрытия данных.

Серьезность: средний

Лямбда-функции должны ограничивать открытый доступ

Описание. Политика на основе ресурсов на основе лямбда-функции должна ограничить общедоступный доступ. Эта рекомендация не проверяет доступ внутренних субъектов. Убедитесь, что доступ к функции разрешен только уполномоченным субъектам, настроив политики на основе ресурсов с минимальными правами.

Серьезность: высокий уровень

Необходимо включить MFA для всех пользователей IAM

Описание. Все пользователи IAM должны иметь многофакторную проверку подлинности (MFA).

Серьезность: средний

Необходимо включить многофакторную проверку подлинности для "корневой" учетной записи

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи. MFA обеспечивает дополнительный уровень защиты помимо имени пользователя и пароля. Если включена служба MFA, то при входе пользователя на веб-сайт AWS ему предлагается ввести имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. При использовании виртуальной MFA для корневых учетных записей рекомендуется, чтобы используемое устройство не было личным устройством. Вместо этого используйте выделенное мобильное устройство (планшет или телефон), которое находится в вашем распоряжении, чтобы разделять оплату и обеспечение безопасности, относящуюся к каким-либо личным устройствам. Это уменьшает риски потери доступа к MFA из-за потери устройства, его обмена с доплатой или увольнения из компании лица, владеющего этим устройством.

Серьезность: низкая

Политики паролей для пользователей IAM должны иметь строгие конфигурации

Описание. Проверяет, использует ли политика пароля учетной записи для пользователей IAM следующие минимальные конфигурации.

• RequireUppercaseCharacters. Требуется по крайней мере один символ верхнего регистра в пароле. (Значение по умолчанию — true.)
• RequireLowercaseCharacters. Требуется по крайней мере один нижний символ в пароле. (Значение по умолчанию — true.)
• RequireNumbers. Требуется по крайней мере одно число в пароле. (Значение по умолчанию — true.)
• Минимальная длина пароля MinimumPasswordLength. (По умолчанию — 7 или больше знаков.)
• PasswordReusePrevention— количество паролей, прежде чем разрешить повторное использование. (Значение по умолчанию — 4.)
• MaxPasswordAge— количество дней до истечения срока действия пароля. (Значение по умолчанию — 90.)

Серьезность: средний

Разрешения неактивных удостоверений в учетной записи AWS должны быть отменены

Описание: Microsoft Defender для облака обнаружил удостоверение, которое не выполнило никаких действий на любом ресурсе в вашей учетной записи AWS за последние 45 дней. Рекомендуется отозвать разрешения неактивных удостоверений, чтобы уменьшить область атаки облачной среды.

Серьезность: средний

Ключ доступа к учетной записи root не должен существовать

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи AWS. Ключи доступа AWS обеспечивают программный доступ к заданной учетной записи AWS. Рекомендуется удалить все ключи доступа, связанные с корневой учетной записью. Удаление ключей доступа, связанных с учетной записью root, ограничивает возможности компрометации этой учетной записи. Кроме того, удаление корневых ключей доступа способствует созданию и использованию учетных записей на основе ролей, которые реализуют принцип минимальных прав.

Серьезность: высокий уровень

Параметр блокировки общего доступа S3 должен быть включен

Описание. Включение параметра общедоступного доступа для контейнера S3 может помочь предотвратить утечку конфиденциальных данных и защитить контейнер от вредоносных действий.

Серьезность: средний

Параметр блокировки общего доступа S3 должен быть включен на уровне контейнеров

Описание. Этот элемент управления проверяет, применяются ли контейнеры S3 общедоступных блоков доступа уровня контейнера. Этот элемент управления завершается ошибкой, если для любого из следующих параметров задано значение false:

• ignorePublicAcls
• blockPublicPolicy
• blockPublicAcls
• restrictPublicBuckets Блокировать общедоступный доступ на уровне контейнера S3 предоставляет элементы управления, чтобы гарантировать, что объекты никогда не имеют общедоступного доступа. Общий доступ к контейнерам и объектам предоставляется посредством списков управления доступом, политик контейнеров или и того, и другого. Если вы не планируете использовать общедоступные контейнеры S3, следует настроить функцию блокировки открытого доступа Amazon S3 на уровне контейнера.

Серьезность: высокий уровень

Открытый доступ на чтение контейнеров S3 должен быть удален

Описание. Удаление общедоступного доступа на чтение к контейнеру S3 может помочь защитить данные и предотвратить нарушение данных.

Серьезность: высокий уровень

Открытый доступ на запись контейнеров S3 должен быть удален

Описание. Разрешение общедоступного доступа на запись в контейнер S3 может покинуть вас уязвимыми для вредоносных действий, таких как хранение данных за счет, шифрование файлов для выкупа или использование контейнера для работы с вредоносными программами.

Серьезность: высокий уровень

Для конфиденциальной информации Secrets Manager должна быть включена автоматическая ротация

Описание. Этот элемент управления проверяет, настроен ли секрет, хранящийся в диспетчере секретов AWS, с автоматическим поворотом. Secrets Manager помогает повысить уровень безопасности организации. Секреты включают в себя учетные данные базы данных, пароли и сторонние ключи API. Secrets Manager можно использовать для централизованного хранения секретов, автоматического шифрования секретов, управления доступом к секретам и безопасной смены секретов. Secrets Manager может выполнять смену секретов. Вы можете использовать смену, чтобы заменить долгосрочные секреты краткосрочными. Смена секретов ограничивает время, в течение которого неуполномоченный пользователь сможет использовать скомпрометированный секрет. По этой причине необходимо часто выполнять смену секретов. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Остановленные экземпляры EC2 должны быть удалены через указанный период времени

Описание. Этот элемент управления проверяет, были ли остановлены все экземпляры EC2 в течение более допустимого количества дней. Экземпляр EC2 завершается ошибкой, если он остановлен дольше, чем максимальный допустимый период времени, который по умолчанию составляет 30 дней. Возвращение ошибки означает, что экземпляр EC2 не выполнялся в течение длительного периода времени. Это создает риск безопасности, так как экземпляр EC2 не поддерживается (анализируется, исправлено, обновляется). Если оно будет запущено позже, отсутствие правильного обслуживания может привести к непредвиденным проблемам в вашей среде AWS. Чтобы безопасно поддерживать экземпляр EC2 в неработающем состоянии, периодически запускайте его для обслуживания, а затем останавливайте. В идеале этот процесс следует автоматизировать.

Серьезность: средний

Неиспользуемые удостоверения в среде AWS должны быть удалены (предварительная версия)

Описание. Неактивные удостоверения являются человеческими и нечеловеческими сущностями, которые не выполняли никаких действий по любому ресурсу за последние 90 дней. Неактивные удостоверения IAM с разрешениями высокого риска в вашей учетной записи AWS могут быть подвержены атакам, если они остаются как есть, и оставьте организации открытыми для неправильного использования учетных данных или эксплуатации. Упреждающее обнаружение и реагирование на неиспользуемые удостоверения помогает предотвратить несанкционированный доступ к ресурсам AWS.

Серьезность: средний

Рекомендации по идентификации и доступу GCP

Криптографические ключи не должны содержать более трех пользователей

Описание. Эта рекомендация оценивает политики IAM для кругов ключей. проекты и организации и извлекает субъекты с ролями, которые позволяют им шифровать, расшифровывать или подписывать данные с помощью ключей Cloud KMS: role/owner, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyDecrypter, role/cloudkms.signer и role/cloudkms.signerVerifier.

Серьезность: средний

Убедитесь, что ключи API не создаются для проекта

Описание. Ключи небезопасны, так как они могут просматриваться публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Вместо этого рекомендуется использовать стандартный поток проверки подлинности.

Ниже приведены риски безопасности, связанные с использованием ключей API:

• Ключи API — это простые зашифрованные строки
• Ключи API не определяют пользователя или приложения, выполняющего запрос API
• Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

Чтобы избежать риска безопасности при использовании ключей API, рекомендуется использовать стандартный поток проверки подлинности.

Серьезность: высокий уровень

Убедитесь, что ключи API ограничены только API, которым требуется доступ к приложению

Описание. Ключи API небезопасны, так как они могут просматриваться публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Рекомендуется ограничить ключи API только для использования (вызова) api, необходимых приложению.

Ниже приведены риски безопасности, связанные с использованием ключей API:

• Ключи API — это простые зашифрованные строки
• Ключи API не определяют пользователя или приложения, выполняющего запрос API
• Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

В свете этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо API-ключей. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

Чтобы уменьшить количество атак путем предоставления минимальных привилегий, ключи API можно ограничить использование (вызов) только API, необходимых приложению.

Серьезность: высокий уровень

Убедитесь, что ключи API ограничены только указанными узлами и приложениями

Описание. Неограниченные ключи небезопасны, так как их можно просматривать публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Рекомендуется ограничить использование ключа API доверенным узлам, ссылщикам HTTP и приложениям.

Ниже приведены риски безопасности, связанные с использованием ключей API:

• Ключи API — это простые зашифрованные строки
• Ключи API не определяют пользователя или приложения, выполняющего запрос API
• Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

В свете этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо ключей API. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

Чтобы уменьшить векторы атак, API-ключи могут быть ограничены только доверенными узлами, ссылщиками HTTP и приложениями.

Серьезность: высокий уровень

Убедитесь, что ключи API сменяются каждые 90 дней

Описание. Рекомендуется сменить ключи API каждые 90 дней.

Ниже перечислены риски безопасности, связанные с использованием КЛЮЧЕй API:

• Ключи API — это простые зашифрованные строки
• Ключи API не определяют пользователя или приложения, выполняющего запрос API
• Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

Из-за этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо ключей API. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

После кражи ключа он не имеет срока действия, что означает, что он может использоваться неограниченное время, если владелец проекта не отменяет или повторно создает ключ. Смена ключей API уменьшит окно возможности использования ключа доступа, связанного с скомпрометированной или завершенной учетной записью.

Ключи API следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден.

Серьезность: высокий уровень

Убедитесь, что ключи шифрования KMS поворачиваются в течение 90 дней

Описание: Google Cloud служба управления ключами хранит криптографические ключи в иерархической структуре, предназначенной для удобного и элегантного управления доступом. Формат расписания поворота зависит от используемой клиентской библиотеки. Для средства командной строки gcloud следующее время смены должно находиться в формате ISO или "RFC3339", а период поворота должен быть в форме INTEGER[UNIT], где единицы могут быть одним из секунд (с), минут (m), часов (ч) или дней (d). Задайте период смены ключей и время начала. Ключ можно создать с указанным "периодом поворота", то есть временем между созданием новых версий ключей автоматически. Ключ также можно создать с указанным временем следующего поворота. Ключ — это именованный объект, представляющий "криптографический ключ", используемый для конкретной цели. Материал ключа, фактические биты, используемые для шифрования, могут меняться с течением времени при создании новых версий ключей. Ключ используется для защиты некоторых "корпусов данных". Коллекция файлов может быть зашифрована с тем же ключом, и люди с разрешениями расшифровки этого ключа смогут расшифровать эти файлы. Поэтому необходимо убедиться, что для определенного времени задан период поворота.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для назначений и изменений владения проектами

Описание. Чтобы предотвратить ненужные назначения владения проектом для пользователей или учетных записей служб и дальнейших злоупотреблений проектами и ресурсами, следует отслеживать все назначения "роли/владельца". Участники (пользователи или учетные записи службы) с назначением ролей для примитивной роли "роли/владельца" являются владельцами проектов. Владелец проекта имеет все привилегии для проекта, к которой принадлежит роль. Ниже приведены следующие итоги.

• Все разрешения средства просмотра для всех служб GCP в проекте
• Разрешения для действий, изменяющих состояние всех служб GCP в проекте
• Управление ролями и разрешениями для проекта и всех ресурсов в проекте
• Настройка выставления счетов для проекта предоставления роли владельца участнику (пользователю или учетной записи службы) позволит участнику изменить политику управления удостоверениями и доступом (IAM). Поэтому предоставьте роль владельца только в том случае, если член имеет законное назначение для управления политикой IAM. Это связано с тем, что политика IAM проекта содержит конфиденциальные данные управления доступом. Наличие минимального набора пользователей, которым разрешено управлять политикой IAM, упрощает любой аудит, который может потребоваться. Владение проектом имеет самый высокий уровень привилегий в проекте. Чтобы избежать неправильного использования ресурсов проекта, необходимо отслеживать и предупреждать заинтересованных получателей о назначении или изменении проекта.
• Отправка приглашений на владение проектом
• Принятие или отклонение приглашения владельца проекта пользователем
• Добавление role\Owner в учетную запись пользователя или службы
• Удаление учетной записи пользователя или службы из role\Owner

Серьезность: низкая

Убедитесь, что ослогин включен для проекта

Описание. Включение входа ОС привязывает сертификаты SSH к пользователям IAM и упрощает эффективное управление сертификатами SSH. Включение osLogin гарантирует, что ключи SSH, используемые для подключения к экземплярам, сопоставляются с пользователями IAM. Отмена доступа к пользователю IAM отменяет все ключи SSH, связанные с этим конкретным пользователем. Это упрощает централизованное и автоматизированное управление парами ключей SSH, которое полезно в обработке таких случаев, как реагирование на скомпрометированные пары ключей SSH и /или отзыв внешних или сторонних пользователей или поставщиков. Чтобы узнать, какой экземпляр приводит к неработоспособности проекта, см. рекомендацию "Убедитесь, что ослогин включен для всех экземпляров".

Серьезность: средний

Убедитесь, что ослогин включен для всех экземпляров

Описание. Включение входа ОС привязывает сертификаты SSH к пользователям IAM и упрощает эффективное управление сертификатами SSH. Включение osLogin гарантирует, что ключи SSH, используемые для подключения к экземплярам, сопоставляются с пользователями IAM. Отмена доступа к пользователю IAM отменяет все ключи SSH, связанные с этим конкретным пользователем. Это упрощает централизованное и автоматизированное управление парами ключей SSH, которое полезно в обработке таких случаев, как реагирование на скомпрометированные пары ключей SSH и /или отзыв внешних или сторонних пользователей или поставщиков.

Серьезность: средний

Убедитесь, что ведение журнала аудита облака настроено правильно для всех служб и всех пользователей из проекта.

Описание. Рекомендуется настроить ведение журнала аудита облака для отслеживания всех действий администратора и чтения, записи доступа к данным пользователя.

Ведение журнала аудита в облаке поддерживает два журнала аудита для каждого проекта, папки и организации: действия администратора и доступ к данным.

• Журналы действий администратора содержат записи журнала для вызовов API или других административных действий, которые изменяют конфигурацию или метаданные ресурсов.
• Журналы аудита действий администратора включены для всех служб и не могут быть настроены.
• Журналы аудита доступа к данным записывают вызовы API, которые создают, изменяют или считывают предоставленные пользователем данные. Они отключены по умолчанию и должны быть включены.

Существует три типа сведений журнала аудита доступа к данным:

• Чтение администратора: записи операций, которые считывают метаданные или сведения о конфигурации. Журналы аудита действий администратора записывают записи метаданных и сведений о конфигурации, которые не могут быть отключены.
• Чтение данных: записи операций, которые считывают предоставленные пользователем данные.
• Запись данных: записывает операции, которые записывают предоставленные пользователем данные.

Рекомендуется настроить эффективную конфигурацию аудита по умолчанию таким образом, чтобы:

• Для типа журнала задано значение DATA_READ (для записи отслеживания действий пользователей) и DATA_WRITES (для регистрации изменений или изменения данных пользователей).
• Настройка аудита включена для всех служб, поддерживаемых функцией журналов аудита доступа к данным.
• Журналы должны быть записаны для всех пользователей, то есть в любом разделе конфигурации аудита отсутствуют исключенные пользователи. Это гарантирует, что переопределение конфигурации аудита не будет противоречить требованию.

Серьезность: средний

Убедитесь, что ключи шифрования CLOUD KMS не являются анонимными или общедоступными

Описание. Рекомендуется, чтобы политика IAM в ключах шифрования CLOUD KMS ограничивала анонимный и (или) общедоступный доступ. Предоставление разрешений "allUsers" или "allAuthenticatedUsers" позволяет любому пользователю получить доступ к набору данных. Такой доступ может быть не желательным, если конфиденциальные данные хранятся в расположении. В этом случае убедитесь, что анонимный и /или общедоступный доступ к ключу шифрования KMS cloud KMS не разрешен.

Серьезность: высокий уровень

Убедитесь, что используются учетные данные для входа организации

Описание. Используйте учетные данные для входа в организации вместо личная учетная запись, например учетные записи Gmail. Рекомендуется использовать полностью управляемые корпоративные учетные записи Google для повышения видимости, аудита и управления доступом к ресурсам Cloud Platform. Учетные записи Gmail, основанные за пределами организации пользователя, такие как личная учетная запись, не должны использоваться для бизнес-целей.

Серьезность: высокий уровень

Убедитесь, что пользователи IAM не назначены роли пользователя учетной записи службы или создателя маркеров учетной записи службы на уровне проекта

Описание. Рекомендуется назначить роли "Пользователь учетной записи службы (iam.serviceAccountUser)" и "Создатель маркера учетной записи службы (iam.serviceAccountTokenCreator)" для конкретной учетной записи службы, а не назначение роли пользователю на уровне проекта. Учетная запись службы — это специальная учетная запись Google, которая принадлежит приложению или виртуальной машине , а не отдельному пользователю. Приложение или экземпляр виртуальной машины использует учетную запись службы для вызова API Google службы, чтобы пользователи не участвовали напрямую. Помимо удостоверения, учетная запись службы — это ресурс, к которому подключены политики IAM. Эти политики определяют, кто может использовать учетную запись службы. Пользователи с ролями IAM для обновления экземпляров ядра приложений и вычислительных ядер (например, развертывания ядра приложений или администратора вычислительного экземпляра) могут эффективно выполнять код в качестве учетных записей служб, используемых для выполнения этих экземпляров, и косвенно получить доступ ко всем ресурсам, к которым имеются учетные записи службы. Аналогичным образом, доступ SSH к экземпляру вычислительного ядра также может предоставить возможность выполнять код в качестве этой учетной записи экземпляра или службы. На основе бизнес-потребностей может быть несколько управляемых пользователем учетных записей служб, настроенных для проекта. Предоставление ролей iam.serviceAccountUser или iam.serviceAserviceAccountTokenCreatorccountUser пользователю для проекта предоставляет пользователю доступ ко всем учетным записям служб в проекте, включая учетные записи служб, которые могут быть созданы в будущем. Это может привести к повышению привилегий с помощью учетных записей служб и соответствующих экземпляров вычислительного ядра. Чтобы реализовать рекомендации по "минимальным привилегиям", пользователи IAM не должны назначать роли "Пользователь учетной записи службы" или "Создатель маркера учетной записи службы" на уровне проекта. Вместо этого эти роли должны быть назначены пользователю для определенной учетной записи службы, предоставляя этот пользователь доступ к учетной записи службы. Пользователь учетной записи службы позволяет пользователю привязать учетную запись службы к длительной службе заданий, а роль "Создатель маркера учетной записи службы" позволяет пользователю напрямую олицетворить (или подтвердить) удостоверение учетной записи службы.

Серьезность: средний

Убедитесь, что разделение обязанностей применяется при назначении ролей, связанных с KMS пользователями

Описание. Рекомендуется применить принцип разделения обязанностей при назначении ролей, связанных с KMS пользователями. Встроенная или предопределенная роль IAM "Администратор Cloud KMS" позволяет пользователю или удостоверению создавать, удалять и управлять учетными записями служб. Встроенная или предопределенная роль Cloud KMS CryptoKey Encrypter/Decrypter IAM позволяет пользователю или удостоверению (с достаточными привилегиями на заинтересованных ресурсах) шифровать и расшифровывать неактивные данные с помощью ключей шифрования. Встроенная или предопределенная роль Cloud KMS CryptoKey Encrypter IAM позволяет пользователю или удостоверению (с достаточными привилегиями для соответствующих ресурсов) шифровать неактивных данных с помощью ключей шифрования. Встроенная или предопределенная роль Cloud KMS Crypto Key Decrypter IAM позволяет пользователю или удостоверению (с достаточными привилегиями на заинтересованных ресурсах) расшифровывать неактивные данные с помощью ключей шифрования. Разделение обязанностей — это концепция обеспечения того, чтобы один человек не имел всех необходимых разрешений для выполнения вредоносных действий. В Cloud KMS это может быть действие, например использование ключа для доступа к данным и расшифровки данных, к которых пользователь обычно не должен иметь доступа. Разделение обязанностей — это бизнес-контроль, который обычно используется в крупных организациях, что позволяет избежать инцидентов безопасности или конфиденциальности и ошибок. Это считается лучшей практикой. У пользователей нет администратора Cloud KMS и любой из Cloud KMS CryptoKey Encrypter/Decrypterролей, Cloud KMS CryptoKey EncrypterCloud KMS CryptoKey Decrypter назначенных одновременно.

Серьезность: высокий уровень

Убедитесь, что разделение обязанностей применяется при назначении ролей, связанных с учетной записью службы пользователями

Описание. Рекомендуется применять принцип разделения обязанностей при назначении ролей, связанных с учетной записью службы пользователям. Встроенная или предопределенная роль IAM "Администратор учетной записи службы" позволяет пользователю или удостоверению создавать, удалять и управлять учетными записями служб. Встроенная или предопределенная роль IAM "Пользователь учетной записи службы" позволяет пользователю или удостоверению (с достаточными привилегиями для вычислительных ресурсов и ядра приложений) назначать учетные записи службы приложениям и вычислительным экземплярам. Разделение обязанностей — это концепция обеспечения того, чтобы один человек не имел всех необходимых разрешений для выполнения вредоносных действий. В cloud IAM — учетные записи служб это может быть действие, например использование учетной записи службы для доступа к ресурсам, к которым пользователь обычно не должен иметь доступа. Разделение обязанностей — это бизнес-контроль, который обычно используется в крупных организациях, что позволяет избежать инцидентов безопасности или конфиденциальности и ошибок. Это считается лучшей практикой. В то же время у пользователя не должны быть роли "Администратор учетной записи службы" и "Пользователь учетной записи службы".

Серьезность: средний

Убедитесь, что у учетной записи службы нет прав администратора

Описание. Учетная запись службы — это специальная учетная запись Google, которая принадлежит приложению или виртуальной машине, а не отдельному пользователю. Приложение использует учетную запись службы для вызова API Google службы, чтобы пользователи не участвовали напрямую. Рекомендуется не использовать доступ администратора для ServiceAccount. Учетные записи служб представляют безопасность ресурсов (приложения или виртуальной машины), которые могут определяться ролями, назначенными ей. Регистрация ServiceAccount с правами администратора предоставляет полный доступ к назначенному приложению или виртуальной машине. Владелец доступа ServiceAccount может выполнять критические действия, такие как удаление, обновление параметров изменений и т. д. без вмешательства пользователя. По этой причине рекомендуется, чтобы учетные записи служб не имели прав администратора.

Серьезность: средний

Убедитесь, что приемники настроены для всех записей журнала

Описание. Рекомендуется создать приемник, который будет экспортировать копии всех записей журнала. Это может помочь агрегировать журналы из нескольких проектов и экспортировать их в службу управления безопасностью и событиями (SIEM). Записи журнала хранятся в журнале Stackdriver. Чтобы агрегировать журналы, экспортируйте их в SIEM. Чтобы сохранить их дольше, рекомендуется настроить приемник журнала. Экспорт включает запись фильтра, который выбирает записи журнала для экспорта и выбор назначения в облачном хранилище, BigQuery или Cloud Pub/Sub. Фильтр и назначение хранятся в объекте, называемом приемником. Чтобы убедиться, что все записи журнала экспортируются в приемники, убедитесь, что для приемника не настроен фильтр. Приемники можно создавать в проектах, организациях, папках и учетных записях выставления счетов.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений конфигурации аудита

Описание: службы Google Cloud Platform (GCP) записывают записи журнала аудита в журналы действий администратора и доступа к данным. Записи помогают ответить на вопросы о том, кто сделал что, где и когда?" в проектах GCP. Сведения о ведении журнала аудита облака включают идентификатор вызывающего API, время вызова API, исходный IP-адрес вызывающего API, параметры запроса и элементы ответа, возвращаемые службами GCP. Ведение журнала аудита облака предоставляет журнал вызовов API GCP для учетной записи, включая вызовы API, выполненные через консоль, пакеты SDK, средства командной строки и другие службы GCP. Журналы доступа к данным и действия администратора, созданные в журнале аудита облака, позволяют анализировать безопасность, отслеживать изменения ресурсов и проверять соответствие требованиям. Настройка фильтра метрик и оповещений для изменений конфигурации аудита гарантирует, что рекомендуемое состояние конфигурации аудита поддерживается таким образом, чтобы все действия в проекте были доступны для аудита в любой момент времени.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений пользовательской роли

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения ролей и управления доступом (IAM) для создания, удаления и обновления действий. Google Cloud IAM предоставляет предопределенные роли, которые предоставляют подробный доступ к определенным ресурсам Google Cloud Platform и предотвращают нежелательный доступ к другим ресурсам. Однако для удовлетворения потребностей конкретной организации облачный IAM также предоставляет возможность создавать пользовательские роли. Владельцы проектов и администраторы с ролью администратора роли организации или роль администратора роли IAM могут создавать пользовательские роли. Мониторинг действий по созданию, удалению и обновлению ролей поможет определить любую из более привилегированных ролей на ранних этапах.

Серьезность: низкая

Убедитесь, что управляемые пользователем или внешние ключи для учетных записей служб сменяются каждые 90 дней или меньше

Описание. Ключи учетной записи службы состоят из идентификатора ключа (Private_key_Id) и закрытого ключа, которые используются для подписывания программных запросов пользователей, которые делают облачные службы Google доступными для этой конкретной учетной записи службы. Рекомендуется регулярно поворачивать все ключи учетной записи службы. Смена ключей учетной записи службы уменьшит окно возможности использования ключа доступа, связанного с скомпрометированной или прекращенной учетной записью. Ключи учетной записи службы следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден. Каждая учетная запись службы связана с парой ключей, управляемой Google Cloud Platform (GCP). Он используется для проверки подлинности между службами в GCP. Google поворачивает ключи ежедневно. GCP предоставляет возможность создания одной или нескольких пар ключей, управляемых пользователем (также называемыми парами внешних ключей), для использования извне GCP (например, для использования с учетными данными по умолчанию приложения). При создании новой пары ключей пользователю требуется скачать закрытый ключ (который не сохраняется Google).

При использовании внешних ключей пользователи отвечают за обеспечение безопасности закрытого ключа и других операций управления, таких как смена ключей. Внешние ключи можно управлять API IAM, средством командной строки gcloud или страницей учетных записей служб в консоли Google Cloud Platform.

GCP упрощает до 10 ключей внешней учетной записи службы на учетную запись службы для упрощения смены ключей.

Серьезность: средний

У GCP перепросмотрированных удостоверений должны быть только необходимые разрешения (предварительная версия)

Описание. Чрезмерно подготовленное активное удостоверение — это удостоверение, которое имеет доступ к привилегиям, которые они не использовали. Слишком подготовленные активные удостоверения, особенно для нечеловеческих учетных записей, которые имеют очень определенные действия и обязанности, могут увеличить радиус взрыва в случае пользователя, ключа или компрометации ресурсов. Принцип наименьших привилегий указывает, что ресурс должен иметь доступ только к точным ресурсам, которые он должен иметь для работы. Этот принцип разработан для решения риска скомпрометированных удостоверений, предоставляющих злоумышленнику доступ к широкому спектру ресурсов.

Веб-панель мониторинга GKE должна быть отключена

Описание. Эта рекомендация оценивает поле kubernetesDashboard свойства addonsConfig для пары "ключ-значение", "отключено": false.

Серьезность: высокий уровень

Устаревшая авторизация должна быть отключена в кластерах GKE

Описание. Эта рекомендация оценивает свойство legacyAbac кластера для пары "ключ-значение": true.

Серьезность: высокий уровень

Разрешения неактивных удостоверений в проекте GCP должны быть отменены

Описание: Microsoft Defender для облака обнаружил удостоверение, которое не выполняло никаких действий по любому ресурсу в рамках проекта GCP за последние 45 дней. Рекомендуется отозвать разрешения неактивных удостоверений, чтобы уменьшить область атаки облачной среды.

Серьезность: средний

Роль IAM Redis не должна быть назначена на уровне организации или папки.

Описание. Эта рекомендация оценивает политику разрешения IAM в метаданных ресурсов для субъектов, назначенных ролей/redis.admin, role/redis.editor, role/redis.viewer на уровне организации или папки.

Серьезность: высокий уровень

Учетные записи служб должны иметь ограниченный доступ к проекту в кластере

Описание. Эта рекомендация оценивает свойство конфигурации пула узлов, чтобы проверить, не указана ли учетная запись службы или используется ли учетная запись службы по умолчанию.

Серьезность: высокий уровень

У пользователей должен быть минимальный привилегированный доступ с подробными ролями IAM

Описание. Эта рекомендация оценивает политику IAM в метаданных ресурсов для всех назначенных ролей или владельцев, ролей, записи или ролей или читателя.

Серьезность: высокий уровень

Связанный контент

• Сведения о рекомендациях по безопасности
• Просмотр рекомендаций по безопасности