Рекомендации по обеспечению безопасности сети.

Статья
09/06/2024

В этой статье перечислены все рекомендации по безопасности сети, которые могут отображаться в Microsoft Defender для облака.

Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Совет

Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.

Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.

Рекомендации по сети AWS

Служба Amazon EC2 должна быть настроена для использование конечных точек VPC

Описание. Этот элемент управления проверяет, создана ли конечная точка службы для Amazon EC2 для каждой виртуальной машины. Элемент управления завершается ошибкой, если vPC не имеет конечной точки VPC, созданной для службы Amazon EC2. Чтобы улучшить состояние безопасности VPC, можно настроить Amazon EC2 для использования интерфейсной конечной точки VPC. Интерфейсные конечные точки работают на платформе AWS PrivateLink — технологии, которая обеспечивает частный доступ к операциям API Amazon EC2. Она позволяет ограничить весь трафик, передаваемый между VPC и Amazon EC2, сетью Amazon. Так как конечные точки поддерживаются только в одном регионе, нельзя создать конечную точку между VPC и службой в другом регионе. Это предотвращает непреднамеренный вызов API Amazon EC2 в других регионах. Дополнительные сведения о создании конечных точек VPC для Amazon EC2 см. в разделе Amazon EC2 and interface VPC endpoints (Amazon EC2 и интерфейсные конечные точки VPC) в руководстве пользователя Amazon EC2 для экземпляров Linux.

Серьезность: средний

У служб Amazon ECS не должно быть автоматически назначенных общедоступных IP-адресов

Описание. Общедоступный IP-адрес — это IP-адрес, доступный из Интернета. При запуске экземпляров Amazon ECS с общедоступным IP-адресом они будут доступны через Интернет. Службы Amazon ECS не должны быть общедоступными, так как это может позволить непреднамеренное доступ к серверам приложений контейнера.

Серьезность: высокий уровень

Главные узлы кластера Amazon EMR не должны иметь общедоступные IP-адреса

Описание. Этот элемент управления проверяет, имеют ли главные узлы в кластерах Amazon EMR общедоступные IP-адреса. Элемент управления возвращает ошибку, если у главного узла есть общедоступные IP-адреса, связанные с каким-либо из его экземпляров. Общедоступные IP-адреса назначаются в поле PublicIp конфигурации NetworkInterfaces для экземпляра. Этот элемент управления проверяет только кластеры Amazon EMR, которые находятся в состоянии RUNNING или WAITING.

Серьезность: высокий уровень

Кластеры Amazon Redshift должны использовать расширенную маршрутизацию VPC

Описание. Этот элемент управления проверяет, включен ли кластер Amazon Redshift с поддержкой EnhancedVpcRouting. Расширенная маршрутизация VPC перенаправляет весь трафик операций COPY и UNLOAD, передаваемый между кластером и репозиториями данных, через VPC. Это позволяет использовать возможности VPC, такие как группы безопасности и списки управления доступом к сети, для защиты трафика. Для мониторинга трафика можно также использовать журналы потоков VPC.

Серьезность: высокий уровень

Подсистема балансировки нагрузки приложений должна быть настроена для перенаправления всех HTTP-запросов на HTTPS

Описание. Для принудительного шифрования при передаче следует использовать действия перенаправления с application Load Balancers для перенаправления HTTP-запросов клиента на HTTPS-запрос через порт 443.

Серьезность: средний

Подсистемы Application Load Balancer должны быть настроены для удаления заголовков HTTP

Описание. Этот элемент управления оценивает подсистемы балансировки нагрузки приложений AWS (ALB), чтобы убедиться, что они настроены для удаления недопустимых заголовков HTTP. Элемент управления возвращает ошибку, если для параметра routing.http.drop_invalid_header_fields.enabled задано значение false. По умолчанию ALBS не настроены для удаления недопустимых значений заголовков HTTP. Удаление этих значений заголовков предотвращает атаки путем десинхронизации HTTP.

Серьезность: средний

Настройка лямбда-функций для работы в VPC

Описание. Этот элемент управления проверяет, находится ли лямбда-функция в VPC. Он не оценивает конфигурацию маршрутизации подсети VPC, чтобы определить доступность общедоступной сети. Обратите внимание на то, что если элемент Lambda@Edge найден в учетной записи, то этот элемент управления возвращает ошибку. Чтобы предотвратить это, можно отключить данный элемент управления.

Серьезность: низкая

Экземпляры EC2 не должны иметь общедоступный IP-адрес

Описание. Этот элемент управления проверяет, имеют ли экземпляры EC2 общедоступный IP-адрес. Элемент управления возвращает ошибку, если в элементе конфигурации экземпляра EC2 имеется поле publicIp. Этот элемент управления применяется только к IPv4-адресам. Общедоступный IPv4-адрес — это IP-адрес, доступный из Интернета. При запуске экземпляра с общедоступным IP-адресом этот экземпляр EC2 доступен из Интернета. Частный IPv4-адрес — это IP-адрес, недоступный из Интернета. Частные IPv4-адреса можно использовать для обмена данными между экземплярами EC2 в одном облаке VPC или в подключенной частной сети. IPv6-адреса являются глобально уникальными, поэтому они доступны из Интернета. Однако по умолчанию для всех подсетей для атрибута адресации по протоколу IPv6 задано значение false. Дополнительные сведения о протоколе IPv6 см. в разделе IP addressing in your VPC (Адресация по протоколу IP в VPC) в руководстве пользователя Amazon VPC. Если у вас есть оправданный вариант использования экземпляров EC2 с общедоступными IP-адресами, вы можете отключить результаты этого элемента управления. Дополнительные сведения о параметрах интерфейсной архитектуры см. в блоге по архитектуре AWS или в цикле публикаций This Is My Architecture.

Серьезность: высокий уровень

Экземпляры EC2 не должны использовать несколько ENI

Описание. Этот элемент управления проверяет, использует ли экземпляр EC2 несколько эластичных сетевых интерфейсов (ENIs) или адаптеров Elastic Fabric (EFAs). Этот элемент управления передается, если используется один сетевой адаптер. Элемент управления включает в себя список необязательных параметров для идентификации разрешенных ENI. Использование нескольких ENI может привести к появлению экземпляров с двумя сетевыми интерфейсами — то есть экземпляров, имеющих несколько подсетей. Это может повысить сложность сетевой безопасности, а также обусловить непредусмотренные сетевые пути и способы доступа.

Серьезность: низкая

Экземпляры EC2 должны использовать IMDSv2

Описание. Этот элемент управления проверяет, настроена ли версия метаданных экземпляра EC2 с помощью службы метаданных экземпляра экземпляра 2 (IMDSv2). Элемент управления возвращает положительный результат, если для элемента HttpTokens задано значение required для IMDSv2. Элемент управления возвращает ошибку, если для элемента HttpTokens задано значение optional. Метаданные экземпляра используются для настройки выполняющегося экземпляра или управления им. IMDS предоставляет доступ к временным, часто сменяемым учетным данным. Эти учетные данные устраняют необходимость жестко программировать конфиденциальные учетные данные или передавать их в экземпляры вручную или программным способом. IMDS подключается локально к каждому экземпляру EC2. Эта служба выполняется на специальном IP-адресе локальной связи — 169.254.169.254. Этот IP-адрес доступен только для программного обеспечения, которое выполняется на экземпляре. Версия 2 службы IMDS добавляет новые средства защиты от приведенных ниже типов уязвимостей. Эти уязвимости могут использоваться для попыток доступа к IMDS.

Открытие брандмауэров приложений веб-сайта
Открытие обратных прокси-серверов
Уязвимости запросов на стороне сервера (SSRF)
Откройте брандмауэры уровня 3 и концентратор безопасности сетевых адресов (NAT) рекомендует настроить экземпляры EC2 с помощью IMDSv2.

Серьезность: высокий уровень

Подсети EC2 не должны автоматически назначать общедоступные IP-адреса

Описание. Этот элемент управления проверяет, задано ли назначение общедоступных IP-адресов в подсетях Amazon Virtual Private Cloud (Amazon VPC) значение MapPublicIpOnLaunch с значением FALSE. Элемент управления возвращает положительный ответ, если флаг имеет значение FALSE. Все подсети имеют атрибут, определяющий, будет ли сетевой интерфейс, созданный в подсети, автоматически получать общедоступный IPv4-адрес. Если экземпляры запускаются в подсетях, в которых включен этот атрибут, то их основному сетевому интерфейсу назначается общедоступный IP-адрес.

Серьезность: средний

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений конфигурации AWS Config

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для обнаружения изменений конфигураций CloudTrail. Мониторинг изменений конфигурации AWS Config помогает обеспечить устойчивую видимость элементов конфигурации в учетной записи AWS.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для неудачных попыток проверки подлинности в AWS Management Console.

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для неудачных попыток проверки подлинности консоли. Мониторинг неудачных имен входа консоли может снизить время, чтобы обнаружить попытку подбора учетных данных, которая может предоставить индикатор, например исходный IP-адрес, который можно использовать в другой корреляции событий.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений сетевых списков управления доступом (NACL)

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Списки управления доступом к сети используются в качестве фильтра пакетов без отслеживания состояния. Они позволяют контролировать входящий и исходящий трафик подсетей в VPC. Для изменений, внесенных в списки управления доступом к сети, рекомендуется установить фильтр метрики и оповещение. Мониторинг изменений в NACLs помогает гарантировать, что ресурсы и службы AWS не предоставляются непреднамеренно.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений сетевых шлюзов

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Сетевые шлюзы необходимы для отправки трафика в место назначения за пределами VPC и получения его оттуда. Рекомендуется установить фильтр метрик и сигнализацию для изменения сетевых шлюзов. Мониторинг изменений сетевых шлюзов помогает убедиться, что весь трафик входящего или исходящего трафика проходит через границу VPC через контролируемый путь.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений конфигурации CloudTrail

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для обнаружения изменений конфигураций CloudTrail.

Мониторинг изменений конфигурации CloudTrail помогает обеспечить устойчивую видимость действий, выполняемых в учетной записи AWS.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для CMK, созданных клиентом и находящихся в состоянии "Отключение" или "Запланировано удаление"

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для созданных клиентом CMK, которые изменили состояние на отключенное или запланированное удаление. Данные, зашифрованные с помощью отключенных или удаленных ключей, больше не будут доступны.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений политики IAM

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и оповещения, внесенные в политики управления удостоверениями и доступом (IAM). Мониторинг изменений политик IAM помогает гарантировать, что элементы управления проверкой подлинности и авторизацией остаются неизменными.

Серьезность: низкая

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для имен входа консоли, которые не защищены многофакторной проверкой подлинности (MFA). Мониторинг однофакторных имен входа консоли повышает видимость учетных записей, которые не защищены MFA.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений таблицы маршрутизации

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Таблицы маршрутизации используются для маршрутизации трафика между подсетями и сетевыми шлюзами. Рекомендуется установить фильтр метрик и сигнализацию для изменений в таблицах маршрутов. Мониторинг изменений в таблицах маршрутов помогает гарантировать, что весь трафик VPC проходит через ожидаемый путь.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений политики контейнеров S3

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Для изменений, внесенных в политики контейнеров S3, рекомендуется установить фильтр метрики и оповещение. Мониторинг изменений в политиках сегментов S3 может сократить время для обнаружения и исправления политик в конфиденциальных контейнерах S3.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений групп безопасности

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Группы безопасности — это фильтр пакетов с отслеживанием состояния, который управляет входящим и исходящим трафиком в VPC. Рекомендуется установить фильтр метрик и оповещения в группах безопасности. Мониторинг изменений в группе безопасности помогает гарантировать, что ресурсы и службы непреднамеренно не предоставляются.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для неавторизованных вызовов API

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Рекомендуется установить фильтр метрик и сигнализацию для несанкционированных вызовов API. Мониторинг несанкционированных вызовов API помогает выявить ошибки приложений и сократить время для обнаружения вредоносных действий.

Серьезность: низкая

Убедитесь, что для корневой учетной записи настроены фильтр метрик журнала и уведомления

Мониторинг учетных записей корневой учетной записи обеспечивает видимость использования полностью привилегированной учетной записи и возможность уменьшить его использование.

Серьезность: низкая

Убедитесь в наличии фильтра метрик журнала и оповещения для изменений VPC

Описание. Мониторинг вызовов API в режиме реального времени можно достичь путем направления журналов CloudTrail в журналы CloudWatch и установления соответствующих фильтров метрик и предупреждений. Кроме того, можно создать одноранговое подключение между двумя виртуальными компьютерами, что позволяет маршрутизировать сетевой трафик между виртуальными машинами. Рекомендуется установить фильтр метрик и сигнализацию для внесения изменений в виртуальные компьютеры. Мониторинг изменений политик IAM помогает гарантировать, что элементы управления проверкой подлинности и авторизацией остаются неизменными.

Серьезность: низкая

Убедитесь, что ни одна из групп безопасности не разрешает входящий трафик с IP-адреса 0.0.0.0/0 на порт 3389

Описание. Группы безопасности обеспечивают фильтрацию трафика входящего или исходящего сетевого трафика в ресурсы AWS с отслеживанием состояния. Рекомендуется, чтобы группа безопасности не разрешала неограниченный доступ к порту 3389. При удалении небезопасного подключения к службам удаленной консоли, например RDP, это снижает риск риска сервера.

Серьезность: высокий уровень

Базы данных и кластеры RDS не должны использовать порт ядра базы СУБД по умолчанию

Описание. Этот элемент управления проверяет, использует ли кластер или экземпляр RDS порт, отличный от порта по умолчанию ядра СУБД. Если для развертывания кластера или экземпляра RDS используется известный порт, злоумышленник может угадать сведения о кластере или экземпляре. Злоумышленник может использовать эти данные совместно с другими сведениями для подключения к кластеру или экземпляру RDS или для получения дополнительной информации о приложении. При изменении порта необходимо также обновить существующие строки подключения, которые использовались для подключения к старому порту. Кромке того, следует проверить группу безопасности экземпляра базы данных, чтобы убедиться, что она содержит правило для входящего трафика, которое разрешает подключение к новому порту.

Серьезность: низкая

Экземпляры RDS должны быть развернуты в VPC

Описание. Виртуальные компьютеры предоставляют ряд сетевых элементов управления для защиты доступа к ресурсам RDS. Эти элементы управления включают в себя конечные точки VPC, списки управления доступом к сети и группы безопасности. Чтобы воспользоваться преимуществами этих элементов управления, рекомендуется перенести экземпляры EC2-Classic RDS в EC2-VPC.

Серьезность: низкая

Контейнеры S3 должны требовать, чтобы запросы использовали SSL

Описание. Мы рекомендуем запрашивать запросы на использование протокола SSL для всего контейнера Amazon S3. В контейнерах S3 должны быть политики, требующие, чтобы все запросы ("Action: S3:*") принимали данные только по протоколу HTTPS. Это должно быть указано в политике ресурсов S3 с ключом условия "AWS: SecureTransport".

Серьезность: средний

Группы безопасности не должны разрешать входящий трафик с IP-адреса 0.0.0.0/0 на порт 22

Описание. Чтобы уменьшить уязвимость сервера, рекомендуется не разрешать неограниченный доступ к порту 22.

Серьезность: высокий уровень

Группы безопасности не должны разрешать неограниченный доступ к портам с высоким уровнем риска

Описание. Этот элемент управления проверяет, доступен ли неограниченный входящий трафик для групп безопасности указанным портам, имеющим самый высокий риск. Этот элемент управления возвращает положительный ответ, если ни одно из правил в группе безопасности не разрешает входящий трафик с адреса 0.0.0.0/0 для этих портов. Неограниченный доступ (0.0.0.0/0) увеличивает возможности вредоносных действий, таких как взлом, атаки типа "отказ в обслуживании" и потеря данных. Группы безопасности обеспечивают фильтрацию с отслеживанием состояния входящего и исходящего трафика для ресурсов AWS. Ни одна группа безопасности не должна разрешать неограниченный входной доступ к следующим портам:

3389 (RDP)
20, 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (прокси-сервер)
1433, 1434 (MSSQL)
9200 или 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

Серьезность: средний

Группы безопасности должны разрешать неограниченный входящий трафик только для авторизованных портов

Описание. Этот элемент управления проверяет, разрешены ли группы безопасности, использующие неограниченный входящий трафик. При необходимости правило проверяет, указаны ли номера портов в параметре authorizedTcpPorts.

Если номер порта правила группы безопасности разрешает неограниченный входящий трафик, но номер порта указан в "authorizedTcpPorts", то элемент управления передается. Значение по умолчанию authorizedTcpPorts — 80, 443.
Если номер порта правила группы безопасности разрешает неограниченный входящий трафик, но номер порта не указан в входном параметре authorizedTcpPorts, то элемент управления завершается ошибкой.
Если параметр не используется, элемент управления завершается ошибкой для любой группы безопасности, которая имеет неограниченное правило входящего трафика. Группы безопасности обеспечивают фильтрацию с отслеживанием состояния входящего и исходящего трафика для AWS. Правила группы безопасности должны соответствовать принципу наименее привилегированного доступа. Неограниченный доступ (IP-адрес с суффиксом /0) повышает вероятность вредоносных действий, таких как взлом, атаки типа "отказ в обслуживании" и потеря данных. Если только порт не открыт намеренно, неограниченный доступ к нему должен быть запрещен.

Серьезность: высокий уровень

Необходимо удалить неиспользуемые EIP EC2

Описание. Эластичные IP-адреса, выделенные VPC, должны быть присоединены к экземплярам Amazon EC2 или в использовании эластичных сетевых интерфейсов (ENIs).

Серьезность: низкая

Неиспользуемые списки управления доступом к сети должны быть удалены

Описание. Этот элемент управления проверяет наличие неиспользуемых списков управления доступом к сети (ACL). Элемент управления проверяет конфигурацию элементов ресурса "AWS::EC2::NetworkAcl" и определяет связи в списке управления доступом к сети. Если единственной связью в списке управления доступом к сети является VPC, то элемент управления возвращает ошибку. Если в нем указаны другие связи, элемент управления возвращает положительный ответ.

Серьезность: низкая

Группа безопасности VPC по умолчанию должна ограничивать весь трафик

Описание. Группа безопасности должна ограничить весь трафик для уменьшения воздействия ресурсов.

Серьезность: низкая

Рекомендации по сети GCP

Узлы кластера должны быть настроены для использования только частных, внутренних IP-адресов для доступа к API Google

Описание. Эта рекомендация оценивает, имеет ли свойство privateIpGoogleAccess подсети значение false.

Серьезность: высокий уровень

Вычислительные экземпляры должны использовать подсистему балансировки нагрузки, настроенную для использования целевого прокси-сервера HTTPS.

Описание. Эта рекомендация оценивает, совпадает ли свойство selfLink ресурса targetHttpProxy с целевым атрибутом в правиле пересылки, а если правило пересылки содержит поле loadBalancingScheme, для которого задано значение External.

Серьезность: средний

Авторизованные сети уровня управления должны быть включены в кластерах GKE

Описание. Эта рекомендация оценивает свойство masterAuthorizedNetworksConfig кластера для пары "ключ-значение": false.

Серьезность: высокий уровень

Правило запрета исходящего трафика должно быть задано на брандмауэре, чтобы заблокировать нежелательный исходящий трафик

Описание. Эта рекомендация определяет, задано ли свойство destinationRanges в брандмауэре значение 0.0.0.0/0, а отклоненное свойство содержит пару "ключ-значение", 'IPProtocol': 'all.'

Серьезность: низкая

Убедитесь, что правила брандмауэра для экземпляров, стоящих за прокси-сервером удостоверений (IAP), разрешают только трафик из Google Cloud Loadbalancer (GCLB) проверки работоспособности и прокси-адресов

Описание. Доступ к виртуальным машинам должен быть ограничен правилами брандмауэра, которые разрешают только трафик IAP, гарантируя, что разрешены только подключения, прокси-серверы IAP. Чтобы обеспечить правильность проверки работоспособности балансировки нагрузки, также следует разрешить. IAP гарантирует, что доступ к виртуальным машинам контролируется путем проверки подлинности входящих запросов. Тем не менее, если виртуальная машина по-прежнему доступна из IP-адресов, отличных от IAP, возможно, все еще можно отправлять неавтоентизованные запросы в экземпляр. Необходимо принять меры, чтобы убедиться, что проверки работоспособности loadblancer не блокируются, так как это остановит подсистему балансировки нагрузки от правильного определения работоспособности виртуальной машины и балансировки нагрузки.

Серьезность: средний

Убедитесь, что устаревшие сети не существуют для проекта

Описание. Чтобы предотвратить использование устаревших сетей, проект не должен иметь устаревшую сеть. Устаревшие сети имеют один диапазон префиксов IPv4 сети и IP-адрес одного шлюза для всей сети. Сеть является глобальной в области и охватывает все облачные регионы. Не удается создать подсети в устаревшей сети и не удается переключиться из прежних версий в автоматические или пользовательские сети подсети. Устаревшие сети могут повлиять на проекты с высоким сетевым трафиком и подвергаются единой точке состязания или сбоя.

Серьезность: средний

Убедитесь, что флаг базы данных "log_hostname" для экземпляра Cloud SQL PostgreSQL установлен соответствующим образом.

Описание. PostgreSQL регистрирует только IP-адрес соединительных узлов. Флаг "log_hostname" управляет ведением журнала имен узлов в дополнение к зарегистрированным IP-адресам. Снижение производительности зависит от конфигурации среды и настройки разрешения имен узла. Этот параметр можно задать только в файле postgresql.conf или в командной строке сервера. Имена узлов ведения журнала могут нанести издержки на производительность сервера, так как для каждой инструкции, зарегистрированной в журнале, разрешение DNS потребуется для преобразования IP-адреса в имя узла. В зависимости от установки это может быть незначимым. Кроме того, IP-адреса, зарегистрированные в журнале, можно разрешить в имена DNS позже при проверке журналов, за исключением случаев, когда используются динамические имена узлов. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что подсистемы балансировки нагрузки HTTPS или SSL-прокси не позволяют политикам SSL с слабыми наборами шифров

Описание. Политики SSL определяют, какие функции протокола TLS можно использовать при подключении к подсистемам балансировки нагрузки. Чтобы предотвратить использование небезопасных функций, политики SSL должны использовать по крайней мере TLS 1.2 с профилем MODERN; или (b) профиль RESTRICTED, так как он фактически требует от клиентов использовать TLS 1.2 независимо от выбранной минимальной версии TLS; или (3) настраиваемый профиль, который не поддерживает ни одну из следующих функций: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Подсистемы балансировки нагрузки используются для эффективного распределения трафика между несколькими серверами. Прокси-сервер SSL и подсистемы балансировки нагрузки HTTPS — это внешние подсистемы балансировки нагрузки, то есть они распределяют трафик из Интернета в сеть GCP. Клиенты GCP могут настроить политики SSL подсистемы балансировки нагрузки с минимальной версией TLS (1.0, 1.1 или 1.2), которые клиенты могут использовать для установления соединения вместе с профилем (совместимой, современной, ограниченной или пользовательской), которая указывает допустимые наборы шифров. Чтобы обеспечить соблюдение устаревших протоколов, подсистемы балансировки нагрузки GCP можно настроить для разрешения небезопасных наборов шифров. На самом деле политика SSL по умолчанию GCP использует минимальную версию TLS 1.0 и совместимый профиль, который позволяет наиболее широкому спектру небезопасных наборов шифров. В результате клиенты легко настроить подсистему балансировки нагрузки, даже не зная, что они разрешают устаревшие наборы шифров.

Серьезность: средний

Убедитесь, что для всех сетей VPC включено ведение журнала облачных DNS

Описание. Ведение журнала облачных DNS записывает запросы с серверов имен в VPC в Stackdriver. Зарегистрированные запросы могут поступать из виртуальных машин вычислительной подсистемы, контейнеров GKE или других ресурсов GCP, подготовленных в VPC. Мониторинг безопасности и криминалистика не могут зависеть исключительно от IP-адресов из журналов потоков VPC, особенно при рассмотрении динамического использования облачных ресурсов IP-адресов, маршрутизации виртуальных узлов HTTP и других технологий, которые могут скрыть DNS-имя, используемое клиентом из IP-адреса. Мониторинг журналов Облачных DNS обеспечивает видимость DNS-имен, запрашиваемых клиентами в VPC. Эти журналы можно отслеживать для аномальных доменных имен, оцениваться с помощью аналитики угроз и

Для полного захвата DNS брандмауэр должен блокировать исходящий трафик UDP/53 (DNS) и TCP/443 (DNS по протоколу HTTPS), чтобы запретить клиенту использовать внешний DNS-сервер для разрешения.

Серьезность: высокий уровень

Убедитесь, что СЛУЖБА DNSSEC включена для облачной СЛУЖБЫ DNS

Описание: Облачная система доменных имен (DNS) — это быстрая, надежная и экономически эффективная система доменных имен, которая обеспечивает миллионы доменов в Интернете. Расширения безопасности системы доменных имен (DNSSEC) в облаке DNS позволяют владельцам доменов выполнять простые действия по защите своих доменов от перехвата DNS и злоумышленника в середине и других атак. Расширения безопасности системы доменных имен (DNSSEC) добавляют безопасность к протоколу DNS, позволяя проверять ответы DNS. Наличие надежного DNS,которое преобразует доменное имя, как www.example.com и в связанный IP-адрес, является все более важным стандартным блоком современных веб-приложений. Злоумышленники могут перехватывать этот процесс подстановки домена или IP-адреса и перенаправлять пользователей на вредоносный сайт с помощью перехвата DNS и атак "злоумышленник в середине". DNSSEC помогает снизить риск таких атак путем криптографического подписывания записей DNS. В результате злоумышленники не могут выдавать поддельные DNS-ответы, которые могут неправильно указать браузеры на невзговорные веб-сайты.

Серьезность: средний

Убедитесь, что доступ по протоколу RDP ограничен из Интернета

Описание. Правила брандмауэра GCP относятся к сети VPC. Каждое правило разрешает или запрещает трафик при выполнении условий. Его условия позволяют пользователям указывать тип трафика, например порты и протоколы, а также источник или назначение трафика, включая IP-адреса, подсети и экземпляры. Правила брандмауэра определяются на уровне сети VPC и относятся к сети, в которой они определены. Правила сами по себе не могут быть общими для сетей. Правила брандмауэра поддерживают только трафик IPv4. При указании источника правила входящего трафика или назначения для правила исходящего трафика по адресу можно использовать адрес IPv4 или блок IPv4 в нотации CIDR. Универсальный трафик (0.0.0.0/0) из Интернета в экземпляр VPC или виртуальной машины с помощью RDP через порт 3389 можно избежать. Правила брандмауэра GCP в сети VPC. Эти правила применяются к исходящему (исходящему) трафику из экземпляров и входящего (входящего трафика) к экземплярам в сети. Потоки исходящего трафика и входящего трафика контролируются, даже если трафик остается в сети (например, обмен данными между экземплярами). Для экземпляра для исходящего доступа к Интернету сеть должна иметь допустимый маршрут шлюза Интернета или пользовательский маршрут, целевой IP-адрес которого указан. Этот маршрут просто определяет путь к Интернету, чтобы избежать наиболее общего (0.0.0.0.0/0) диапазона IP-адресов, указанного из Интернета через RDP с портом 3389 по умолчанию. Универсальный доступ из Интернета к определенному диапазону IP-адресов должен быть ограничен.

Серьезность: высокий уровень

Убедитесь, что RSASHA1 не используется для ключа подписывания ключей в Cloud DNSSEC

Описание. Номера алгоритмов DNSSEC в этом реестре могут использоваться в RR CERT. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Номера алгоритмов расширений безопасности системы доменных имен (DNSSEC) в этом реестре могут использоваться в CERT RR. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Если включить DNSSEC для управляемой зоны или создать управляемую зону с помощью DNSSEC, пользователь может выбрать алгоритмы подписывания DNSSEC и тип отказа в существовании. Изменение параметров DNSSEC действует только для управляемой зоны, если DNSSEC еще не включена. Если необходимо изменить параметры управляемой зоны, в которой она включена, отключите DNSSEC и повторно включите ее с различными параметрами.

Серьезность: средний

Убедитесь, что RSASHA1 не используется для ключа подписывания зоны в Cloud DNSSEC

Описание. Номера алгоритмов DNSSEC в этом реестре могут использоваться в RR CERT. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Номера алгоритмов DNSSEC в этом реестре могут использоваться в CERT RR. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Если включить DNSSEC для управляемой зоны или создать управляемую зону с ПОМОЩЬЮ DNSSEC, алгоритмы подписывания DNSSEC и тип отказа в существовании можно выбрать. Изменение параметров DNSSEC действует только для управляемой зоны, если DNSSEC еще не включена. Если необходимо изменить параметры управляемой зоны, в которой она включена, отключите DNSSEC и снова включите ее с различными параметрами.

Серьезность: средний

Убедитесь, что доступ по протоколу SSH ограничен из Интернета

Описание. Правила брандмауэра GCP относятся к сети VPC. Каждое правило разрешает или запрещает трафик при выполнении условий. Его условия позволяют пользователю указать тип трафика, например порты и протоколы, а также источник или назначение трафика, включая IP-адреса, подсети и экземпляры. Правила брандмауэра определяются на уровне сети VPC и относятся к сети, в которой они определены. Правила сами по себе не могут быть общими для сетей. Правила брандмауэра поддерживают только трафик IPv4. При указании источника для правила входящего трафика или назначения для правила исходящего трафика по адресу можно использовать только адрес IPv4 или блок IPv4 в нотации CIDR. Универсальный трафик (0.0.0.0/0) из Интернета в VPC или экземпляр виртуальной машины с помощью SSH через порт 22 можно избежать. Правила брандмауэра GCP в сети VPC применяются к исходящему (исходящему) трафику из экземпляров и входящего (входящего трафика) к экземплярам в сети. Потоки исходящего трафика и входящего трафика контролируются, даже если трафик остается в сети (например, обмен данными между экземплярами). Для экземпляра для исходящего доступа к Интернету сеть должна иметь допустимый маршрут шлюза Интернета или пользовательский маршрут, целевой IP-адрес которого указан. Этот маршрут просто определяет путь к Интернету, чтобы избежать наиболее общего (0.0.0.0.0/0) диапазона IP-адресов, указанного из Интернета через SSH, с портом по умолчанию "22". Универсальный доступ из Интернета к определенному диапазону IP-адресов должен быть ограничен.

Серьезность: высокий уровень

Убедитесь, что сеть по умолчанию не существует в проекте

Описание. Чтобы предотвратить использование сети по умолчанию, проект не должен иметь сеть по умолчанию. Сеть по умолчанию имеет предварительно настроенную конфигурацию сети и автоматически создает следующие небезопасные правила брандмауэра:

Default-allow-internal: разрешает входящий трафик для всех протоколов и портов между экземплярами в сети.
default-allow-ssh: разрешает входящий трафик через TCP-порт 22(SSH) из любого источника к любому экземпляру в сети.
default-allow-rdp: разрешает входящего трафика подключения через TCP-порт 3389(RDP) из любого источника к любому экземпляру в сети.
default-allow-icmp: разрешает входящий трафик ICMP из любого источника в любой экземпляр в сети.

Эти автоматически созданные правила брандмауэра не регистрируются в журнале аудита и не могут быть настроены для включения ведения журнала правил брандмауэра. Кроме того, сеть по умолчанию является сетью автоматического режима, что означает, что ее подсети используют тот же предопределенный диапазон IP-адресов, а в результате использовать облачный VPN или сетевой пиринг VPC с сетью по умолчанию невозможно. В зависимости от требований к безопасности организации и сети организация должна создать новую сеть и удалить сеть по умолчанию.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений сети VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменений сети виртуального частного облака (VPC). В проекте может быть несколько виртуальных ЦП. Кроме того, можно также создать одноранговое подключение между двумя виртуальными компьютерами, что позволяет сетевому трафику направляться между виртуальными машинами. Мониторинг изменений в VPC поможет убедиться, что поток трафика VPC не влияет.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений правила сетевого брандмауэра VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения правила сетевого брандмауэра виртуального частного облака (VPC). Мониторинг событий правила создания или обновления брандмауэра предоставляет аналитические сведения об изменениях доступа к сети и может сократить время обнаружения подозрительных действий.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений сетевого маршрута VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения сетевого маршрута виртуального частного облака (VPC). Маршруты Google Cloud Platform (GCP) определяют путь сетевого трафика от экземпляра виртуальной машины к другому месту назначения. Другое назначение может находиться в сети VPC организации (например, другой виртуальной машины) или за ее пределами. Каждый маршрут состоит из назначения и следующего прыжка. Трафик, IP-адрес которого находится в диапазоне назначения, отправляется в следующий прыжок для доставки. Мониторинг изменений в таблицах маршрутизации поможет гарантировать, что весь трафик VPC будет проходить по ожидаемому пути.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_connections" включено.

Описание. Включение параметра log_connections приводит к тому, что каждая попытка подключения к серверу регистрируется, а также успешное завершение проверки подлинности клиента. Этот параметр нельзя изменить после запуска сеанса. PostgreSQL по умолчанию не регистрирует попытки подключения. Включение параметра log_connections создаст записи журнала для каждого попытки подключения, а также успешное завершение проверки подлинности клиента, что может быть полезно при устранении неполадок и определении любых необычных попыток подключения к серверу. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: средний

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_disconnections" включено.

Описание. Включение параметра log_disconnections регистрирует конец каждого сеанса, включая длительность сеанса. PostgreSQL не регистрирует сведения о сеансе, такие как длительность и окончание сеанса по умолчанию. Включение параметра log_disconnections создаст записи журнала в конце каждого сеанса, которые могут быть полезны при устранении неполадок и определении любых необычных действий в течение периода времени. Log_disconnections и log_connections работать вручную и, как правило, пара будет включена или отключена вместе. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: средний

Убедитесь, что журналы потоков VPC включены для каждой подсети в сети VPC

Описание. Журналы потоков — это функция, которая позволяет пользователям собирать сведения о IP-трафике, который собирается и из сетевых интерфейсов в подсетях VPC организации. После создания журнала потоков пользователь может просматривать и извлекать свои данные в журнале Stackdriver. Рекомендуется включить журналы потоков для каждой подсети VPC для критически важных для бизнеса. Сети и подсети VPC обеспечивают логически изолированные и безопасные сетевые секции, в которых можно запускать ресурсы GCP. Если журналы потоков включены для подсети, виртуальные машины в этой подсети начинают сообщать обо всех потоках протокола управления передачей (TCP) и протокола UDP. Каждая виртуальная машина использует потоки TCP и UDP, которые он видит, входящий и исходящий трафик, независимо от того, входит ли поток в другую виртуальную машину, узел в локальном центре обработки данных, службе Google или узле в Интернете. Если две виртуальные машины GCP взаимодействуют, и оба находятся в подсетях с включенными журналами потоков VPC, обе виртуальные машины сообщают о потоках. Журналы потоков поддерживают следующие варианты использования: 1. Мониторинг сети. 2. Общие сведения об использовании сети и оптимизации расходов на сетевой трафик. 3. Сетевые судебно-медицинские экспертизы. 4. Журналы потоков анализа безопасности в режиме реального времени обеспечивают видимость сетевого трафика для каждой виртуальной машины в подсети и могут использоваться для обнаружения аномального трафика или анализа во время рабочих процессов безопасности.

Серьезность: низкая

Ведение журнала правил брандмауэра должно быть включено

Описание. Эта рекомендация оценивает свойство logConfig в метаданных брандмауэра, чтобы узнать, является ли он пустым или содержит пару "enable": false.

Серьезность: средний

Брандмауэр не должен быть настроен для открытого доступа к общедоступному доступу

Описание. Эта рекомендация оценивает sourceRanges и разрешенные свойства для одной из двух конфигураций:

Свойство sourceRanges содержит 0.0.0.0/0/0, а разрешенное свойство содержит сочетание правил, включающих любой протокол или протокол:port, за исключением следующих:

icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

Свойство sourceRanges содержит сочетание диапазонов IP-адресов, включая любой непривывный IP-адрес и разрешенное свойство содержит сочетание правил, разрешающих все tcp-порты или все порты udp.

Серьезность: высокий уровень

Поделиться через

Рекомендации по обеспечению безопасности сети.

Рекомендации по сети Azure

Рекомендации по сети AWS

Рекомендации по сети GCP

Связанный контент

Обратная связь

Дополнительные ресурсы