Säkerhetsrekommendationer för nätverk

Artikel
07/08/2024

I den här artikeln visas alla rekommendationer för nätverkssäkerhet som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Dricks

Om en rekommendationsbeskrivning säger Ingen relaterad princip beror det vanligtvis på att rekommendationen är beroende av en annan rekommendation.

Rekommendationen Slutpunktsskyddshälsofel bör till exempel åtgärdas förlitar sig på rekommendationen som kontrollerar om en slutpunktsskyddslösning är installerad (Slutpunktsskyddslösningen ska installeras). Den underliggande rekommendationen har en princip. Att begränsa principer till endast grundläggande rekommendationer förenklar principhanteringen.

Rekommendationer för Azure-nätverk

Åtkomst till lagringskonton med brandväggs- och konfigurationer för virtuella nätverk bör begränsas

Beskrivning: Granska inställningarna för nätverksåtkomst i brandväggsinställningarna för lagringskontot. Vi rekommenderar att du konfigurerar nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten).

Allvarlighetsgrad: Låg

Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer

Beskrivning: Defender för molnet har analyserat internettrafikkommunikationsmönstren för de virtuella datorer som anges nedan och fastställt att de befintliga reglerna i NSG:erna som är associerade med dem är alltför tillåtande, vilket resulterar i en ökad potentiell attackyta. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnets hotinformationskällor. Läs mer i Förbättra din nätverkssäkerhetsstatus med anpassningsbar nätverkshärdning. (Relaterad princip: Rekommendationer för adaptiv nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer).

Allvarlighetsgrad: Hög

Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn

Beskrivning: Defender för molnet har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. (Relaterad princip: Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn).

Allvarlighetsgrad: Hög

Azure DDoS Protection Standard ska vara aktiverat

Beskrivning: Defender för molnet har identifierat virtuella nätverk med Application Gateway-resurser som inte skyddas av DDoS-skyddstjänsten. Dessa resurser innehåller offentliga IP-adresser. Aktivera minskning av nätverksvolymer och protokollattacker. (Relaterad princip: Azure DDoS Protection Standard ska vara aktiverat).

Allvarlighetsgrad: Medel

Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda den virtuella datorn från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, i eller utanför samma undernät. För att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. Virtuella datorer med hög allvarlighetsgrad är internetuppkopplade virtuella datorer. (Relaterad princip: Internetuppkopplade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Hög

IP-vidarebefordran på den virtuella datorn bör inaktiveras

Beskrivning: Defender för molnet har upptäckt att IP-vidarebefordring är aktiverat på några av dina virtuella datorer. Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. (Relaterad princip: IP-vidarebefordran på den virtuella datorn bör inaktiveras).

Allvarlighetsgrad: Medel

Datorer bör ha portar stängda som kan exponera attackvektorer

Beskrivning: Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft-server eller nätverket. Den här rekommendationen visar exponerade portar som måste stängas för din fortsatta säkerhet. Det illustrerar också det potentiella hotet mot varje port. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk

Beskrivning: Defender för molnet har identifierat några alltför tillåtande regler för inkommande trafik för hanteringsportar i din nätverkssäkerhetsgrupp. Aktivera just-in-time-åtkomstkontroll för att skydda den virtuella datorn från internetbaserade brute-force-attacker. Läs mer i Förstå jit-åtkomst (just-in-time) för virtuella datorer. (Relaterad princip: Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk).

Allvarlighetsgrad: Hög

Hanteringsportar bör stängas på dina virtuella datorer

Beskrivning: Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. (Relaterad princip: Hanteringsportar bör stängas på dina virtuella datorer).

Allvarlighetsgrad: Medel

Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda din virtuella dator som inte är internetuppkopplad från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, oavsett om de finns i samma undernät eller inte. Observera att för att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. (Relaterad princip: Virtuella datorer som inte är internetuppkopplade ska skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Låg

Säker överföring till lagringskonton ska vara aktiverad

Beskrivning: Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Säker överföring till lagringskonton ska vara aktiverad).

Allvarlighetsgrad: Hög

Undernät ska associeras med en nätverkssäkerhetsgrupp

Beskrivning: Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. När en NSG är associerad med ett undernät gäller ACL-reglerna för alla vm-instanser och integrerade tjänster i undernätet, men gäller inte för intern trafik i undernätet. Om du vill skydda resurser i samma undernät från varandra aktiverar du även NSG direkt på resurserna. Observera att följande undernätstyper visas som ej tillämpliga: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Relaterad princip: Undernät ska associeras med en nätverkssäkerhetsgrupp).

Allvarlighetsgrad: Låg

Virtuella nätverk bör skyddas av Azure Firewall

Beskrivning: Vissa av dina virtuella nätverk är inte skyddade med en brandvägg. Använd Azure Firewall för att begränsa åtkomsten till dina virtuella nätverk och förhindra potentiella hot. (Relaterad princip: All Internettrafik ska dirigeras via din distribuerade Azure Firewall).

AWS-nätverksrekommendationer

Amazon EC2 bör konfigureras för att använda VPC-slutpunkter

Beskrivning: Den här kontrollen kontrollerar om en tjänstslutpunkt för Amazon EC2 skapas för varje VPC. Kontrollen misslyckas om en VPC inte har en VPC-slutpunkt som skapats för Amazon EC2-tjänsten. För att förbättra säkerhetsstatusen för din VPC kan du konfigurera Amazon EC2 för att använda en gränssnitts-VPC-slutpunkt. Gränssnittsslutpunkter drivs av AWS PrivateLink, en teknik som gör att du kan komma åt Amazon EC2 API-åtgärder privat. Den begränsar all nätverkstrafik mellan din VPC och Amazon EC2 till Amazon-nätverket. Eftersom slutpunkter endast stöds inom samma region kan du inte skapa en slutpunkt mellan en VPC och en tjänst i en annan region. Detta förhindrar oavsiktliga Amazon EC2 API-anrop till andra regioner. Mer information om hur du skapar VPC-slutpunkter för Amazon EC2 finns i Amazon EC2- och gränssnitts-VPC-slutpunkter i Amazon EC2-användarhandboken för Linux-instanser.

Allvarlighetsgrad: Medel

Amazon ECS-tjänster bör inte ha offentliga IP-adresser tilldelade automatiskt

Beskrivning: En offentlig IP-adress är en IP-adress som kan nås från Internet. Om du startar dina Amazon ECS-instanser med en offentlig IP-adress kan dina Amazon ECS-instanser nås från Internet. Amazon ECS-tjänster bör inte vara offentligt tillgängliga, eftersom detta kan ge oavsiktlig åtkomst till dina containerprogramservrar.

Allvarlighetsgrad: Hög

Amazon EMR-klusterhuvudnoder bör inte ha offentliga IP-adresser

Beskrivning: Den här kontrollen kontrollerar om huvudnoder i Amazon EMR-kluster har offentliga IP-adresser. Kontrollen misslyckas om huvudnoden har offentliga IP-adresser som är associerade med någon av dess instanser. Offentliga IP-adresser anges i fältet PublicIp i NetworkInterfaces-konfigurationen för instansen. Den här kontrollen kontrollerar endast Amazon EMR-kluster som är i körnings- eller väntetillstånd.

Allvarlighetsgrad: Hög

Amazon Redshift-kluster bör använda förbättrad VPC-routning

Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har EnhancedVpcRouting aktiverat. Förbättrad VPC-routning tvingar all COPY- och UNLOAD-trafik mellan klustret och datalagringsplatserna att gå igenom din VPC. Du kan sedan använda VPC-funktioner som säkerhetsgrupper och listor över nätverksåtkomstkontroll för att skydda nätverkstrafik. Du kan också använda VPC-flödesloggar för att övervaka nätverkstrafik.

Allvarlighetsgrad: Hög

Application Load Balancer ska konfigureras för att omdirigera alla HTTP-begäranden till HTTPS

Beskrivning: Om du vill framtvinga kryptering under överföring bör du använda omdirigeringsåtgärder med Programlastbalanserare för att omdirigera HTTP-klientbegäranden till en HTTPS-begäran på port 443.

Allvarlighetsgrad: Medel

Programlastbalanserare ska konfigureras för att släppa HTTP-huvuden

Beskrivning: Den här kontrollen utvärderar AWS-programlastbalanserare (ALB) för att säkerställa att de är konfigurerade för att släppa ogiltiga HTTP-huvuden. Kontrollen misslyckas om värdet för routing.http.drop_invalid_header_fields.enabled är inställt på false. Som standard är ALB inte konfigurerade för att släppa ogiltiga HTTP-huvudvärden. Om du tar bort dessa rubrikvärden förhindrar du HTTP-desynkroniseringsattacker.

Allvarlighetsgrad: Medel

Konfigurera Lambda-funktioner till en VPC

Beskrivning: Den här kontrollen kontrollerar om en Lambda-funktion finns i en VPC. Den utvärderar inte konfigurationen för VPC-undernätsroutning för att fastställa offentlig nåbarhet. Observera att om Lambda@Edge hittas i kontot genererar den här kontrollen misslyckade resultat. Om du vill förhindra dessa resultat kan du inaktivera den här kontrollen.

Allvarlighetsgrad: Låg

EC2-instanser bör inte ha någon offentlig IP-adress

Beskrivning: Den här kontrollen kontrollerar om EC2-instanser har en offentlig IP-adress. Kontrollen misslyckas om fältet "publicIp" finns i ec2-instanskonfigurationsobjektet. Den här kontrollen gäller endast för IPv4-adresser. En offentlig IPv4-adress är en IP-adress som kan nås från Internet. Om du startar din instans med en offentlig IP-adress kan din EC2-instans nås från Internet. En privat IPv4-adress är en IP-adress som inte kan nås från Internet. Du kan använda privata IPv4-adresser för kommunikation mellan EC2-instanser i samma virtuella dator eller i ditt anslutna privata nätverk. IPv6-adresser är globalt unika och kan därför nås från Internet. Men som standard har alla undernät IPv6-adresseringsattributet inställt på false. Mer information om IPv6 finns i IP-adressering i din VPC i Amazon VPC-användarhandboken. Om du har ett legitimt användningsfall för att underhålla EC2-instanser med offentliga IP-adresser kan du ignorera resultaten från den här kontrollen. Mer information om alternativ för klientdelsarkitektur finns i AWS-arkitekturbloggen eller serien This Is My Architecture (Det här är min arkitektur).

Allvarlighetsgrad: Hög

EC2-instanser bör inte använda flera ENI:er

Beskrivning: Den här kontrollen kontrollerar om en EC2-instans använder flera ELASTISKA (Elastic Network Interfaces) eller Elastic Fabric Adapters (EFA). Den här kontrollen skickas om ett enda nätverkskort används. Kontrollen innehåller en valfri parameterlista för att identifiera tillåtna ENI:er. Flera ENI:er kan orsaka instanser med dubbla hem, vilket innebär instanser som har flera undernät. Detta kan lägga till nätverkssäkerhetskomplexitet och introducera oavsiktliga nätverkssökvägar och åtkomst.

Allvarlighetsgrad: Låg

EC2-instanser bör använda IMDSv2

Beskrivning: Den här kontrollen kontrollerar om ec2-instansens metadataversion har konfigurerats med Instansmetadatatjänst version 2 (IMDSv2). Kontrollen skickas om "HttpTokens" är inställt på "required" för IMDSv2. Kontrollen misslyckas om "HttpTokens" är inställd på "valfritt". Du använder instansmetadata för att konfigurera eller hantera den instans som körs. IMDS ger åtkomst till tillfälliga, ofta roterade autentiseringsuppgifter. Dessa autentiseringsuppgifter tar bort behovet av att hårdkoda eller distribuera känsliga autentiseringsuppgifter till instanser manuellt eller programmatiskt. IMDS kopplas lokalt till varje EC2-instans. Den körs på en särskild "länklokal" IP-adress på 169.254.169.254. Den här IP-adressen är endast tillgänglig för programvara som körs på instansen. Version 2 av IMDS lägger till nya skydd för följande typer av säkerhetsrisker. Dessa sårbarheter kan användas för att försöka komma åt IMDS.

Öppna brandväggar för webbplatsprogram
Öppna omvända proxyservrar
SSRF-sårbarheter (request forgery) på serversidan
Open Layer 3-brandväggar och NAT-säkerhetshubben (Network Address Translation) rekommenderar att du konfigurerar dina EC2-instanser med IMDSv2.

Allvarlighetsgrad: Hög

EC2-undernät bör inte automatiskt tilldela offentliga IP-adresser

Beskrivning: Den här kontrollen kontrollerar om tilldelningen av offentliga IP-adresser i Amazon Virtual Private Cloud-undernät (Amazon VPC) har "MapPublicIpOnLaunch" inställt på "FALSE". Kontrollen skickas om flaggan är inställd på "FALSE". Alla undernät har ett attribut som avgör om ett nätverksgränssnitt som skapas i undernätet automatiskt tar emot en offentlig IPv4-adress. Instanser som startas i undernät som har det här attributet aktiverat har en offentlig IP-adress tilldelad till sitt primära nätverksgränssnitt.

Allvarlighetsgrad: Medel

Se till att det finns ett loggmåttfilter och ett larm för konfigurationsändringar för AWS Config

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för att identifiera ändringar i CloudTrails konfigurationer. Genom att övervaka ändringar i konfigurationen av AWS Config kan du säkerställa kontinuerlig synlighet för konfigurationsobjekt i AWS-kontot.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för AWS-hanteringskonsolens autentiseringsfel

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för misslyckade konsolautentiseringsförsök. Övervakning av misslyckade konsolinloggningar kan minska ledtiden för att identifiera ett försök att råstyra en autentiseringsuppgift, vilket kan ge en indikator, till exempel käll-IP, som kan användas i annan händelsekorrelation.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i NACL (Network Access Control Lists)

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. NACL:er används som ett tillståndslöst paketfilter för att styra inkommande och utgående trafik för undernät i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i NACL:er. Genom att övervaka ändringar i NACLs ser du till att AWS-resurser och tjänster inte oavsiktligt exponeras.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i nätverksgatewayer

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Nätverksgatewayer krävs för att skicka/ta emot trafik till ett mål utanför en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i nätverksgatewayer. Genom att övervaka ändringar i nätverksgatewayer ser du till att all inkommande/utgående trafik passerar VPC-gränsen via en kontrollerad sökväg.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för CloudTrail-konfigurationsändringar

Genom att övervaka ändringar i CloudTrails konfiguration kan du säkerställa kontinuerlig insyn i aktiviteter som utförs i AWS-kontot.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och larm för inaktivering eller schemalagd borttagning av kundskapade CMK:er

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för kundskapade CMK:er, som har ändrat tillstånd till inaktiverad eller schemalagd borttagning. Data som krypteras med inaktiverade eller borttagna nycklar kommer inte längre att vara tillgängliga.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för principändringar i IAM

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i IAM-principer (IAM). Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.

Allvarlighetsgrad: Låg

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för konsolinloggningar som inte skyddas av multifaktorautentisering (MFA). Övervakning för inloggningar med en faktorkonsol ökar insynen i konton som inte skyddas av MFA.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för routningstabelländringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Routningstabeller används för att dirigera nätverkstrafik mellan undernät och till nätverksgatewayer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i routningstabeller. Genom att övervaka ändringar i routningstabeller ser du till att all VPC-trafik flödar genom en förväntad sökväg.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för S3-bucketprincipändringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i S3-bucketprinciper. Övervakning av ändringar i S3-bucketprinciper kan minska tiden för att identifiera och korrigera tillåtande principer på känsliga S3-bucketar.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i säkerhetsgrupper

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Säkerhetsgrupper är ett tillståndskänsligt paketfilter som styr inkommande och utgående trafik i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i säkerhetsgrupper. Genom att övervaka ändringar i säkerhetsgruppen ser du till att resurser och tjänster inte oavsiktligt exponeras.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för obehöriga API-anrop

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för obehöriga API-anrop. Övervakning av obehöriga API-anrop hjälper till att avslöja programfel och kan minska tiden för att identifiera skadlig aktivitet.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för användning av "rotkontot"

Övervakning för rotkontoinloggningar ger insyn i användningen av ett fullständigt privilegierat konto och en möjlighet att minska användningen av det.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för VPC-ändringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Det är möjligt att ha mer än en virtuell dator i ett konto. Dessutom är det också möjligt att skapa en peer-anslutning mellan två virtuella datorer som gör att nätverkstrafik kan dirigeras mellan virtuella datorer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar som görs i virtuella datorer. Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.

Allvarlighetsgrad: Låg

Se till att inga säkerhetsgrupper tillåter ingress från 0.0.0.0/0 till port 3389

Beskrivning: Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande/utgående nätverkstrafik till AWS-resurser. Vi rekommenderar att ingen säkerhetsgrupp tillåter obegränsad ingressåtkomst till port 3389. När du tar bort ohämmad anslutning till fjärrkonsoltjänster, till exempel RDP, minskar risken för en server.

Allvarlighetsgrad: Hög

RDS-databaser och -kluster bör inte använda en standardport för databasmotorn

Beskrivning: Den här kontrollen kontrollerar om RDS-klustret eller -instansen använder en annan port än databasmotorns standardport. Om du använder en känd port för att distribuera ett RDS-kluster eller en rds-instans kan en angripare gissa information om klustret eller instansen. Angriparen kan använda den här informationen tillsammans med annan information för att ansluta till ett RDS-kluster eller en rds-instans eller få ytterligare information om ditt program. När du ändrar porten måste du också uppdatera de befintliga niska veze som användes för att ansluta till den gamla porten. Du bör också kontrollera säkerhetsgruppen för DB-instansen för att se till att den innehåller en ingressregel som tillåter anslutning på den nya porten.

Allvarlighetsgrad: Låg

RDS-instanser ska distribueras i en VPC

Beskrivning: Virtuella datorer tillhandahåller ett antal nätverkskontroller för att skydda åtkomsten till RDS-resurser. Dessa kontroller omfattar VPC-slutpunkter, nätverks-ACL:er och säkerhetsgrupper. För att dra nytta av dessa kontroller rekommenderar vi att du flyttar EC2-klassiska RDS-instanser till EC2-VPC.

Allvarlighetsgrad: Låg

S3-bucketar bör kräva begäranden om att använda Secure Socket Layer

Beskrivning: Vi rekommenderar att du kräver att begäranden använder Secure Socket Layer (SSL) på alla Amazon S3-bucketar. S3-bucketar bör ha principer som kräver att alla begäranden ("Åtgärd: S3:*") endast accepterar överföring av data via HTTPS i S3-resursprincipen, vilket anges av villkorsnyckeln "aws:SecureTransport".

Allvarlighetsgrad: Medel

Säkerhetsgrupper bör inte tillåta ingress från 0.0.0.0/0 till port 22

Beskrivning: För att minska serverns exponering rekommenderar vi att du inte tillåter obegränsad ingressåtkomst till port "22".

Allvarlighetsgrad: Hög

Säkerhetsgrupper bör inte tillåta obegränsad åtkomst till portar med hög risk

Beskrivning: Den här kontrollen kontrollerar om obegränsad inkommande trafik för säkerhetsgrupperna är tillgänglig för de angivna portarna som har den högsta risken. Den här kontrollen skickas när ingen av reglerna i en säkerhetsgrupp tillåter inkommande trafik från 0.0.0.0/0 för dessa portar. Obegränsad åtkomst (0.0.0.0/0) ökar möjligheterna till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS-resurser. Ingen säkerhetsgrupp ska tillåta obegränsad ingressåtkomst till följande portar:

3389 (RDP)
20, 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (proxy)
1433, 1434 (MSSQL)
9200 eller 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

Allvarlighetsgrad: Medel

Säkerhetsgrupper bör endast tillåta obegränsad inkommande trafik för auktoriserade portar

Beskrivning: Den här kontrollen kontrollerar om de säkerhetsgrupper som används tillåter obegränsad inkommande trafik. Om du vill kontrollerar regeln om portnumren visas i parametern "authorizedTcpPorts".

Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret anges i "authorizedTcpPorts", skickas kontrollen. Standardvärdet för "authorizedTcpPorts" är 80, 443.
Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret inte anges i indataparameternauthorizedTcpPorts, misslyckas kontrollen.
Om parametern inte används misslyckas kontrollen för alla säkerhetsgrupper som har en obegränsad inkommande regel. Säkerhetsgrupper ger tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS. Regler för säkerhetsgrupper bör följa principen om minst privilegierad åtkomst. Obegränsad åtkomst (IP-adress med suffixet /0) ökar möjligheten till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Om inte en port uttryckligen tillåts bör porten neka obegränsad åtkomst.

Allvarlighetsgrad: Hög

Oanvända EC2-EIC:er bör tas bort

Beskrivning: Elastiska IP-adresser som allokeras till en VPC ska kopplas till Amazon EC2-instanser eller elastiska nätverksgränssnitt (ENIs) som används.

Allvarlighetsgrad: Låg

Oanvända listor över nätverksåtkomstkontroll bör tas bort

Beskrivning: Den här kontrollen kontrollerar om det finns några oanvända listor för nätverksåtkomstkontroll (ACL). Kontrollen kontrollerar objektkonfigurationen för resursen "AWS::EC2::NetworkAcl" och avgör nätverks-ACL:ns relationer. Om den enda relationen är den virtuella nätverks-ACL:n misslyckas kontrollen. Om andra relationer visas skickas kontrollen.

Allvarlighetsgrad: Låg

VPC:s standardsäkerhetsgrupp bör begränsa all trafik

Beskrivning: Säkerhetsgruppen bör begränsa all trafik för att minska resursexponeringen.

Allvarlighetsgrad: Låg

GCP-nätverksrekommendationer

Klustervärdar ska konfigureras för att endast använda privata, interna IP-adresser för åtkomst till Google-API:er

Beskrivning: Den här rekommendationen utvärderar om egenskapen privateIpGoogleAccess för ett undernät är inställd på false.

Allvarlighetsgrad: Hög

Beräkningsinstanser bör använda en lastbalanserare som är konfigurerad för att använda en HTTPS-målproxy

Beskrivning: Den här rekommendationen utvärderar om egenskapen selfLink för targetHttpProxy-resursen matchar målattributet i vidarebefordringsregeln och om vidarebefordransregeln innehåller ett loadBalancingScheme-fält inställt på Externt.

Allvarlighetsgrad: Medel

Auktoriserade nätverk för kontrollplan ska vara aktiverade i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar egenskapen masterAuthorizedNetworksConfig för ett kluster för nyckel/värde-paret, "enabled": false.

Allvarlighetsgrad: Hög

Regeln för nekande av utgående trafik ska anges i en brandvägg för att blockera oönskad utgående trafik

Beskrivning: Den här rekommendationen utvärderar om egenskapen destinationRanges i brandväggen är inställd på 0.0.0.0/0 och den nekade egenskapen innehåller nyckel/värde-paret. 'IPProtocol': 'all.'

Allvarlighetsgrad: Låg

Se till att brandväggsregler för instanser bakom IAP (IAP) endast tillåter trafik från Google Cloud Loadbalancer (GCLB) hälsokontroll och proxyadresser

Beskrivning: Åtkomst till virtuella datorer bör begränsas av brandväggsregler som endast tillåter IAP-trafik genom att se till att endast anslutningar som anges av IAP tillåts. För att säkerställa att belastningsutjämning fungerar korrekt bör hälsokontroller också tillåtas. IAP säkerställer att åtkomsten till virtuella datorer styrs genom att inkommande begäranden autentiseras. Men om den virtuella datorn fortfarande är tillgänglig från andra IP-adresser än IAP kan det fortfarande vara möjligt att skicka oautentiserade begäranden till instansen. Var noga med att se till att belastningskontrollerna inte blockeras eftersom detta hindrar lastbalanseraren från att känna till den virtuella datorns hälsotillstånd korrekt och belastningsutjämningen på rätt sätt.

Allvarlighetsgrad: Medel

Se till att äldre nätverk inte finns för ett projekt

Beskrivning: För att förhindra användning av äldre nätverk bör ett projekt inte ha konfigurerat ett äldre nätverk. Äldre nätverk har ett enda IPv4-prefixintervall för nätverket och en enda gateway-IP-adress för hela nätverket. Nätverket är globalt i omfånget och omfattar alla molnregioner. Undernät kan inte skapas i ett äldre nätverk och kan inte växla från äldre till automatiska eller anpassade undernätsnätverk. Äldre nätverk kan påverka projekt med hög nätverkstrafik och är föremål för en enda konkurrenspunkt eller ett fel.

Allvarlighetsgrad: Medel

Se till att databasflaggan "log_hostname" för Cloud SQL PostgreSQL-instansen är korrekt inställd

Beskrivning: PostgreSQL loggar endast IP-adressen för de anslutande värdarna. Flaggan "log_hostname" styr loggningen av "värdnamn" utöver de IP-adresser som loggas. Prestandaträffen beror på konfigurationen av miljön och konfigurationen av värdnamnsmatchningen. Den här parametern kan bara anges i filen "postgresql.conf" eller på serverns kommandorad. Loggning av värdnamn kan medföra omkostnader för serverprestanda som för varje instruktion som loggas, DNS-matchning krävs för att konvertera IP-adress till värdnamn. Beroende på konfigurationen kan detta vara försumbart. Dessutom kan IP-adresserna som loggas matchas till deras DNS-namn senare när loggarna granskas, exklusive de fall där dynamiska värdnamn används. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Låg

Se till att inga HTTPS- eller SSL-proxylastbalanserare tillåter SSL-principer med svaga chiffersviter

Beskrivning: SSL-principer (Secure Sockets Layer) avgör vilka TLS-funktioner (Transport Layer Security) som klienter får använda när de ansluter till lastbalanserare. För att förhindra användning av osäkra funktioner bör SSL-principer använda (a) minst TLS 1.2 med MODERN-profilen. eller (b) RESTRICTED-profilen, eftersom den i praktiken kräver att klienter använder TLS 1.2 oavsett den valda lägsta TLS-versionen. eller (3) en ANPASSAD profil som inte stöder någon av följande funktioner: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Lastbalanserare används för att effektivt distribuera trafik över flera servrar. Både SSL-proxy och HTTPS-lastbalanserare är externa lastbalanserare, vilket innebär att de distribuerar trafik från Internet till ett GCP-nätverk. GCP-kunder kan konfigurera SSL-principer för lastbalanserare med en lägsta TLS-version (1.0, 1.1 eller 1.2) som klienter kan använda för att upprätta en anslutning, tillsammans med en profil (kompatibel, modern, begränsad eller anpassad) som anger tillåtna chiffersviter. För att följa användare som använder inaktuella protokoll kan GCP-lastbalanserare konfigureras för att tillåta osäkra chiffersviter. I själva verket använder GCP:s standardprincip för SSL en lägsta TLS-version av 1.0 och en kompatibel profil, vilket möjliggör det bredaste utbudet av osäkra chiffersviter. Därför är det enkelt för kunderna att konfigurera en lastbalanserare utan att ens veta att de tillåter inaktuella chiffersviter.

Allvarlighetsgrad: Medel

Kontrollera att DNS-loggning i molnet är aktiverad för alla VPC-nätverk

Beskrivning: Cloud DNS-loggning registrerar frågorna från namnservrarna i din VPC till Stackdriver. Loggade frågor kan komma från virtuella datorer med beräkningsmotorn, GKE-containrar eller andra GCP-resurser som etablerats i den virtuella datorn. Säkerhetsövervakning och kriminalteknik kan inte enbart bero på IP-adresser från VPC-flödesloggar, särskilt med tanke på dynamisk IP-användning av molnresurser, HTTP-routning av virtuella värdar och annan teknik som kan dölja DNS-namnet som används av en klient från IP-adressen. Övervakning av Cloud DNS-loggar ger insyn i DNS-namn som begärs av klienterna i VPC. Dessa loggar kan övervakas för avvikande domännamn, utvärderas mot hotinformation och

För fullständig avbildning av DNS måste brandväggen blockera utgående UDP/53 (DNS) och TCP/443 (DNS via HTTPS) för att förhindra att klienten använder den externa DNS-namnservern för matchning.

Allvarlighetsgrad: Hög

Kontrollera att DNSSEC är aktiverat för Cloud DNS

Beskrivning: Cloud Domain Name System (DNS) är ett snabbt, tillförlitligt och kostnadseffektivt domännamnssystem som driver miljontals domäner på Internet. Med DNSSEC (Domain Name System Security Extensions) i Cloud DNS kan domänägare vidta enkla åtgärder för att skydda sina domäner mot DNS-kapning och man-in-the-middle och andra attacker. DNSSEC (Domain Name System Security Extensions) ökar säkerheten i DNS-protokollet genom att dns-svar kan verifieras. Att ha en tillförlitlig DNS som översätter ett domännamn som www.example.com dess associerade IP-adress är en allt viktigare byggsten i dagens webbaserade program. Angripare kan kapa den här processen med domän-/IP-sökning och omdirigera användare till en skadlig webbplats via DNS-kapning och man-in-the-middle-attacker. DNSSEC hjälper till att minska risken för sådana attacker genom att kryptografiskt signera DNS-poster. Därför hindrar det angripare från att utfärda falska DNS-svar som kan vilseleda webbläsare till skändliga webbplatser.

Allvarlighetsgrad: Medel

Kontrollera att RDP-åtkomsten är begränsad från Internet

Beskrivning: GCP-brandväggsregler är specifika för ett VPC-nätverk. Varje regel tillåter eller nekar trafik när dess villkor uppfylls. Dess villkor gör det möjligt för användare att ange typen av trafik, till exempel portar och protokoll, och källan eller målet för trafiken, inklusive IP-adresser, undernät och instanser. Brandväggsregler definieras på VPC-nätverksnivå och är specifika för det nätverk där de definieras. Reglerna i sig kan inte delas mellan nätverk. Brandväggsregler stöder endast IPv4-trafik. När du anger en källa för en ingressregel eller ett mål för en utgående regel efter adress kan en IPv4-adress eller IPv4-block i CIDR-notation användas. Generisk (0.0.0.0/0) inkommande trafik från Internet till en VPC- eller VM-instans med RDP på port 3389 kan undvikas. GCP-brandväggsregler i ett VPC-nätverk. Dessa regler gäller för utgående (utgående) trafik från instanser och inkommande (inkommande) trafik till instanser i nätverket. Utgående och inkommande trafikflöden styrs även om trafiken stannar i nätverket (till exempel instans-till-instans-kommunikation). För att en instans ska ha utgående Internetåtkomst måste nätverket ha en giltig Internet-gatewayväg eller anpassad väg vars mål-IP har angetts. Den här vägen definierar helt enkelt sökvägen till Internet för att undvika det mest allmänna mål-IP-intervallet (0.0.0.0/0) som anges från Internet via RDP med standardport 3389. Allmän åtkomst från Internet till ett specifikt IP-intervall bör begränsas.

Allvarlighetsgrad: Hög

Kontrollera att RSASHA1 inte används för nyckelsigneringsnyckeln i CLOUD DNSSEC

Beskrivning: DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. DNSSEC-algoritmnummer (Domain Name System Security Extensions) i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. När du aktiverar DNSSEC för en hanterad zon eller skapar en hanterad zon med DNSSEC kan användaren välja DNSSEC-signeringsalgoritmerna och typen denial-of-existence. Att ändra DNSSEC-inställningarna gäller endast för en hanterad zon om DNSSEC inte redan är aktiverat. Om du behöver ändra inställningarna för en hanterad zon där den har aktiverats stänger du av DNSSEC och återaktiverar den med olika inställningar.

Allvarlighetsgrad: Medel

Kontrollera att RSASHA1 inte används för zonsigneringsnyckeln i CLOUD DNSSEC

Beskrivning: DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. När du aktiverar DNSSEC för en hanterad zon eller skapar en hanterad zon med DNSSEC, kan DNSSEC-signeringsalgoritmerna och typen denial-of-existence väljas. Att ändra DNSSEC-inställningarna gäller endast för en hanterad zon om DNSSEC inte redan är aktiverat. Om det finns behov av att ändra inställningarna för en hanterad zon där den har aktiverats stänger du av DNSSEC och återaktiverar den med olika inställningar.

Allvarlighetsgrad: Medel

Kontrollera att SSH-åtkomsten är begränsad från Internet

Beskrivning: GCP-brandväggsregler är specifika för ett VPC-nätverk. Varje regel tillåter eller nekar trafik när dess villkor uppfylls. Dess villkor gör det möjligt för användaren att ange typen av trafik, till exempel portar och protokoll, och källan eller målet för trafiken, inklusive IP-adresser, undernät och instanser. Brandväggsregler definieras på VPC-nätverksnivå och är specifika för det nätverk där de definieras. Reglerna i sig kan inte delas mellan nätverk. Brandväggsregler stöder endast IPv4-trafik. När du anger en källa för en ingressregel eller ett mål för en utgående regel efter adress kan endast en IPv4-adress eller IPv4-block i CIDR-notation användas. Generisk (0.0.0.0/0) inkommande trafik från Internet till VPC- eller VM-instans med SSH på port 22 kan undvikas. GCP-brandväggsregler i ett VPC-nätverk gäller för utgående (utgående) trafik från instanser och inkommande (inkommande) trafik till instanser i nätverket. Utgående och inkommande trafikflöden styrs även om trafiken stannar i nätverket (till exempel instans-till-instans-kommunikation). För att en instans ska ha utgående Internetåtkomst måste nätverket ha en giltig Internet-gatewayväg eller anpassad väg vars mål-IP har angetts. Den här vägen definierar helt enkelt sökvägen till Internet för att undvika det mest allmänna mål-IP-intervallet (0.0.0.0/0) som anges från Internet via SSH med standardporten "22". Allmän åtkomst från Internet till ett specifikt IP-intervall måste begränsas.

Allvarlighetsgrad: Hög

Kontrollera att standardnätverket inte finns i ett projekt

Beskrivning: För att förhindra användning av "standardnätverk" bör ett projekt inte ha ett "standardnätverk". Standardnätverket har en förkonfigurerad nätverkskonfiguration och genererar automatiskt följande osäkra brandväggsregler:

default-allow-internal: Tillåter inkommande anslutningar för alla protokoll och portar mellan instanser i nätverket.
default-allow-ssh: Tillåter inkommande anslutningar på TCP-port 22 (SSH) från valfri källa till valfri instans i nätverket.
default-allow-rdp: Tillåter inkommande anslutningar på TCP-port 3389(RDP) från valfri källa till valfri instans i nätverket.
default-allow-icmp: Tillåter inkommande ICMP-trafik från valfri källa till valfri instans i nätverket.

Dessa automatiskt skapade brandväggsregler blir inte granskningsloggade och kan inte konfigureras för att aktivera brandväggsregelloggning. Dessutom är standardnätverket ett automatiskt lägesnätverk, vilket innebär att dess undernät använder samma fördefinierade intervall med IP-adresser, och därför går det inte att använda Cloud VPN eller VPC Network Peering med standardnätverket. Baserat på organisationens säkerhet och nätverkskrav bör organisationen skapa ett nytt nätverk och ta bort standardnätverket.

Allvarlighetsgrad: Medel

Kontrollera att loggmåttfiltret och aviseringarna finns för VPC-nätverksändringar

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i VPC-nätverket (Virtual Private Cloud). Det går att ha mer än en VPC i ett projekt. Dessutom är det möjligt att skapa en peer-anslutning mellan två virtuella datorer som gör att nätverkstrafik kan dirigeras mellan virtuella datorer. Genom att övervaka ändringar i en VPC kan du se till att VPC-trafikflödet inte påverkas.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för ändringar av VPC Network Firewall-regeln

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för regeländringar för virtuellt privat moln (VPC) nätverksbrandvägg. Övervakning av regelhändelser för skapa eller uppdatera brandvägg ger insikter om ändringar i nätverksåtkomsten och kan minska den tid det tar att identifiera misstänkt aktivitet.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för VPC-nätverksvägsändringar

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för ändringar av VPC-nätverksvägen (Virtual Private Cloud). GCP-vägar (Google Cloud Platform) definierar de sökvägar som nätverkstrafiken tar från en virtuell datorinstans till ett annat mål. Det andra målet kan finnas i organisationens VPC-nätverk (till exempel en annan virtuell dator) eller utanför det. Varje väg består av ett mål och ett nästa hopp. Trafik vars mål-IP ligger inom målintervallet skickas till nästa hopp för leverans. Genom att övervaka ändringar i routningstabeller ser du till att all VPC-trafik flödar genom en förväntad sökväg.

Allvarlighetsgrad: Låg

Kontrollera att databasflaggan "log_connections" för Cloud SQL PostgreSQL-instansen är inställd på "på"

Beskrivning: Om du aktiverar inställningen log_connections loggas varje försök till anslutning till servern, tillsammans med att klientautentiseringen har slutförts. Det går inte att ändra den här parametern när sessionen har startats. PostgreSQL loggar inte anslutningsförsök som standard. Om du aktiverar inställningen log_connections skapas loggposter för varje anslutningsförsök samt lyckad slutförande av klientautentisering, vilket kan vara användbart vid felsökning av problem och för att fastställa eventuella ovanliga anslutningsförsök till servern. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "log_disconnections" för Cloud SQL PostgreSQL-instansen är inställd på "på"

Beskrivning: Om du aktiverar inställningen log_disconnections loggas slutet av varje session, inklusive sessionsvaraktigheten. PostgreSQL loggar inte sessionsinformation som varaktighet och sessionsslut som standard. Om du aktiverar inställningen log_disconnections skapas loggposter i slutet av varje session, vilket kan vara användbart vid felsökning av problem och fastställa ovanliga aktiviteter under en tidsperiod. Den log_disconnections och log_connections arbeta hand i hand och i allmänhet skulle paret aktiveras/inaktiveras tillsammans. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att VPC-flödesloggar är aktiverade för varje undernät i ett VPC-nätverk

Beskrivning: Flödesloggar är en funktion som gör det möjligt för användare att samla in information om IP-trafik som går till och från nätverksgränssnitt i organisationens VPC-undernät. När en flödeslogg har skapats kan användaren visa och hämta sina data i Stackdriver-loggning. Vi rekommenderar att flödesloggar aktiveras för varje affärskritiskt VPC-undernät. VPC-nätverk och undernät ger logiskt isolerade och säkra nätverkspartitioner där GCP-resurser kan startas. När flödesloggar är aktiverade för ett undernät börjar virtuella datorer i undernätet rapportera om alla TCP-flöden (Transmission Control Protocol) och UDP-flöden (User Datagram Protocol). Varje virtuell dator tar exempel på TCP- och UDP-flöden som den ser, inkommande och utgående, om flödet är till eller från en annan virtuell dator, en värd i det lokala datacentret, en Google-tjänst eller en värd på Internet. Om två virtuella GCP-datorer kommunicerar och båda finns i undernät som har VPC-flödesloggar aktiverade rapporterar båda de virtuella datorerna flödena. Flödesloggar stöder följande användningsfall: 1. Nätverksövervakning. 2. Förstå nätverksanvändning och optimera kostnader för nätverkstrafik. 3. Nätverkstekniker. 4. Flödesloggar för säkerhetsanalys i realtid ger insyn i nätverkstrafik för varje virtuell dator i undernätet och kan användas för att identifiera avvikande trafik eller insikter under säkerhetsarbetsflöden.

Allvarlighetsgrad: Låg

Loggning av brandväggsregel ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar egenskapen logConfig i brandväggsmetadata för att se om den är tom eller innehåller nyckel/värde-paret "enable": false.

Allvarlighetsgrad: Medel

Brandväggen ska inte konfigureras för att vara öppen för offentlig åtkomst

Beskrivning: Den här rekommendationen utvärderar sourceRanges och tillåtna egenskaper för en av två konfigurationer:

Egenskapen sourceRanges innehåller 0.0.0.0/0 och den tillåtna egenskapen innehåller en kombination av regler som innehåller protokoll eller protokoll:port, förutom följande:

Icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

Egenskapen sourceRanges innehåller en kombination av IP-intervall som innehåller alla icke-privata IP-adresser och den tillåtna egenskapen innehåller en kombination av regler som tillåter antingen alla tcp-portar eller alla udp-portar.

Allvarlighetsgrad: Hög

Dela via

Säkerhetsrekommendationer för nätverk

Rekommendationer för Azure-nätverk

AWS-nätverksrekommendationer

GCP-nätverksrekommendationer

Relaterat innehåll

Feedback

Feedback

Ytterligare resurser