Rekommendationer för datasäkerhet

I den här artikeln visas alla rekommendationer för datasäkerhet som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration. Du kan se rekommendationerna i portalen som gäller för dina resurser.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Remediate-rekommendationer i Defender för molnet.

Dricks

Om en rekommendationsbeskrivning säger Ingen relaterad princip beror det vanligtvis på att rekommendationen är beroende av en annan rekommendation.

Rekommendationen Slutpunktsskyddshälsofel bör till exempel åtgärdas förlitar sig på rekommendationen som kontrollerar om en slutpunktsskyddslösning är installerad (Slutpunktsskyddslösningen ska installeras). Den underliggande rekommendationen har en princip. Att begränsa principer till endast grundläggande rekommendationer förenklar principhanteringen.

Azure datarekommendationer

Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk

Beskrivning: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt Cosmos DB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt Cosmos DB-konto. Läs mer. (Relaterad princip: Azure Cosmos DB bör inaktivera åtkomst till offentliga nätverk).

Allvarlighetsgrad: Medel

(Aktivera om det behövs) Azure Cosmos DB konton ska använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/cosmosdb-cmk. (Relaterad princip: Azure Cosmos DB konton bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Azure Machine Learning arbetsytor ska krypteras med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Hantera kryptering i resten av dina Azure Machine Learning arbetsytedata med kundhanterade nycklar (CMK). Som standard krypteras kunddata med tjänsthanterade nycklar, men CMK:er krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/azureml-workspaces-cmk. (Relaterad princip: Azure Machine Learning arbetsytor ska krypteras med en kundhanterad nyckel (CMK)).

Allvarlighetsgrad: Låg

Azure SQL Database ska köra TLS version 1.2 eller senare

Description: Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att dina Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. (Relaterad princip: Azure SQL Database ska köra TLS version 1.2 eller senare).

Allvarlighetsgrad: Medel

Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk

Description: Inaktivera åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Hanterade instanser förbättrar säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Läs mer om åtkomst till offentliga nätverk. (Relaterad princip: Azure SQL Hanterade instanser bör inaktivera åtkomst till offentliga nätverk).

Allvarlighetsgrad: Medel

Cosmos DB-konton bör använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. När privata slutpunkter mappas till ditt Cosmos DB-konto minskas risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cosmos DB-konton bör använda privat länk).

Allvarlighetsgrad: Medel

(Aktivera om det behövs) MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för MySQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för PostgreSQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Genom att implementera Transparent Data Encryption (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Att implementera Transparent Data Encryption (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Skydda ditt lagringskonto med större flexibilitet med hjälp av kundhanterade nycklar (CMK:er). När du anger en CMK används den nyckeln för att skydda och kontrollera åtkomsten till den nyckel som krypterar dina data. Med hjälp av CMK:er finns ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. (Relaterad princip: Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering).

Allvarlighetsgrad: Låg

Offentlig åtkomst för lagringskonto bör inte tillåtas

Description: Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data, men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto såvida inte ditt scenario kräver det.

Relaterad princip: Offentlig åtkomst för lagringskontot bör inte tillåtas

Allvarlighetsgrad: Medel

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-hanterade instanser. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Alla typer av avancerat hotskydd bör aktiveras i de avancerade inställningarna för datasäkerhet på SQL-servern

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-servrar. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

API Management-tjänster bör använda ett virtuellt nätverk

Description: Azure Virtual Network distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras till Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, som ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. (Relaterad princip: API Management-tjänster bör använda ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Appkonfiguration bör använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. (Relaterad princip: AppKonfiguration bör använda privat länk).

Allvarlighetsgrad: Medel

Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar

Beskrivning: Granska SQL-servrar som konfigurerats med en kvarhållningsperiod för granskning på mindre än 90 dagar. (Relaterad princip: SQL-servrar bör konfigureras med 90 dagars granskningskvarhållning eller högre.)

Allvarlighetsgrad: Låg

Granskning på SQL-servern ska vara aktiverad

Description: Aktivera granskning av SQL Server för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. (Relaterad princip: Granskning på SQL-servern ska vara aktiverat).

Allvarlighetsgrad: Låg

Automatisk etablering av Log Analytics-agenten ska aktiveras för prenumerationer

Description: Om du vill övervaka säkerhetsrisker och hot samlar Microsoft Defender för molnet in data från dina Azure virtuella datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla Azure virtuella datorer som stöds och alla nya som skapas. (Relaterad princip: Auto-etablering av Log Analytics-agenten ska aktiveras i din prenumeration).

Allvarlighetsgrad: Låg

Azure Cache for Redis bör finnas i ett virtuellt nätverk

Description: distribution av Azure Virtual Network (VNet) ger förbättrad säkerhet och isolering för dina Azure Cache for Redis, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en Azure Cache for Redis-instans konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan endast nås från virtuella datorer och program i det virtuella nätverket. (Relaterad princip: Azure Cache for Redis bör finnas i ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Azure Database for MySQL bör ha en Microsoft Entra administratör etablerad

Description: Etablera en Microsoft Entra administratör för din Azure Database for MySQL för att aktivera Microsoft Entra autentisering. Microsoft Entra autentisering möjliggör förenklad behörighetshantering och central identitetshantering för databasanvändare och andra Microsoft-tjänster (relaterad princip: en Microsoft Entra administratör bör etableras för MySQL-servrar).

Allvarlighetsgrad: Medel

Azure Database for PostgreSQL bör ha en Microsoft Entra administratör etablerad

Description: Etablera en Microsoft Entra administratör för din Azure Database for PostgreSQL för att aktivera Microsoft Entra autentisering. Microsoft Entra autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster
(Relaterad princip: a Microsoft Entra administratör bör etableras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Azure Database for PostgreSQL flexibel server bör endast ha Microsoft Entra autentisering aktiverat

Description: Om du inaktiverar lokala autentiseringsmetoder och kräver Microsoft Entra autentisering förbättras säkerheten genom att Azure Database for PostgreSQL flexibel server endast kan nås av Microsoft Entra identiteter (Relaterad princip: Azure Den flexibla PostgreSQL-servern bör ha Microsoft Entra Endast autentisering aktiverat).

Allvarlighetsgrad: Medel

Azure Cosmos DB konton ska ha brandväggsregler

Description: Brandväggsregler bör definieras på dina Azure Cosmos DB konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. (Relaterad princip: Azure Cosmos DB konton ska ha brandväggsregler).

Allvarlighetsgrad: Medel

Azure Event Grid domäner ska använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina Event Grid-domäner i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid domäner bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Event Grid ämnen bör använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina ämnen i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid ämnen bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Machine Learning arbetsytor ska använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina Azure Machine Learning arbetsytor i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/azureml-workspaces-privatelink. (Relaterad princip: Azure Machine Learning arbetsytor bör använda privat länk).

Allvarlighetsgrad: Medel

Azure SignalR Service bör använda privat länk

Description: Azure Private Link låter dig ansluta ditt virtuella nätverk till Azure tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure stamnätverk. Genom att mappa privata slutpunkter till dina SignalR-resurser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/asrs/privatelink. (Relaterad princip: Azure SignalR Service bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Spring Cloud bör använda nätverksinmatning

Description: Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure tjänst i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. (Relaterad princip: Azure Spring Cloud bör använda nätverksinmatning).

Allvarlighetsgrad: Medel

SQL-servrar bör ha en Microsoft Entra administratör etablerad

Description: Etablera en Microsoft Entra administratör för SQL-servern för att aktivera Microsoft Entra autentisering. Microsoft Entra autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster. (Relaterad princip: a Microsoft Entra administratör bör etableras för SQL-servrar).

Allvarlighetsgrad: Hög

Autentiseringsläget för Azure Synapse arbetsyta ska endast vara Microsoft Entra ID

Description: Azure Synapse Autentiseringsläge för arbetsyta ska vara Microsoft Entra ID Endast Microsoft Entra ID autentiseringsmetoder förbättrar säkerheten genom att se till att Synapse-arbetsytor uteslutande kräver Microsoft Entra ID identiteter för Autentisering. Läs mer. (Relaterad princip: Synapse-arbetsytor bör endast använda Microsoft Entra ID identiteter för autentisering).

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha kodgenomsökningsresultat lösta

Description: Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Description: Defender för DevOps har hittat infrastruktur som problem med kodsäkerhetskonfiguration på lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta

Description: Defender för DevOps har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker verktyget Microsoft Security DevOps CredScan endast versioner som det har konfigurerats att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Cognitive Services-konton bör aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder datakryptering. För varje konto med lagring bör du aktivera datakryptering med antingen kundhanterad eller Microsoft hanterad nyckel. (Relaterad princip: Cognitive Services-konton bör aktivera datakryptering).

Allvarlighetsgrad: Låg

Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder kundägd lagring eller datakryptering. För varje Cognitive Services-konto med lagring använder du antingen kundägd lagring eller aktiverar datakryptering. Överensstämmer med Microsoft Cloud Security Benchmark. (Relaterad princip: Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering.)

Allvarlighetsgrad: Låg

Diagnostikloggar i Azure Data Lake Store ska vara aktiverade

Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Azure Data Lake Store ska vara aktiverade).

Allvarlighetsgrad: Låg

Diagnostikloggar i Data Lake Analytics ska vara aktiverade

Allvarlighetsgrad: Låg

E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat

Description: Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. (Relaterad princip: E-postaviseringar för aviseringar med hög allvarlighetsgrad ska vara aktiverade).

Allvarlighetsgrad: Låg

E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras

Description: Ange e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att dina prenumerationsägare meddelas när det finns ett potentiellt säkerhetsintrång i prenumerationen. (Relaterad princip: E-postavisering till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska vara aktiverat).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar

Description: Azure Database for MySQL stöder anslutning av din Azure Database for MySQL server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar

Description: Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar).

Allvarlighetsgrad: Medel

Funktionsappar bör lösa sårbarhetsresultat

Beskrivning: Genomsökning av körningssårbarhet efter funktioner söker igenom dina funktionsappar efter säkerhetsrisker och visar detaljerade resultat. Att lösa säkerhetsriskerna kan avsevärt förbättra säkerhetsstatusen för dina serverlösa program och skydda dem mot attacker. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB

Description: Azure Database for MariaDB låter dig välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL

Description: Azure Database for MySQL låter dig välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL

Description: Azure Database for PostgreSQL låter dig välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL).

Allvarlighetsgrad: Låg

GitHub lagringsplatser ska ha kodgenomsökning aktiverat

Description: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden GitHub visar en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub lagringsplatser ska ha Dependabot-genomsökning aktiverat

Description: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub lagringsplatser ska ha hemlig genomsökning aktiverat

Description: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Genomsökning av hemligheter genomsöker hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Azure SQL Database servrar ska vara aktiverade

Description: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den innehåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på ett hot mot databasen och identifiera och klassificera känsliga data.

Skydd mot den här planen debiteras på sidan Defender. Om du inte har några Azure SQL Database servrar i den här prenumerationen debiteras du inte. Om du senare skapar Azure SQL Database servrar i den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region.

Läs mer i Introduction to Microsoft Defender for SQL. (Relaterad princip: Azure Defender för Azure SQL Database servrar ska aktiveras).

Allvarlighetsgrad: Hög

Microsoft Defender för DNS ska vara aktiverat

Description: Microsoft Defender för DNS ger ytterligare ett skydd för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure resurser. Defender för DNS-aviseringar om misstänkt aktivitet på DNS-lagret. Läs mer i Introduction till Microsoft Defender för DNS. Om du aktiverar den här Defender planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för relationsdatabaser med öppen källkod ska vara aktiverade

Description: Microsoft Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer i Introduction to Microsoft Defender for open-source relational databases.

Om du aktiverar den här planen debiteras du för att skydda relationsdatabaser med öppen källkod. Om du inte har några relationsdatabaser med öppen källkod i den här prenumerationen debiteras inga avgifter. Om du skapar relationsdatabaser med öppen källkod för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Resource Manager ska vara aktiverat

Description: Microsoft Defender för Resource Manager övervakar resurshanteringsåtgärderna i organisationen automatiskt. Defender för molnet identifierar hot och aviseringar om misstänkt aktivitet. Läs mer i Introduction till Microsoft Defender för Resource Manager. Om du aktiverar den här Defender planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för SQL på datorer ska aktiveras på arbetsytor

Description: Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender planen aktiverad för dina prenumerationer, men inte på dina arbetsytor, betalar du för den fullständiga funktionen för Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till den arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure resurser. Läs mer i Introduction till Microsoft Defender för servrar. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Microsoft Defender för SQL-servrar på datorer ska aktiveras

Om du åtgärdar den här rekommendationen debiteras du för att skydda DINA SQL-servrar på datorer. Om du inte har några SQL-servrar på datorer i den här prenumerationen debiteras inga avgifter. Om du skapar några SQL-servrar på datorer i den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer om Microsoft Defender för SQL-servrar på datorer. (Relaterad princip: Azure Defender för SQL-servrar på datorer ska aktiveras).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar

Description: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den visar och minimerar potentiella sårbarheter i databasen och identifierar avvikande aktiviteter som kan tyda på ett hot mot databasen. Microsoft Defender för SQL faktureras enligt prisinformation per region. (Relaterad princip: Avancerad datasäkerhet bör aktiveras på dina SQL-servrar).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL-hanterade instanser

Allvarlighetsgrad: Hög

Microsoft Defender för Lagring ska vara aktiverat

Description: Microsoft Defender för lagring identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton.

Skydd mot den här planen debiteras på sidan Defender. Om du inte har några Azure Storage konton i den här prenumerationen debiteras du inte. Om du senare skapar Azure Storage konton i den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region. Läs mer i Introduction to Microsoft Defender for Storage. (Relaterad princip: Azure Defender för Storage ska aktiveras).

Allvarlighetsgrad: Hög

Network Watcher ska vara aktiverat

Description: Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Verktyg för nätverksdiagnostik och visualisering som är tillgängliga med Network Watcher hjälpa dig att förstå, diagnostisera och få insikter om nätverket i Azure. (Relaterad princip: Network Watcher ska aktiveras).

Allvarlighetsgrad: Låg

Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade

Description: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. (Relaterad princip: Private-slutpunktsanslutningar på Azure SQL Database ska aktiveras).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MariaDB-servrar

Description: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MariaDB-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MySQL-servrar

Description: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MySQL-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar

Description: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, även inom Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk på Azure SQL Database bör inaktiveras

Description: Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Public nätverksåtkomst på Azure SQL Database bör inaktiveras).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton

Beskrivning: Den här principen granskar alla Cognitive Services-konton i din miljö med offentlig nätverksåtkomst aktiverad. Åtkomst till offentligt nätverk bör inaktiveras så att endast anslutningar från privata slutpunkter tillåts. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar

Description: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar

Description: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar

Description: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Redis Cache bör endast tillåta åtkomst via SSL

Beskrivning: Aktivera endast anslutningar via SSL till Redis Cache. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Ent säkra anslutningar till din Azure Cache for Redis ska aktiveras).

Allvarlighetsgrad: Hög

SQL-databaser bör lösa sårbarhetsresultat

Beskrivning: SQL Vulnerability Assessment söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. Läs mer (Relaterad princip: Sårbarheter i dina SQL-databaser bör åtgärdas).

Allvarlighetsgrad: Hög

SQL-hanterade instanser bör ha konfigurerad sårbarhetsbedömning

Beskrivning: Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. (Relaterad princip: Vulnerability-utvärdering bör aktiveras på SQL Managed Instance).

Allvarlighetsgrad: Hög

SQL-servrar på datorer bör ha sårbarhetsresultat lösta

Allvarlighetsgrad: Hög

SQL-servrar bör ha en Microsoft Entra administratör etablerad

Allvarlighetsgrad: Hög

SQL-servrar bör ha konfigurerad sårbarhetsbedömning

Beskrivning: Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. (Relaterad princip: Sårbarhetsbedömning bör aktiveras på dina SQL-servrar).

Allvarlighetsgrad: Hög

Lagringskontot bör använda en privat länkanslutning

Beskrivning: Privata länkar framtvingar säker kommunikation genom att tillhandahålla privat anslutning till lagringskontot (Relaterad princip: Lagringskontot ska använda en privat länkanslutning).

Allvarlighetsgrad: Medel

Lagringskonton ska migreras till nya Azure Resource Manager resurser

Description: Om du vill dra nytta av nya funktioner i Azure Resource Manager kan du migrera befintliga distributioner från den klassiska distributionsmodellen. Resource Manager möjliggör säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, ARM-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering. Läs mer (Relaterad princip: Lagringskonton ska migreras till nya Azure Resource Manager resurser).

Allvarlighetsgrad: Låg

Lagringskonton bör förhindra åtkomst till delad nyckel

Description: Granskningskrav för Microsoft Entra ID (Microsoft Entra ID) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Microsoft Entra ID autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Microsoft Entra ID överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. (Relaterad princip: princip)

Anmärkning

Vissa Azure tjänster kräver fortfarande åtkomst till delad nyckel för att fungera. Till exempel använder Microsoft Configuration Manager (SCCM) Cloud Management Gateway (CMG) delad nyckelbaserad auktorisering för sina underliggande lagringskonton. Om du inaktiverar åtkomst till delad nyckel på lagringskonton som används av CMG bryts CMG-funktioner. Om du använder CMG eller andra tjänster som är beroende av åtkomst med delad nyckel undantar du dessa lagringskonton från den här rekommendationen i stället för att tillämpa reparationen. Behåll relaterade Azure Policy i läget Audit i stället för Deny för dessa konton och dokumentera affärsmotiveringen för undantaget.

Allvarlighetsgrad: Medel

Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk

Beskrivning: Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk).

Allvarlighetsgrad: Medel

Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem

Description: Ange en säkerhetskontakt för att få e-postmeddelanden från Defender för molnet för att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i någon av dina prenumerationer. (Relaterad princip: Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem)

Allvarlighetsgrad: Låg

Transparent Data Encryption på SQL-databaser ska vara aktiverade

Description: Aktivera transparent data encryption för att skydda vilande data och uppfylla efterlevnadskrav (Relaterad princip: Transparent Data Encryption på SQL-databaser bör aktiveras).

Allvarlighetsgrad: Låg

Mallar för VM Image Builder ska använda privat länk

Beskrivning: Granska vm Image Builder-mallar som inte har konfigurerat ett virtuellt nätverk. När ett virtuellt nätverk inte har konfigurerats skapas och används en offentlig IP-adress i stället, vilket direkt kan exponera resurser för Internet och öka den potentiella attackytan. (Relaterad princip: Mallar för VM Image Builder bör använda privat länk).

Allvarlighetsgrad: Medel

Web Application Firewall (WAF) ska vara aktiverat för Application Gateway

Description: Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder/regioner, IP-adressintervall och andra http-parametrar via anpassade regler. (Relaterad princip: Web Application Firewall (WAF) ska aktiveras för Application Gateway).

Allvarlighetsgrad: Låg

Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service-tjänsten

Allvarlighetsgrad: Låg

AWS-datarekommendationer

Inställningen Ta bort vid avslutning ska vara aktiverad för ebs-volymer som är anslutna till instansen

Description: Defender för molnet identifierade en ebs-volymansluten instans som saknades vid avslutningsinställningen. Den här inställningen tar automatiskt bort instansens primära lagring när den avslutas. Utan den kan överblivna volymer behålla känsliga data, vilket ökar risken för obehörig åtkomst och efterlevnadsproblem.

Allvarlighetsgrad: Låg

Kryptering av AWS Key Management Service ska konfigureras för EventBridge Pipe

Beskrivning: Konfiguration av KMS-kryptering (AWS Key Management Service) för EventBridge Pipe säkerställer att vilande data krypteras med hjälp av kundkontrollerade nycklar, vilket ger förbättrade säkerhets- och efterlevnadsfunktioner. Det här måttet gör det möjligt att bättre hantera och rotera krypteringsnycklar enligt interna principer eller regelkrav. Om detta inte implementeras krypteras data med hjälp av AWS-hanterade nycklar, som kanske inte uppfyller stränga säkerhetsstandarder eller efterlevnadsstandarder. Den här rekommendationen är särskilt viktig för organisationer som hanterar känsliga eller reglerade data, till exempel personligt identifierbar information (PII), finansiella poster eller immateriell egendom. Om du vill implementera detta konfigurerar du EventBridge Pipe så att den använder en kundhanterad KMS-nyckel i AWS-hanteringskonsolen eller via AWS CLI.

Allvarlighetsgrad: Låg

Kryptering av AWS Key Management Service ska vara aktiverat för SageMaker-domän

Description: Defender för molnet upptäckt att din SageMaker-domän använder AWS-hanterade KMS-nycklar i stället för kundhanterade nycklar. AWS KMS-kryptering skyddar vilande data genom att du kan styra nyckelhantering, inklusive rotation och åtkomstsäkerhetsefterlevnad med strikta säkerhetskrav. Utan kundhanterade nycklar kan känsliga data ha högre risk för obehörig åtkomst och bristande efterlevnad. Läs mer.

Allvarlighetsgrad: Låg

Kryptering av AWS Key Management Service ska aktiveras på SageMaker-slutpunkter

Description: Defender för molnet identifierade bristen på KMS-kryptering (Key Management Service) för AWS på Sagemaker-slutpunkter. KMS-kryptering skyddar känsliga data genom att hantera krypteringsnycklar, inklusive deras livscykelaktiviteter, till exempel generering, rotation och borttagning. Utan KMS aktiverat riskerar slutpunkter exponering för dataintrång och obehörig åtkomst. Läs mer.

Allvarlighetsgrad: Medel

Åtkomstloggning ska vara aktiverat för LightSail-bucketar

Description: Defender för molnet upptäckt att åtkomstloggning inte har konfigurerats på Din LightSail-bucket. Åtkomstloggning registrerar aktiviteter som utförs på bucketen och hjälper till att verifiera att endast auktoriserade åtgärder inträffar. Utan den kan obehörig åtkomst gå oupptäckt, vilket minskar säkerhetssynligheten och komplicerar kriminaltekniska undersökningar och incidenthantering.

Allvarlighetsgrad: Låg

Export av granskningsloggar ska vara aktiverad i Amazon DocumentDB-kluster

Description: Defender för molnet upptäckt att export av granskningsloggar till CloudWatch har inaktiverats i Amazon DocumentDB-kluster. Granskningsloggar samlar in viktig information om användar- och systemaktiviteter som stöder kriminalteknisk analys under säkerhetsincidenter. Utan den här informationen finns det en ökad risk för att obehöriga åtgärder inte identifieras, vilket kan fördröja incidenthantering och reparation.

Allvarlighetsgrad: Låg

Uppgraderingar av automatisk delversion ska vara aktiverade i MemoryDB-kluster

Description: Defender för molnet identifierade MemoryDB-kluster utan automatiska uppgraderingar av delversioner aktiverade. MemoryDB-kluster förlitar sig på dessa uppgraderingar för att automatiskt installera viktiga säkerhetskorrigeringar och mindre programvaruförbättringar. Utan den här automatiseringen kan kluster förbli sårbara för säkerhetsproblem. Genom att aktivera uppgraderingsprocessen kan du upprätthålla en robust säkerhetsstatus.

Allvarlighetsgrad: Låg

Principer för automatisk säkerhetskopiering bör aktiveras i AlloyDB-kluster

Description: Defender för molnet identifierat att principen för automatisk säkerhetskopiering är inaktiverad för AlloyDB-klustret, vilket innebär att dagliga ögonblicksbilder för återställning inte skapas automatiskt. Utan dessa säkerhetskopior exponeras dina kluster för risker som dataförlust från oavsiktlig borttagning eller utpressningstrojan, vilket kan äventyra kraven på haveriberedskap och efterlevnad.

Allvarlighetsgrad: Medel

Automatisk kvarhållning av ögonblicksbilder ska aktiveras för Redshift-kluster

Description: Defender för molnet upptäckt att automatisk kvarhållning av ögonblicksbilder inte är aktiverat för ditt Amazon Redshift-kluster. Automatiserade ögonblicksbilder ger återställningsfunktioner till tidpunkt för ditt informationslager. Utan korrekt kvarhållning kan kritiska återställningsdata gå förlorade, öka risken för dataförlust från oavsiktlig borttagning, skada eller utpressningstrojanattacker och eventuellt bryta mot efterlevnadskraven.

Allvarlighetsgrad: Låg

Automatiska säkerhetskopieringar ska aktiveras för Elasticache-kluster

Description: Defender för molnet upptäckt att automatiska säkerhetskopior inte är aktiverade för dina Elasticache-kluster. Elasticache-kluster är viktiga cachelagringsresurser som, utan regelbundna säkerhetskopior, är sårbara för dataförlust från oavsiktliga eller skadliga borttagningar. Detta innebär en risk för längre stilleståndstid och komprometterad dataintegritet, vilket kan påverka den övergripande tjänstens tillförlitlighet. Vi rekommenderar att du aktiverar automatiska säkerhetskopieringar för att skydda dina data och upprätthålla driftskontinuitet.

Allvarlighetsgrad: Medel

Automatiska säkerhetskopieringar ska vara aktiverade för serverlös Elasticache

Description: Defender för molnet upptäckt att automatiska säkerhetskopieringar inte är aktiverade för din serverlösa ElastiCache. Utan periodiska ögonblicksbilder saknar din ElastiCache en återställningspunkt för att återställa data i händelse av oavsiktlig eller skadlig borttagning, vilket ökar risken för oåterkallelig dataförlust. Aktivering av automatiska säkerhetskopieringar minimerar potentiella störningar och skyddar integriteten för dina cachelagrade data.

Allvarlighetsgrad: Medel

Automatiska säkerhetsuppdateringar ska aktiveras i RedisOSS ElastiCache-kluster

Description: Defender för molnet identifierat att automatisk uppgradering är inaktiverat i redisOSS ElastiCache-kluster. Automatisk uppgradering installerar automatiskt de senaste säkerhetskorrigeringarna och programuppdateringarna för att skydda klusternoder från kända säkerhetsrisker. Detta utgör en risk genom att lämna dina kluster öppna för cyberattacker som utnyttjar inaktuell programvara. Läs mer.

Allvarlighetsgrad: Låg

Automatiska ögonblicksbilder ska aktiveras för MemoryDB-kluster

Description: Defender för molnet identifierade MemoryDB-kluster utan automatisk konfiguration av ögonblicksbilder. Automatisk ögonblicksbild bevarar automatiskt resursögonblicksbilder under en angiven tidsperiod, vilket säkerställer att kritiska återställningsdata är tillgängliga efter incidenter. Utan det finns det en ökad risk för dataförlust genom oavsiktlig borttagning eller skada.

Allvarlighetsgrad: Medel

Kvarhållning av säkerhetskopior ska aktiveras för LightSail Relational Database Service

Description: Defender för molnet har identifierat att kvarhållning av säkerhetskopior är inaktiverat på din LightSail Relational Database Service. Kvarhållning av säkerhetskopior sparar automatiskt säkerhetskopior av databasen över tid så att du kan återställa data vid oavsiktlig borttagning eller skadlig skada. Utan det blir återställningen svårare och du riskerar att förlora up-todatumdata om en angripare komprometterar databasen.

Allvarlighetsgrad: Medel

Breda ägar- eller redigeringsroller bör elimineras från tjänstkonton på BigQuery-datauppsättningar

Description: Defender för molnet identifierade tjänstkonton med överdriven behörighet för BigQuery-datauppsättningar. Utvärderingen identifierade tjänstkonton tilldelade breda roller, till exempel ÄGARE, SKRIVARE eller roller/bigquery.admin som ger mer åtkomst än nödvändigt. Detta innebär en risk för lateral förflyttning och dataexfiltrering om dessa autentiseringsuppgifter komprometteras. Det är viktigt att begränsa behörigheter till roller som överensstämmer med tjänstkontots funktionskrav, till exempel "BigQuery Data Viewer" eller "BigQuery Data Editor"

Allvarlighetsgrad: Hög

Klusterslutpunktskryptering ska vara aktiverat för DAX-kluster

Description: Defender för molnet upptäckt att klusterslutpunktskryptering inte är aktiverat i kluster. Klusterslutpunktskryptering skyddar data under överföring mellan klienter och klustret. Utan den kan känslig information fångas upp eller nås av obehöriga parter, vilket kan äventyra datasekretessen och integriteten. Aktivera kryptering för att skydda data under överföring och minska risken för cyberattacker.

Allvarlighetsgrad: Medel

Description: Defender för molnet identifierat att ditt Amazon SNS-ämne har konfigurerats för åtkomst mellan konton, vilket gör att externa AWS-konton kan interagera med det. Åtkomst mellan konton innebär att användare utanför din betrodda miljö kan publicera eller prenumerera på dina ämnen. Detta utgör en risk genom att potentiellt exponera känsliga meddelanden för obehöriga parter och missbruk. Om du begränsar sådan åtkomst kan du skydda ditt ämne mot externa hot.

Allvarlighetsgrad: Medel

Kundhanterad KMS-kryptering ska aktiveras på Amazon Bedrock Agents

Description: Defender för molnet identifierat att Anpassade Amazon Bedrock-modeller distribueras utan kundhanterad KMS-kryptering på plats. Anpassade Amazon Bedrock-modeller kan skapas eller importeras utan att uttryckligen välja en kundhanterad nyckel, vilket gör att modellartefakter krypteras med AWS-hanterade nycklar i stället. Detta utgör en risk genom att minska kontrollen över nyckelrotation, strikta åtkomstprinciper och granskningstransparens, vilket kan leda till efterlevnads- och säkerhetsrisker.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för CodeArtifact-domäner

Description: Defender för molnet upptäckt att kundhanterade nycklar (CMK:er) inte är aktiverade på dina domäner. CMK:er är krypteringsnycklar som du styr, inklusive deras livscykel, rotation och åtkomstprinciper. Utan CMK-konfiguration förlitar sig dina domäner enbart på providerhanterade nycklar, vilket minskar tillsynen och potentiellt gör känsliga data mer sårbara för obehörig åtkomst.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för Datastream-strömmar

Description: Defender för molnet identifierade Datastream-strömmar som inte använder Customer-Managed krypteringsnycklar (CMEK). Den här utvärderingen utvärderar om dina Datastream-strömmar har CMEK aktiverat, en kontroll som tillåter direkt nyckelrotation och hantering av åtkomstprinciper. Utan CMEK kanske den automatiska kryptering som tillhandahålls av Google Cloud inte uppfyller de stränga kraven för känsliga data, vilket gör din arbetsbelastning mer utsatt för potentiell nyckelkompromitet eller obehörig åtkomst. Lära sig mer: https://cloud.google.com/datastream/docs

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för ElastiCache-kluster

Description: Defender för molnet identifierade ElastiCache-kluster som saknar CMK-kryptering (Customer Managed Key). CMK-kryptering använder anpassade nycklar som möjliggör kontrollerad rotation och förbättrad säkerhet jämfört med standardnycklar. Detta utgör en risk genom att potentiellt utsätta dina kluster för obehörig dataåtkomst och efterlevnadsproblem. Läs mer.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för GCP Spanner-databaser

Description: Defender för molnet identifierade databaser som inte har konfigurerats med kundhanterade krypteringsnycklar (CMEK). CMEK refererar till krypteringsnycklar som skapats och hanteras av din organisation, till skillnad från plattformshanterade nycklar. Utan CMEK kanske databaser inte uppfyller regel- eller principkrav, vilket kan utsätta dina data för obehörig åtkomst eller efterlevnadsproblem på grund av minskad kontroll över nyckellivscykelhantering.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för Memorystore för Redis-instanser

Description: Defender för molnet upptäckt att kundhanterade krypteringsnycklar inte är aktiverade för Memorystore för Redis-instanser. Den här utvärderingen kontrollerar om krypteringsåtgärder endast hanteras som standard för Google-hanterade nycklar, vilket begränsar nyckelrotation, granskningsloggning och förbättringar av åtkomstkontroll i tid. Sådana begränsningar utgör en risk genom att potentiellt äventyra dataskydds- och efterlevnadsarbetet, eftersom organisationer saknar uttryckligt ägande och styrning av sina krypteringsnycklar.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för pub-/underavsnitt

Description: Defender för molnet identifierade Pub/Sub-ämnen med hjälp av standardnycklar för Google-hanterad kryptering i stället för kundhanterade krypteringsnycklar (CMEK). MED CMEK kan du styra nyckelrotation och åtkomstprinciper, samtidigt som beroendet av standardnycklar begränsar kontrollen och kan öka risken för obehörig åtkomst och efterlevnadsproblem. Läs mer.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för Hörn AI Datastore

Description: Defender för molnet upptäckt att Vertex AI Datastore inte har konfigurerats med kundhanterade krypteringsnycklar (CMK), vilket innebär att den förlitar sig på standardkryptering som hanteras av Google. Detta utgör en risk eftersom GCP-hanterade nycklar inte tillåter att du kontrollerar rotationsprinciper, anger detaljerade åtkomstbehörigheter eller granskar nyckelanvändning, vilket eventuellt inte uppfyller strikta efterlevnads- och datasuveränitetskrav i reglerade branscher.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade för Hörn AI Engine

Description: Defender för molnet identifierat att Hörn-AI Engine-instansen inte har konfigurerats med kundhanterade krypteringsnycklar (CMK), vilket innebär att den förlitar sig på standardkryptering som hanteras av Google. Detta utgör en risk eftersom GCP-hanterade nycklar inte tillåter att du kontrollerar rotationsprinciper, anger detaljerade åtkomstbehörigheter eller granskar nyckelanvändning, vilket eventuellt inte uppfyller strikta efterlevnads- och datasuveränitetskrav i reglerade branscher.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade i AlloyDB-kluster

Description: Defender för molnet identifierat att AlloyDB-klustret inte är konfigurerat med kundhanterade krypteringsnycklar (CMK), vilket innebär att det förlitar sig på standardkryptering som hanteras av Google. Detta utgör en risk eftersom GCP-hanterade nycklar inte tillåter att du kontrollerar rotationsprinciper, anger detaljerade åtkomstbehörigheter eller granskar nyckelanvändning, vilket eventuellt inte uppfyller strikta efterlevnads- och datasuveränitetskrav i reglerade branscher.

Allvarlighetsgrad: Låg

Description: Defender för molnet upptäckt att dina AWS SNS-ämnen använder standardkryptering i stället för kundhanterade nycklar (CMK). Med CMK-kryptering kan du styra nyckelprinciper och granska nyckelanvändning, vilket ger förbättrat skydd mot obehörig åtkomst och stöd för efterlevnad av interna och regelmässiga säkerhetsstandarder. Den här konfigurationstillsynen kan utsätta känsliga data för ökade risker.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska aktiveras på Artefaktregisterlagringsplatser

Description: Defender för molnet identifierat att lagringsplatser skyddas med plattformshanterade krypteringsnycklar i stället för kundhanterade krypteringsnycklar (CMEK). CMEK är nycklar som du styr och erbjuder avancerad livscykelhantering och striktare åtkomstkontroll. Att använda plattformshanterade nycklar ökar risken för sårbarheter i dataskyddet och uppfyller kanske inte efterlevnadskraven. Vi rekommenderar att du konfigurerar CMEK för att förbättra krypteringssäkerheten och kontrollen.

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade på Filestore-instanser

Description: Defender för molnet identifierade Filestore-instanser utan Customer-Managed krypteringsnycklar (CMEK). Detta innebär en risk för minskad kontroll över krypteringsnyckelrotation och åtkomstprinciper i Cloud KMS, vilket kan äventyra efterlevnaden av regel- och organisationsstandarder. Lära sig mer: https://cloud.google.com/filestore/docs/cmek

Allvarlighetsgrad: Låg

Kundhanterade krypteringsnycklar ska vara aktiverade i MemoryDB-kluster

Description: Defender för molnet identifierat att MemoryDB-klustret inte använder kundhanterade nycklar (CMK) för kryptering. Med hjälp av kundhanterade nycklar (CMK) kan du utöka kontrollen över nyckellivscykeln och detaljerad granskning, vilket säkerställer att krypteringsmetoderna uppfyller efterlevnadskraven.

Allvarlighetsgrad: Låg

Vilande datakryptering ska aktiveras i ElastiCache-kluster

Description: Defender för molnet upptäckt att kryptering i vila inte är aktiverat i ditt ElastiCache-kluster. Kryptering i vila konverterar lagrade data till ett kryptografiskt säkert format, vilket skyddar information även om den underliggande lagringen överträds. Utan detta skydd kan obehörig åtkomst eller datamanipulering inträffa, vilket riskerar efterlevnad och övergripande systemintegritet.

Allvarlighetsgrad: Medel

Skydd mot databasborttagning ska vara aktiverat för GCP Spanner-databaser

Description: Defender för molnet har identifierat att databasborttagningsskydd är inaktiverat för dina databaser. Skydd mot databasborttagning förhindrar oavsiktlig eller obehörig borttagning genom att kräva ytterligare bekräftelse innan en databas tas bort. Utan det här skyddet exponeras dina kritiska data för potentiell förlust från mänskliga fel eller felkonfigurerad automatisering.

Allvarlighetsgrad: Medel

Standardschema för säkerhetskopiering för nya databaser ska vara aktiverat

Beskrivning: Om du aktiverar ett standardschema för säkerhetskopiering för den nya Spanner-instansen säkerställs automatiskt dataskydd direkt från skapandet av databaserna. Detta bidrar till att upprätthålla konsekventa säkerhetskopior utan manuella åtgärder och minskar risken för mänskliga fel. Regelbundna säkerhetskopieringar ger återställningsalternativ vid oavsiktlig borttagning av data, skada eller systemfel. Om standardschemat för säkerhetskopiering inte är aktiverat kan nya databaser förbli oskyddade och sårbara, vilket ökar risken för permanent dataförlust. Vi rekommenderar att du aktiverar den här inställningen för att förbättra databasens återhämtning och affärskontinuitet.

Allvarlighetsgrad: Medel

Definierade kvarhållningsperioder för ögonblicksbilder ska tillämpas för Redshift-kluster

Description: Defender för molnet identifierade obegränsad kvarhållning i Amazon Redshift-ögonblicksbilder, där ögonblicksbilder konfigureras att aldrig upphöra (kvarhållningsperioden är inställd på -1). Detta innebär en risk för att ackumulera onödiga lagringskostnader och långvarig exponering av potentiellt känsliga data. Genom att definiera en kvarhållningsperiod ser du till att inaktuella ögonblicksbilder rensas automatiskt, vilket minskar både ekonomisk påverkan och säkerhetsrisker.

Allvarlighetsgrad: Låg

Borttagningsskydd ska vara aktiverat i Amazon DocumentDB-kluster

Description: Defender för molnet har identifierat att borttagningsskydd inte är aktiverat i Amazon DocumentDB-kluster. Borttagningsskydd är ett skydd som förhindrar oavsiktlig eller skadlig borttagning av databaskluster. Utan det exponeras dina DocumentDB-kluster för risker för obehöriga borttagningar som leder till betydande driftstopp och driftstörningar. Aktivera borttagningsskydd för att upprätthålla säkerheten och tillgängligheten för dina data.

Allvarlighetsgrad: Medel

Borttagningsskydd ska vara aktiverat på Firestore-databaser

Description: Defender för molnet identifierade Firestore-databaser med borttagningsskydd inaktiverat i Firestore. Borttagningsskydd förhindrar att databaser tas bort om de inte uttryckligen inaktiveras. Utan detta skydd kan oavsiktliga eller skadliga borttagningar leda till oåterkallelig dataförlust och driftstörningar i produktionsmiljöer.

Allvarlighetsgrad: Medel

Kryptering under överföring ska aktiveras i MemoryDB-kluster

Description: Defender för molnet har identifierat att TLS-kryptering (Transport Layer Security) inte är aktiverat i ditt MemoryDB-kluster. TLS skyddar data och klientkommunikation genom att kryptera överförd information. Utan TLS aktiverat är data under överföring känsliga för avlyssning och ändring av obehöriga parter.

Allvarlighetsgrad: Medel

Kryptering under överföring ska aktiveras i klusterbaserad cache

Description: Defender för molnet upptäckt att kryptering under överföring inte är aktiverat i din klusterbaserade cache som används av ElastiCache. Kryptering under överföring skyddar data när de flyttas mellan cachenoder och klientprogram. Utan den kan känslig information exponeras för avlyssning eller manipulering under överföringen, vilket skapar en risk för dataintrång och bristande efterlevnad av bästa praxis för säkerhet.

Allvarlighetsgrad: Medel

Kryptering med AWS-nyckelhanteringstjänsten ska vara aktiverad på EventBridge Event Bus

Description: Defender för molnet upptäckt att EventBridge Event Bus inte använder en kundhanterad AWS Key Management Service-nyckel för datakryptering. Kundhanterade KMS-nycklar ger förbättrad kontroll med viktiga rotationsfunktioner, som är viktiga för att skydda känsliga data. Utan den här konfigurationen förlitar sig Event Bus på AWS-hanterade nycklar som kanske inte uppfyller strikta efterlevnads- och säkerhetsstandarder.

Allvarlighetsgrad: Låg

Se till att AWS Backup-planer inkluderar kopieringsåtgärder mellan regioner eller konton

Beskrivning: AWS-säkerhetskopieringsplaner utan kopieringsåtgärder mellan regioner eller konton lagrar återställningspunkter på en enda plats, vilket ökar risken för dataförlust på grund av regionala avbrott, kontointrång eller utpressningstrojaner. Genom att konfigurera kopieringsåtgärder förbättras återhämtningsförmågan för säkerhetskopiering genom att återställningspunkter bevaras i en oberoende säkerhets- och tillgänglighetsgräns.

Allvarlighetsgrad: Låg

Explicit åsidosättningskontroll för fråga ska konfigureras för Amazon Bedrock Agents

Description: Defender för molnet identifierade okontrollerade åsidosättningsinställningar i Amazon Bedrock Agents. Dessa agenter, som utför generativa AI-uppgifter, är i riskzonen när kontroller för åsidosättning av fråga är felkonfigurerade så att osäkra instruktioner kringgår etablerade säkerhetsmekanismer. Den här felkonfigurationen kan leda till oförutsägbart AI-beteende och potentiella säkerhets- eller efterlevnadsöverträdelser, vilket undergräver den betrodda driften av dina tjänster.

Allvarlighetsgrad: Medel

Kryptering under överföring ska aktiveras för Memorystore för Redis-instanser

Description: Defender för molnet identifierat att kryptering under överföring är inaktiverat för Memorystore för Redis-instanser. Kryptering under överföring, som vanligtvis tillhandahålls via TLS, skyddar data när de färdas i nätverket. Utan den överförs känsliga cachelagrade data i klartext och exponeras för avlyssning, trafikinspektion och man-in-the-middle-attacker, vilket kan äventyra datasekretessen och integriteten.

Allvarlighetsgrad: Medel

KONFIGURATION AV KMS-hanterad nyckel ska vara aktiverad för kryptering på SQS-serversidan

Description: Defender för molnet upptäckt att din SQS-kö inte är konfigurerad att använda KMS-hanterade nycklar för kryptering på serversidan. KMS-hanterade nycklar styrs helt av Key Management Service och ger förbättrad övervakning av nyckellivscykeln och granskning av åtkomst. Utan dessa kontroller står din kö inför ökad risk för obehörig nyckelanvändning och minskat skydd av känsliga data i vila.

Allvarlighetsgrad: Medel

Kunskapsbasfältmappning bör konfigureras på ett säkert sätt på Amazon Bedrock

Description: Defender för molnet identifierade felkonfigurerade fältmappningar i Amazon Bedrock Knowledge Bases. Detta innebär en risk för att inbäddningar skadas och att felaktiga dokument hämtas, vilket kan leda till osäkra eller vilseledande utdata i RAG-pipelines (retrieveal augmented generation) när mappningar för vektor-, text- och metadatafält är ofullständiga eller felaktiga.

Allvarlighetsgrad: Hög

LockConfiguration ska vara aktiverat i Backup Vault

Description: Defender för molnet upptäckt att LockConfiguration inte är aktiverat i säkerhetskopieringsvalvet. LockConfiguration förhindrar obehöriga ändringar eller borttagningar av viktiga säkerhetskopieringsinställningar, vilket säkerställer att återställningspunkterna förblir säkra. Utan den här kontrollen löper Backup Vault ökad risk för oavsiktliga eller skadliga ändringar som kan äventyra dataresiliensen och säkerhetskopians integritet. Läs mer.

Allvarlighetsgrad: Medel

Autentiseringsuppgifter för hanterad administratör ska vara aktiverade för Amazon Redshift-kluster

Description: Defender för molnet identifierat att dina Amazon Redshift-kluster inte använder autentiseringsuppgifter för hanterad administratör. Autentiseringsuppgifter för hanterad administratör innebär säker lagring av administrativa autentiseringsuppgifter i AWS Secrets Manager med automatisk rotation, vilket minimerar risken för exponering av autentiseringsuppgifter. Utan den här konfigurationen finns det en ökad risk för obehörig databasåtkomst och potentiella dataintrång.

Allvarlighetsgrad: Medel

Objektversionshantering ska aktiveras på LightSail-bucketar

Description: Defender för molnet har identifierat att objektversioner har inaktiverats på Din LightSail-bucket. Objektversioner sparar och behåller automatiskt historiska kopior av objekt, vilket är viktigt för att återställa data från oavsiktliga borttagningar, ändringar eller skador. Utan den här funktionen kan eventuella obehöriga ändringar eller fel permanent äventyra din dataintegritet.

Allvarlighetsgrad: Låg

Parser-åsidosättning bör inaktiveras för Amazon Bedrock Agents

Description: Defender för molnet identifierade en anpassad parser åsidosättningsinställning (ParserMode = OVERRIDDEN) i Amazon Bedrock Agents. Åsidosättningar av anpassad parser ändrar standardparsningsmekanismen för att uppfylla specifika utdatakrav, men kan öka driftkomplexiteten, eventuellt orsaka parsningsfel eller exponera säkerhetsrisker om de inte underhålls strikt. Vi rekommenderar att du inaktiverar den här åsidosättningen såvida inte strikt utdataverifiering är nödvändigt.

Allvarlighetsgrad: Hög

Återställning till tidpunkt ska aktiveras för Firestore-databaser

Description: Defender för molnet identifierade Firestore-databaser med PITR (Point-in-Time Recovery) inaktiverat. PITR är en funktion som möjliggör dataåterställning från en viss tidsstämpel inom kvarhållningsperioden, vilket skyddar mot oavsiktliga borttagningar och felaktiga skrivningar. Utan PITR riskerar dina databaser att förlora data och potentiella utmaningar när det gäller att återställa dataintegriteten efter incidenter.

Allvarlighetsgrad: Medel

Körningstillstånd för fråga ska aktiveras för kritiska agentsteg på Amazon Bedrock

Description: Defender för molnet identifierade inaktiverat körningstillstånd för kritiska agentsteg i Amazon Bedrock. Kritiska agentsteg, till exempel orkestrering och kunskapsbassvarsgenerering, är viktiga för att säkerställa fullständiga resonemang och korrekta utdata. Om du inaktiverar de här stegen kan du generera osäkra, ofullständiga eller felaktiga svar, vilket kan leda till komprometterat agentbeteende och övergripande systemintegritet.

Allvarlighetsgrad: Hög

Konfiguration av offentligt åtkomstblock ska vara aktiverat på AWS S3-åtkomstpunkt

Description: Defender för molnet har identifierat att konfigurationen för offentligt åtkomstblock inte är aktiverad på din AWS S3-åtkomstpunkt. Inställningarna för offentligt åtkomstblock är utformade för att förhindra oavsiktlig offentlig exponering genom att automatiskt blockera offentlig åtkomst till S3-resurser, oavsett bucket- eller objektnivåbehörigheter. Utan den här inställningen finns det en ökad risk för obehörig åtkomst till känsliga data som lagras i dina S3-bucketar.

Allvarlighetsgrad: Hög

Description: Defender för molnet upptäckt att SNS-ämnena har obegränsad åtkomst till utgivaren aktiverad. Med den här inställningen kan alla entiteter publicera meddelanden till dina ämnen, vilket kan leda till obehöriga aviseringar, skräppost eller till och med skadliga meddelanden som försvagar tillförlitligheten och säkerheten i meddelandesystemet. Genom att se till att utgivaråtkomsten begränsas minimerar du dessa risker och förbättrar den övergripande integriteten i meddelandeinfrastrukturen.

Allvarlighetsgrad: Hög

Description: Defender för molnet upptäckt att SNS Topic-prenumerationer är offentligt tillgängliga. Här innebär "offentlig åtkomst" att alla entiteter kan prenumerera och ta emot meddelanden, vilket exponerar ditt meddelandesystem för obehörig övervakning och dataläckage. Sådan exponering kan göra det möjligt för skadliga aktörer att avlyssna eller missbruka känslig information. Vi rekommenderar att du konfigurerar prenumerationer så att endast godkända prenumeranter tillåts. Läs mer.

Allvarlighetsgrad: Hög

Offentliga e-postdomäner bör hindras från att ta emot privilegierade roller på BigQuery

Description: Defender för molnet identifierade bigquery-roller med hög behörighet (t.ex. ÄGARE, SKRIVARE eller administratör) som tilldelats medlemmar med offentliga e-postdomäner. Offentliga e-postdomäner ligger utanför organisationens livscykelhantering för identiteter, vilket innebär en risk för obehörig dataändring, borttagning eller behörighetseskalering.

Allvarlighetsgrad: Hög

Offentlig läsåtkomst på LightSail-bucketar bör inaktiveras

Description: Defender för molnet upptäckt att din LightSail-bucket tillåter offentlig läsåtkomst. Med den här inställningen kan vem som helst komma åt lagrade objekt utan autentisering, vilket gör känsliga data sårbara för obehörig exponering och utnyttjande.

Allvarlighetsgrad: Hög

Resursetiketter ska konfigureras på artefaktregisterlagringsplatser

Description: Defender för molnet identifierade saknade resursetiketter i lagringsplatser. Resursetiketter är nyckel/värde-par som kategoriserar lagringsplatser och möjliggör automatisk tillämpning av säkerhetsprinciper. Utan rätt etiketter finns det en ökad risk för felkonfigurationer och obehörig åtkomst på grund av inkonsekventa säkerhetskontroller.

Allvarlighetsgrad: Låg

Säkra anslutningsappar ska vara aktiverade för AlloyDB-instanser

Description: Defender för molnet identifierade osäkra klientanslutningsinställningar i AlloyDB-instansen. Utvärderingen kontrollerar egenskapen "Kräv anslutningsappar", som när den är inställd på false tillåter direkta PostgreSQL-protokollanslutningar utan en säker medlare, till exempel AlloyDB Auth Proxy. Detta kringgår IAM-baserad autentisering och automatisk TLS-kryptering, vilket ökar risken för svagare autentisering och potentiell exponering av okrypterad trafik i din VPC.

Allvarlighetsgrad: Medel

Säkerhetsgrupper ska konfigureras för MemoryDB-kluster

Description: Defender för molnet identifierade MemoryDB-kluster utan några konfigurerade säkerhetsgrupper. Säkerhetsgrupper fungerar som brandväggsregler som reglerar både inkommande och utgående trafik för klustret. Utan dem exponeras klustret för risken för obehörig åtkomst och potentiella dataintrång. Om du aktiverar säkerhetsgrupper kan du avsevärt minska den här risken genom att se till att endast godkänd trafik tillåts komma åt ditt MemoryDB-kluster.

Allvarlighetsgrad: Medel

Säkerhetsgrupper ska konfigureras för att begränsa åtkomsten för ElastiCache

Description: Defender för molnet identifierade otillräckliga konfigurationer av säkerhetsgrupper i ElastiCache-tjänsten. Säkerhetsgrupper är nätverksfilter som styr trafiken mellan resurser. När de inte är korrekt konfigurerade kan de inte tillämpa detaljerade åtkomstbegränsningar, vilket potentiellt exponerar din cache för obehörig åtkomst och utnyttjande. Detta ökar risken för dataintrång och andra säkerhetsincidenter. Läs mer.

Allvarlighetsgrad: Låg

Säkerhetsgrupper bör begränsa åtkomsten för ElastiCache

Description: Defender för molnet identifierade slappa begränsningar för säkerhetsgrupper i elastiCache-installationen. Säkerhetsgrupper fungerar som virtuella brandväggar som hanterar användar- och instansåtkomst, och otillräcklig segmentering kan leda till obehörig åtkomst, vilket ökar risken för dataexponering och potentiell skadlig aktivitet. Vi rekommenderar att du granskar och tillämpar detaljerade åtkomstregler för att säkerställa att endast behöriga användare och processer interagerar med dina ElastiCache-resurser.

Allvarlighetsgrad: Låg

Säkerhetsloggar ska vara aktiverade för ElastiCache Replication Group

Description: Defender för molnet upptäckt att loggning inte är aktiverat för din ElastiCache Replication-grupp. Den här rekommendationen utlöstes vid identifiering av frånvaron av motorloggar, som samlar in detaljerade driftshändelser eller långsamma loggar, som spårar problem med svarstid. Utan dessa loggar kan potentiella avvikelser och obehöriga aktiviteter gå oupptäckta, vilket ökar risken för fördröjd incidenthantering eller säkerhetsöverträdelser. Läs mer.

Allvarlighetsgrad: Låg

Riskreducering av känslig dataexponering bör aktiveras på AWS CloudFormation-stackutdata

Description: Defender för molnet identifierade exponerade känsliga utdata i din AWS CloudFormation-stack. CloudFormation-utdata används för att skicka data mellan staplar men bör inte innehålla känslig information som lösenord, API-nycklar, token eller autentiseringsuppgifter. Om du exponerar den här informationen ökar risken för obehörig dataåtkomst. Ta bort dessa utdata eller lagra hemliga data på ett säkert sätt med hjälp av AWS Secrets Manager eller SSM Parameter Store. Mer information finns här: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Allvarlighetsgrad: Hög

Känsliga parametrar bör ha NoEcho-attribut aktiverat på AWS CloudFormation-staplar

Description: Defender för molnet identifierade AWS CloudFormation-staplar med parametrar som saknade NoEcho-attributet. NoEcho-attributet maskerar känsliga värden från loggar och utdata, vilket förhindrar att autentiseringsuppgifter och andra konfidentiella data oavsiktligt exponeras. Utan den kan dina staplar läcka viktig information, vilket ökar risken för obehörig åtkomst. Vi rekommenderar att du uppdaterar dina mallar för att införliva NoEcho-inställningen där det är tillämpligt.

Allvarlighetsgrad: Hög

Kryptering på serversidan bör aktiveras för Amazon Bedrock Knowledge Bases-datakällor

Description: Defender för molnet identifierade en brist på specifik krypteringskonfiguration på serversidan i Amazon Bedrock Knowledge Base-datakällor. Utan rätt ServerSideEncryptionConfiguration kan inmatade dokument, metadata och bearbetningsartefakter lagras okrypterade eller med AWS-hanterade nycklar, vilket minskar kundernas kontroll över kryptering, nyckelrotation och granskningsfunktioner, vilket ökar risken för obehörig dataåtkomst och minskad säkerhetsstyrning.

Allvarlighetsgrad: Medel

Kryptering på serversidan ska vara aktiverat i SQS-köer

Description: Defender för molnet upptäckt att kryptering på serversidan (SSE) inte är aktiverat i dina SQS-köer. SSE är en metod som använder krypteringsnycklar för att omvandla känsliga data till ett oläsligt format tills dekrypteras korrekt. Utan det här skyddet riskerar dina SQS-köer obehörig dataåtkomst, vilket potentiellt kan exponera känslig information och leda till dataintrång och efterlevnadsproblem.

Allvarlighetsgrad: Hög

Strikta begränsningar för åtkomst mellan konton bör konfigureras på LightSail-bucketar

Description: Defender för molnet identifierad åtkomst mellan konton i din LightSail-bucket. Åtkomst mellan konton inträffar när AWS-konton utanför din betrodda miljö beviljas behörighet att komma åt bucketobjekt. Detta innebär en risk för obehörig dataexponering om dessa externa konton är okända eller oövervakade. Om du begränsar åtkomsten till konton med ett legitimt behov kan du skydda din känsliga information.

Allvarlighetsgrad: Medel

Oanslutna EBS-volymer bör tas bort eller kopplas till EC2-instansen

Description: Defender för molnet identifierad EBS-volym som inte är uppkopplad. EBS-volymer är beständiga blocklagringsenheter som är avsedda för bifogade filer till EC2-instanser. Oanslutna volymer kan tyda på överblivna resurser från avslutade instanser, öka attackytan och eventuellt lagra känsliga data som inte längre tar emot aktiv säkerhetsövervakning.

Allvarlighetsgrad: Låg

Oexpirerade prenumerationer bör ha förfalloprinciper konfigurerade för pub-/underprenumerationer

Description: Defender för molnet identifierade saknade förfalloprinciper i Pub/Sub-prenumerationer. Förfalloprinciper avgör hur länge en inaktiv prenumeration förblir aktiv innan den automatiska borttagningen. Utan den här konfigurationen kan prenumerationer fortsätta att lagra data på obestämd tid, vilket leder till ökade lagringskostnader och en högre risk för att känslig information bevaras längre än nödvändigt. Mer information finns i https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period

Allvarlighetsgrad: Låg

Oanvända CodeArtifact-domäner bör tas bort

Description: Defender för molnet identifierade CodeArtifact-domäner som saknar aktiva lagringsplatser eller artefakter i CodeArtifact. En oanvänd domän är en domän som inte är värd för aktuellt innehåll men som fortfarande kan innehålla äldre inställningar, till exempel inaktuella behörigheter eller krypteringsnycklar. Detta utgör en risk genom att utöka attackytan på kontrollplanet och eventuellt tillåta obehörig åtkomst. Läs mer.

Allvarlighetsgrad: Låg

AWS/GCP-data och nätverksrekommendationer för flera kategorier

Kryptering under överföring bör aktiveras för Memorystore för Redis-kluster

Description: Defender för molnet upptäckt att kryptering under överföring saknas i redis-kluster. Kryptering under överföring (TLS) skyddar data som färdas mellan klienter och redis-kluster, inklusive autentiseringsuppgifter och cachelagrade data. Utan TLS kan angripare med nätverksåtkomst via delade virtuella datorer, peer-kopplade nätverk eller komprometterade arbetsbelastningar fånga upp eller ändra känsliga data, vilket ökar risken för dataexponering och manipulering.

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för LightSail Relational Database Service

Description: Defender för molnet upptäckt att offentlig nätverksåtkomst är aktiverad på din LightSail Relational Database Service. Offentlig nätverksåtkomst innebär att databasen accepterar anslutningar via Internet, vilket kringgår nätverksbegränsningar och exponerar den för obehörig åtkomst. Den här konfigurationen ökar risken för dataexfiltrering eller dataförlust genom att tillhandahålla potentiella startpunkter för angripare.

Allvarlighetsgrad: Hög

Amazon Aurora-kluster bör ha backtracking aktiverat

Beskrivning: Den här kontrollen kontrollerar om Amazon Aurora-kluster har backtracking aktiverat.

Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De säkerställer också att dina system kan återställas. Aurora backtracking minskar tiden för att återställa en databas till en tidpunkt. Det krävs ingen databasåterställning för att göra det.

Mer information om backtracking i Aurora finns i Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora DB cluster in the Amazon Aurora User Guide).

Allvarlighetsgrad: Medel

Amazon EBS-ögonblicksbilder bör inte vara offentligt återställningsbara

Beskrivning: Amazon EBS-ögonblicksbilder bör inte återställas offentligt av alla om de inte uttryckligen tillåts, för att undvika oavsiktlig exponering av data. Dessutom bör behörighet att ändra Amazon EBS-konfigurationer begränsas till endast auktoriserade AWS-konton.

Allvarlighetsgrad: Hög

Amazon ECS-uppgiftsdefinitioner bör ha säkra nätverkslägen och användardefinitioner

Beskrivning: Den här kontrollen kontrollerar om en aktiv Amazon ECS-uppgiftsdefinition som har värdnätverksläge också har privilegierade eller användarcontainerdefinitioner. Kontrollen misslyckas för uppgiftsdefinitioner som har värdnätverksläge och containerdefinitioner där privileged=false eller är tom och user=root eller är tom. Om en uppgiftsdefinition har utökade privilegier beror det på att kunden uttryckligen valde den konfigurationen. Den här kontrollen söker efter oväntad behörighetseskalering när en aktivitetsdefinition har aktiverat värdnätverk, men kunden valde inte utökade privilegier.

Allvarlighetsgrad: Hög

Amazon Elasticsearch Service-domäner ska kryptera data som skickas mellan noder

Beskrivning: Den här kontrollen kontrollerar om Amazon ES-domäner har kryptering från nod till nod aktiverad. HTTPS (TLS) kan användas för att förhindra att potentiella angripare tjuvlyssnar på eller manipulerar nätverkstrafik med hjälp av person-in-the-middle-attacker eller liknande attacker. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Om du aktiverar nod-till-nod-kryptering för Amazon ES-domäner ser du till att kommunikationen mellan kluster krypteras under överföring. Det kan finnas en prestandaavgift som är associerad med den här konfigurationen. Du bör vara medveten om och testa prestandavägningen innan du aktiverar det här alternativet.

Allvarlighetsgrad: Medel

Amazon Elasticsearch Service-domäner bör ha kryptering i vila aktiverat

Beskrivning: Det är viktigt att aktivera kryptering av resten av Amazon ES-domäner för att skydda känsliga data

Allvarlighetsgrad: Medel

Amazon RDS-databasen ska krypteras med hjälp av kundhanterad nyckel

Beskrivning: Den här kontrollen identifierar RDS-databaser som är krypterade med standard-KMS-nycklar och inte med kundhanterade nycklar. Som en ledande metod använder du kundhanterade nycklar för att kryptera data i dina RDS-databaser och behålla kontrollen över dina nycklar och data på känsliga arbetsbelastningar.

Allvarlighetsgrad: Medel

Amazon RDS-instans bör konfigureras med inställningar för automatisk säkerhetskopiering

Beskrivning: Den här kontrollen identifierar RDS-instanser som inte har angetts med inställningen för automatisk säkerhetskopiering. Om automatisk säkerhetskopiering har angetts skapar RDS en ögonblicksbild av lagringsvolymen av din DB-instans och säkerhetskopierar hela DB-instansen och inte bara enskilda databaser, vilket ger återställning till tidpunkt. Den automatiska säkerhetskopieringen sker under den angivna säkerhetskopieringsperioden och behåller säkerhetskopiorna under en begränsad tidsperiod enligt definitionen i kvarhållningsperioden. Vi rekommenderar att du ställer in automatiska säkerhetskopior för dina kritiska RDS-servrar som hjälper dig att återställa data.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör ha granskningsloggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har granskningsloggning aktiverat. Amazon Redshift-granskningsloggning innehåller ytterligare information om anslutningar och användaraktiviteter i klustret. Dessa data kan lagras och skyddas i Amazon S3 och kan vara till hjälp vid säkerhetsgranskningar och undersökningar. Mer information finns i Databasgranskningsloggning i Amazon Redshift Cluster Management Guide.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör ha automatiska ögonblicksbilder aktiverade

Beskrivning: Den här kontrollen kontrollerar om Amazon Redshift-kluster har automatiserade ögonblicksbilder aktiverade. Den kontrollerar också om kvarhållningsperioden för ögonblicksbilder är större än eller lika med sju.

Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De säkerställer återställningen av dina system. Amazon Redshift tar periodiska ögonblicksbilder som standard. Den här kontrollen kontrollerar om automatiska ögonblicksbilder är aktiverade och bevarade i minst sju dagar. Mer information om amazon redshift automatiserade ögonblicksbilder finns i Automatiserade ögonblicksbilder i Amazon Redshift Cluster Management Guide.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar Amazon Redshift-kluster för att undvika offentlig tillgänglighet genom att utvärdera fältet "publiclyAccessible" i klusterkonfigurationsobjektet.

Allvarlighetsgrad: Hög

Amazon Redshift bör ha automatiska uppgraderingar till större versioner aktiverade

Beskrivning: Den här kontrollen kontrollerar om automatiska högre versionsuppgraderingar är aktiverade för Amazon Redshift-klustret. Om du aktiverar automatiska uppgraderingar av högre versioner ser du till att de senaste huvudversionsuppdateringarna till Amazon Redshift-kluster installeras under underhållsfönstret. Dessa uppdateringar kan innehålla säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Medel

Amazon SQS-köer ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om Amazon SQS-köer krypteras i vila. Med kryptering på serversidan (SSE) kan du överföra känsliga data i krypterade köer. För att skydda innehållet i meddelanden i köer använder SSE nycklar som hanteras i AWS KMS. Mer information finns i Kryptering i vila i Amazon Simple Queue Service Developer Guide.

Allvarlighetsgrad: Medel

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska klusterhändelser

Beskrivning: Den här kontrollen kontrollerar om det finns en Amazon RDS-händelseprenumeration som har meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBCluster: [Underhåll och fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasinstanshändelser

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBInstance: [Underhåll, konfigurationsändring och fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasparametergrupphändelser

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBParameterGroup: ["configuration","change"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska händelser i databassäkerhetsgruppen

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBSecurityGroup: [Konfiguration, ändring, fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

API Gateway REST- och WebSocket API-loggning ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om alla steg i en Amazon API Gateway REST eller WebSocket API har loggning aktiverat. Kontrollen misslyckas om loggning inte är aktiverad för alla metoder i en fas eller om loggningsnivån varken är FEL eller INFO. API Gateway REST- eller WebSocket API-faser bör ha relevanta loggar aktiverade. API Gateway REST- och WebSocket API-körningsloggning innehåller detaljerade poster över begäranden som görs till API-faserna REST och WebSocket API. Stegen omfattar API-integreringsserverdelssvar, Lambda-auktoriseringssvar och requestId för AWS-integreringsslutpunkter.

Allvarlighetsgrad: Medel

API Gateway REST API-cachedata ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om alla metoder i API Gateway REST API-faser som har cache aktiverats är krypterade. Kontrollen misslyckas om någon metod i EN API Gateway REST API-fas har konfigurerats för cachelagring och cacheminnet inte är krypterat. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger till en annan uppsättning åtkomstkontroller för att begränsa obehöriga användares åtkomst till data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. API Gateway REST API-cacheminnen ska krypteras i vila för ett extra säkerhetslager.

Allvarlighetsgrad: Medel

REST API-faser för API:et för API Gateway ska konfigureras för att använda SSL-certifikat för serverdelsautentisering

Beskrivning: Den här kontrollen kontrollerar om Amazon API Gateway REST API-faser har konfigurerat SSL-certifikat. Serverdelssystem använder dessa certifikat för att autentisera inkommande begäranden från API Gateway. API Gateway REST API-steg ska konfigureras med SSL-certifikat för att tillåta serverdelssystem att autentisera att begäranden kommer från API Gateway.

Allvarlighetsgrad: Medel

REST API-faserna för API:et för API Gateway bör ha AWS X-Ray-spårning aktiverat

Beskrivning: Den här kontrollen kontrollerar om aktiv spårning av AWS X-Ray är aktiverad för dina REST API-faser för Amazon API Gateway. X-Ray aktiv spårning möjliggör snabbare svar på prestandaändringar i den underliggande infrastrukturen. Prestandaändringar kan leda till bristande tillgänglighet för API:et. X-Ray-aktiv spårning ger realtidsmått för användarbegäranden som flödar genom API Gateway REST API-åtgärder och anslutna tjänster.

Allvarlighetsgrad: Låg

API Gateway ska associeras med en AWS WAF-webb-ACL

Beskrivning: Den här kontrollen kontrollerar om en API Gateway-fas använder en AWS WAF-lista för webbåtkomstkontroll (ACL). Den här kontrollen misslyckas om en AWS WAF-webb-ACL inte är kopplad till en REST API Gateway-fas. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en ACL, vilket är en uppsättning regler som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara regler och villkor för webbsäkerhet som du definierar. Se till att API Gateway-fasen är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.

Allvarlighetsgrad: Medel

Loggning av program och klassiska lastbalanserare ska vara aktiverade

Description: Den här kontrollen kontrollerar om programmet Load Balancer och den klassiska Load Balancer har loggning aktiverat. Kontrollen misslyckas om access_logs.s3.enabled den är falsk. Elastisk belastningsutjämning ger åtkomstloggar som samlar in detaljerad information om begäranden som skickas till lastbalanseraren. Varje logg innehåller information, till exempel när begäran togs emot, klientens IP-adress, svarstider, sökvägar för begäranden och serversvar. Du kan använda åtkomstloggar för att analysera trafikmönster och felsöka problem. Mer information finns i Åtkomstloggar för din klassiska Load Balancer i användarhandboken för klassiska lastbalanserare.

Allvarlighetsgrad: Medel

Anslutna EBS-volymer ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om DE EBS-volymer som är i ett anslutet tillstånd är krypterade. För att klara den här kontrollen måste EBS-volymerna användas och krypteras. Om EBS-volymen inte är ansluten omfattas den inte av den här kontrollen. Om du vill ha ett extra säkerhetslager för känsliga data i EBS-volymer bör du aktivera EBS-kryptering i vila. Amazon EBS-kryptering erbjuder en enkel krypteringslösning för dina EBS-resurser som inte kräver att du skapar, underhåller och skyddar din egen infrastruktur för nyckelhantering. Den använder AWS KMS-kundhuvudnycklar (CMK) när du skapar krypterade volymer och ögonblicksbilder. Mer information om Amazon EBS-kryptering finns i Amazon EBS-kryptering i Amazon EC2-användarhandboken för Linux-instanser.

Allvarlighetsgrad: Medel

AWS-Database Migration Service replikeringsinstanser bör inte vara offentliga

Beskrivning: Skydda dina replikerade instanser mot hot. En privat replikeringsinstans bör ha en privat IP-adress som du inte kan komma åt utanför replikeringsnätverket. En replikeringsinstans bör ha en privat IP-adress när käll- och måldatabaserna finns i samma nätverk, och nätverket är anslutet till replikeringsinstansens VPC med hjälp av VPN, AWS Direct Connect eller VPC-peering. Du bör också se till att åtkomsten till din AWS DMS-instanskonfiguration begränsas till endast behöriga användare. Det gör du genom att begränsa användarnas IAM-behörigheter till att ändra AWS DMS-inställningar och resurser.

Allvarlighetsgrad: Hög

Klassiska Load Balancer lyssnare ska konfigureras med HTTPS- eller TLS-avslutning

Description: Den här kontrollen kontrollerar om dina klassiska Load Balancer lyssnare har konfigurerats med HTTPS- eller TLS-protokoll för klientanslutningar (klient till load balancer). Kontrollen gäller om en klassisk Load Balancer har lyssnare. Om din klassiska Load Balancer inte har konfigurerat någon lyssnare rapporterar kontrollen inga resultat. Kontrollen skickas om den klassiska Load Balancer lyssnare har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Kontrollen misslyckas om lyssnaren inte har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Innan du börjar använda en lastbalanserare måste du lägga till en eller flera lyssnare. En lyssnare är en process som använder det konfigurerade protokollet och porten för att söka efter anslutningsbegäranden. Lyssnare kan stödja både HTTP- och HTTPS/TLS-protokoll. Du bör alltid använda en HTTPS- eller TLS-lyssnare, så att lastbalanseraren utför kryptering och dekryptering under överföring.

Allvarlighetsgrad: Medel

Klassiska lastbalanserare bör ha anslutningsdränering aktiverat

Beskrivning: Den här kontrollen kontrollerar om klassiska lastbalanserare har anslutningsdränering aktiverat. Om du aktiverar anslutningsdränering på klassiska lastbalanserare ser du till att lastbalanseraren slutar skicka begäranden till instanser som avregistreras eller inte är felfria. Den håller de befintliga anslutningarna öppna. Detta är användbart för instanser i grupper för automatisk skalning för att säkerställa att anslutningarna inte avbryts plötsligt.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör ha AWS WAF aktiverat

Beskrivning: Den här kontrollen kontrollerar om CloudFront-distributioner är associerade med AWS WAF- eller AWS WAFv2-webb-ACL:er. Kontrollen misslyckas om distributionen inte är associerad med en webb-ACL. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en uppsättning regler, som kallas en webbåtkomstkontrollista (webb-ACL), som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara webbsäkerhetsregler och villkor som du definierar. Se till att din CloudFront-distribution är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör ha loggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om loggning av serveråtkomst är aktiverad på CloudFront-distributioner. Kontrollen misslyckas om åtkomstloggning inte är aktiverad för en distribution. CloudFront-åtkomstloggar innehåller detaljerad information om varje användarbegäran som CloudFront tar emot. Varje logg innehåller information som datum och tid då begäran togs emot, IP-adressen för visningsprogrammet som gjorde begäran, källan till begäran och portnumret för begäran från visningsprogrammet. Dessa loggar är användbara för program som säkerhets- och åtkomstgranskningar och kriminalteknisk undersökning. Mer information om hur du analyserar åtkomstloggar finns i Fråga Amazon CloudFront-loggar i Amazon Athena-användarhandboken.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör kräva kryptering under överföring

Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution kräver att användarna använder HTTPS direkt eller om den använder omdirigering. Kontrollen misslyckas om ViewerProtocolPolicy är inställt på allow-all för defaultCacheBehavior eller för cacheBehaviors. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.

Allvarlighetsgrad: Medel

CloudTrail-loggar ska krypteras i vila med KMS-CMK:er

Beskrivning: Vi rekommenderar att du konfigurerar CloudTrail att använda SSE-KMS. Om du konfigurerar CloudTrail för att använda SSE-KMS får du mer konfidentialitetskontroller för loggdata eftersom en viss användare måste ha läsbehörighet för S3 på motsvarande logg bucket och måste beviljas dekrypteringsbehörighet av CMK-principen.

Allvarlighetsgrad: Medel

Anslutningar till Amazon Redshift-kluster ska krypteras under överföring

Beskrivning: Den här kontrollen kontrollerar om anslutningar till Amazon Redshift-kluster krävs för att använda kryptering under överföring. Kontrollen misslyckas om parametern Amazon Redshift-kluster require_SSL inte är inställd på 1. TLS kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via TLS ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.

Allvarlighetsgrad: Medel

Anslutningar till Elasticsearch-domäner ska krypteras med TLS 1.2

Beskrivning: Den här kontrollen kontrollerar om anslutningar till Elasticsearch-domäner krävs för att använda TLS 1.2. Kontrollen misslyckas om Elasticsearch-domänen TLSSecurityPolicy inte är Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS. TLS 1.2 ger flera säkerhetsförbättringar jämfört med tidigare versioner av TLS.

Allvarlighetsgrad: Medel

DynamoDB-tabeller bör ha återställning till tidpunkt aktiverat

Beskrivning: Den här kontrollen kontrollerar om pitr-återställning (point-in-time) är aktiverat för en Amazon DynamoDB-tabell.

Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De säkerställer också att dina system kan återställas. DynamoDB-återställning till tidpunkt automatiserar säkerhetskopieringar för DynamoDB-tabeller. Det minskar tiden för att återställa från oavsiktliga borttagnings- eller skrivåtgärder.

DynamoDB-tabeller som har PITR aktiverat kan återställas till valfri tidpunkt under de senaste 35 dagarna.

Allvarlighetsgrad: Medel

EBS-standardkryptering ska vara aktiverat

Beskrivning: Den här kontrollen kontrollerar om kryptering på kontonivå är aktiverat som standard för Amazon Elastic Block Store (Amazon EBS). Kontrollen misslyckas om krypteringen på kontonivå inte är aktiverad. När kryptering är aktiverat för ditt konto krypteras Amazon EBS-volymer och kopior av ögonblicksbilder i vila. Detta lägger till ytterligare ett skyddslager för dina data. Mer information finns i Kryptering som standard i Amazon EC2-användarhandboken för Linux-instanser.

Följande instanstyper stöder inte kryptering: R1, C1 och M1.

Allvarlighetsgrad: Medel

Elastic Beanstalk-miljöer bör ha förbättrad hälsorapportering aktiverad

Beskrivning: Den här kontrollen kontrollerar om förbättrad hälsorapportering är aktiverad för dina AWS Elastic Beanstalk-miljöer. Elastic Beanstalk förbättrad hälsorapportering möjliggör ett snabbare svar på ändringar i hälsotillståndet för den underliggande infrastrukturen. Dessa ändringar kan leda till att programmet inte är tillgängligt. Elastic Beanstalk förbättrad hälsorapportering ger en statusbeskrivning för att mäta allvarlighetsgraden för de identifierade problemen och identifiera möjliga orsaker att undersöka. Elastic Beanstalk-hälsoagenten, som ingår i Amazon Machine Images (AMIs) som stöds, utvärderar loggar och mått för EC2-miljöinstanser.

Allvarlighetsgrad: Låg

Elastic Beanstalk-hanterade plattformsuppdateringar ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om hanterade plattformsuppdateringar är aktiverade för Elastic Beanstalk-miljön. Genom att aktivera hanterade plattformsuppdateringar ser du till att de senaste tillgängliga plattformskorrigeringarna, uppdateringarna och funktionerna för miljön installeras. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Hög

Elastiska Load Balancer bör inte ha ACM-certifikatet upphört att gälla eller upphör att gälla om 90 dagar.

Beskrivning: Den här kontrollen identifierar elastiska lastbalanserare (ELB) som använder ACM-certifikat som har upphört att gälla eller upphört att gälla om 90 dagar. AWS Certificate Manager (ACM) är det bästa verktyget för att etablera, hantera och distribuera dina servercertifikat. Med ACM. Du kan begära ett certifikat eller distribuera ett befintligt ACM- eller externt certifikat till AWS-resurser. Som bästa praxis rekommenderar vi att du importerar om utgångna/utgångna certifikat samtidigt som ELB-associationerna för det ursprungliga certifikatet bevaras.

Allvarlighetsgrad: Hög

Elasticsearch-domänfelloggning till CloudWatch-loggar ska vara aktiverad

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner är konfigurerade för att skicka felloggar till CloudWatch-loggar. Du bör aktivera felloggar för Elasticsearch-domäner och skicka loggarna till CloudWatch-loggar för kvarhållning och svar. Domänfelloggar kan hjälpa till med säkerhets- och åtkomstgranskningar och kan hjälpa till att diagnostisera tillgänglighetsproblem.

Allvarlighetsgrad: Medel

Elasticsearch-domäner ska konfigureras med minst tre dedikerade huvudnoder

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre dedikerade huvudnoder. Den här kontrollen misslyckas om domänen inte använder dedikerade huvudnoder. Den här kontrollen skickas om Elasticsearch-domäner har fem dedikerade huvudnoder. Det kan dock vara onödigt att använda fler än tre huvudnoder för att minska tillgänglighetsrisken och leda till högre kostnader. En Elasticsearch-domän kräver minst tre dedikerade huvudnoder för hög tillgänglighet och feltolerans. Dedikerade huvudnodresurser kan vara ansträngda under blå/gröna distributioner av datanoder eftersom det finns fler noder att hantera. Om du distribuerar en Elasticsearch-domän med minst tre dedikerade huvudnoder säkerställs tillräcklig resurskapacitet för huvudnoder och klusteråtgärder om en nod misslyckas.

Allvarlighetsgrad: Medel

Elasticsearch-domäner bör ha minst tre datanoder

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre datanoder och zoneAwarenessEnabled är sant. En Elasticsearch-domän kräver minst tre datanoder för hög tillgänglighet och feltolerans. Om du distribuerar en Elasticsearch-domän med minst tre datanoder säkerställs klusteråtgärder om en nod misslyckas.

Allvarlighetsgrad: Medel

Elasticsearch-domäner bör ha granskningsloggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har granskningsloggning aktiverat. Den här kontrollen misslyckas om en Elasticsearch-domän inte har aktiverat granskningsloggning. Granskningsloggar är mycket anpassningsbara. De gör att du kan spåra användaraktivitet i dina Elasticsearch-kluster, inklusive lyckade och misslyckade autentiseringar, begäranden till OpenSearch, indexändringar och inkommande sökfrågor.

Allvarlighetsgrad: Medel

Förbättrad övervakning bör konfigureras för RDS DB-instanser och kluster

Beskrivning: Den här kontrollen kontrollerar om förbättrad övervakning är aktiverad för dina RDS DB-instanser. I Amazon RDS möjliggör förbättrad övervakning ett snabbare svar på prestandaändringar i den underliggande infrastrukturen. Dessa prestandaändringar kan leda till bristande tillgänglighet för data. Förbättrad övervakning ger realtidsmått för operativsystemet som RDS DB-instansen körs på. En agent installeras på instansen. Agenten kan få mått mer exakt än vad som är möjligt från hypervisor-lagret. Förbättrade övervakningsmått är användbara när du vill se hur olika processer eller trådar på en DB-instans använder processorn. Mer information finns i Utökad övervakning i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

Se till att rotationen för kundskapade CMK:er är aktiverad

Beskrivning: Med AWS nyckelhanteringstjänst (KMS) (KMS) kan kunderna rotera bakgrundsnyckeln, vilket är nyckelmaterial som lagras i KMS som är kopplat till nyckel-ID:t för kundskapad kundhuvudnyckel (CMK). Det är bakgrundsnyckeln som används för att utföra kryptografiska åtgärder som kryptering och dekryptering. Automatisk nyckelrotation behåller för närvarande alla tidigare säkerhetskopieringsnycklar så att dekryptering av krypterade data kan ske transparent. Vi rekommenderar att CMK-nyckelrotation aktiveras. Roterande krypteringsnycklar minskar den potentiella effekten av en komprometterad nyckel eftersom data som krypterats med en ny nyckel inte kan nås med en tidigare nyckel som kan ha exponerats.

Allvarlighetsgrad: Medel

Se till att S3-bucketåtkomstloggning är aktiverad i CloudTrail S3-bucketen

Beskrivning: S3 Bucket Access Logging genererar en logg som innehåller åtkomstposter Se till att S3-bucketåtkomstloggning är aktiverad på CloudTrail S3-bucketen för varje begäran som görs till din S3-bucket. En åtkomstloggpost innehåller information om begäran, till exempel typ av begäran, de resurser som angavs i begäran fungerade och tid och datum då begäran bearbetades. Vi rekommenderar att bucketåtkomstloggning aktiveras på CloudTrail S3-bucketen. Genom att aktivera S3-bucketloggning på mål-S3-bucketar är det möjligt att samla in alla händelser, vilket kan påverka objekt i mål bucketar. Att konfigurera loggar som ska placeras i en separat bucket ger åtkomst till logginformation, vilket kan vara användbart i arbetsflöden för säkerhet och incidenthantering.

Allvarlighetsgrad: Låg

Se till att S3-bucketen som används för att lagra CloudTrail-loggar inte är offentligt tillgänglig

Beskrivning: CloudTrail loggar en post för varje API-anrop som görs i ditt AWS-konto. Dessa loggfiler lagras i en S3-bucket. Vi rekommenderar att bucketprincipen eller åtkomstkontrollistan (ACL) tillämpas på S3-bucketen som CloudTrail loggar för att förhindra offentlig åtkomst till CloudTrail-loggarna. Att tillåta offentlig åtkomst till CloudTrail-logginnehåll kan hjälpa en angripare att identifiera svagheter i det berörda kontots användning eller konfiguration.

Allvarlighetsgrad: Hög

IAM bör inte ha upphört att gälla SSL/TLS-certifikat

Beskrivning: Den här kontrollen identifierar utgångna SSL/TLS-certifikat. Om du vill aktivera HTTPS-anslutningar till din webbplats eller ditt program i AWS behöver du ett SSL/TLS-servercertifikat. Du kan använda ACM eller IAM för att lagra och distribuera servercertifikat. Om du tar bort utgångna SSL/TLS-certifikat elimineras risken för att ett ogiltigt certifikat distribueras av misstag till en resurs, till exempel AWS Elastic Load Balancer (ELB), vilket kan skada programmets/webbplatsens trovärdighet bakom ELB. Den här kontrollen genererar aviseringar om det finns förfallna SSL/TLS-certifikat som lagras i AWS IAM. Vi rekommenderar att du tar bort utgångna certifikat.

Allvarlighetsgrad: Hög

Importerade ACM-certifikat bör förnyas efter en angiven tidsperiod

Beskrivning: Den här kontrollen kontrollerar om ACM-certifikat i ditt konto har markerats för förfallotid inom 30 dagar. Den kontrollerar både importerade certifikat och certifikat som tillhandahålls av AWS Certificate Manager. ACM kan automatiskt förnya certifikat som använder DNS-validering. För certifikat som använder e-postverifiering måste du svara på ett e-postmeddelande för domänverifiering. ACM förnyar inte heller automatiskt certifikat som du importerar. Du måste förnya importerade certifikat manuellt. Mer information om hanterad förnyelse för ACM-certifikat finns i Hanterad förnyelse för ACM-certifikat i användarhandboken för AWS Certificate Manager.

Allvarlighetsgrad: Medel

Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.

Allvarlighetsgrad: Medel

Automatiska delversionsuppgraderingar för RDS ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om automatiska delversionsuppgraderingar är aktiverade för RDS-databasinstansen. Om du aktiverar automatiska delversionsuppgraderingar ser du till att de senaste delversionsuppdateringarna till relationsdatabashanteringssystemet (RDBMS) installeras. Dessa uppgraderingar kan omfatta säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Hög

Ögonblicksbilder av RDS-kluster och ögonblicksbilder av databaser ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om RDS DB-ögonblicksbilder är krypterade. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för ögonblicksbilder av Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Om vilande data krypteras minskar risken för att en oautentiserad användare får åtkomst till data som lagras på disken. Data i RDS-ögonblicksbilder ska krypteras i vila för ett extra säkerhetslager.

Allvarlighetsgrad: Medel

RDS-kluster bör ha borttagningsskydd aktiverat

Beskrivning: Den här kontrollen kontrollerar om RDS-kluster har borttagningsskydd aktiverat. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Att aktivera skydd mot borttagning av kluster är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. När borttagningsskydd är aktiverat går det inte att ta bort ett RDS-kluster. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.

Allvarlighetsgrad: Låg

RDS DB-kluster bör konfigureras för flera Availability Zones

Beskrivning: RDS DB-kluster ska konfigureras för flera data som lagras. Distribution till flera Availability Zones gör det möjligt att automatisera Availability Zones för att säkerställa tillgängligheten för redundans vid tillgänglighetsproblem i tillgänglighetszonen och under regelbundna underhållshändelser för FJÄRRS.

Allvarlighetsgrad: Medel

RDS DB-kluster ska konfigureras för att kopiera taggar till ögonblicksbilder

Beskrivning: Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-kluster så att du kan utvärdera deras säkerhetsstatus och agera på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databaskluster. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för deras överordnade databaskluster.

Allvarlighetsgrad: Låg

RDS DB-instanser bör konfigureras för att kopiera taggar till ögonblicksbilder

Beskrivning: Den här kontrollen kontrollerar om RDS DB-instanser har konfigurerats för att kopiera alla taggar till ögonblicksbilder när ögonblicksbilderna skapas. Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-instanser så att du kan utvärdera deras säkerhetsstatus och vidta åtgärder på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databasinstanser. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för sina överordnade databasinstanser.

Allvarlighetsgrad: Låg

RDS DB-instanser ska konfigureras med flera Availability Zones

Beskrivning: Den här kontrollen kontrollerar om hög tillgänglighet är aktiverad för dina RDS DB-instanser. RDS DB-instanser bör konfigureras för flera Availability Zones (AZs). Detta säkerställer tillgängligheten för lagrade data. Multi-AZ-distributioner möjliggör automatisk redundans om det finns ett problem med tillgänglighetszonens tillgänglighet och under regelbundet RDS-underhåll.

Allvarlighetsgrad: Medel

RDS DB-instanser bör ha borttagningsskydd aktiverat

Beskrivning: Den här kontrollen kontrollerar om dina RDS DB-instanser som använder någon av databasmotorerna i listan har borttagningsskydd aktiverat. Att aktivera skydd mot borttagning av instanser är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. Borttagningsskydd är aktiverat, men det går inte att ta bort en RDS DB-instans. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.

Allvarlighetsgrad: Låg

RDS DB-instanser bör ha kryptering i vila aktiverat

Beskrivning: Den här kontrollen kontrollerar om lagringskryptering är aktiverat för dina Amazon RDS DB-instanser. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. För ett extra säkerhetslager för känsliga data i RDS DB-instanser bör du konfigurera rds db-instanserna så att de krypteras i vila. Om du vill kryptera RDS DB-instanser och ögonblicksbilder i vila aktiverar du krypteringsalternativet för dina RDS DB-instanser. Data som krypteras i vila inkluderar den underliggande lagringen för DB-instanser, dess automatiserade säkerhetskopior, läsrepliker och ögonblicksbilder. RDS-krypterade DB-instanser använder den öppna standardalgoritmen för AES-256-kryptering för att kryptera dina data på servern som är värd för dina RDS DB-instanser. När dina data har krypterats hanterar Amazon RDS autentisering av åtkomst och dekryptering av dina data transparent med minimal påverkan på prestanda. Du behöver inte ändra databasklientprogram för att använda kryptering. Amazon RDS-kryptering är för närvarande tillgängligt för alla databasmotorer och lagringstyper. Amazon RDS-kryptering är tillgängligt för de flesta DB-instansklasser. Information om DB-instansklasser som inte stöder Amazon RDS-kryptering finns i Kryptera Amazon RDS-resurser i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Medel

RDS DB-instanser bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar att du också ser till att åtkomsten till RDS-instansens konfiguration begränsas till endast behöriga användare genom att begränsa användarnas IAM-behörigheter för att ändra INSTÄLLNINGAR och resurser för RDS-instanser.

Allvarlighetsgrad: Hög

RDS-ögonblicksbilder bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar att du endast tillåter auktoriserade huvudkonton att komma åt ögonblicksbilden och ändra Amazon RDS-konfigurationen.

Allvarlighetsgrad: Hög

Ta bort oanvända HemligheterHanterarens hemligheter

Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har använts inom ett angivet antal dagar. Standardvärdet är 90 dagar. Om en hemlighet inte användes inom det definierade antalet dagar misslyckas den här kontrollen. Det är lika viktigt att ta bort oanvända hemligheter som att rotera hemligheter. Oanvända hemligheter kan missbrukas av sina tidigare användare, som inte längre behöver åtkomst till dessa hemligheter. När fler användare får åtkomst till en hemlighet kan någon också ha misskött och läckt den till en obehörig entitet, vilket ökar risken för missbruk. Om du tar bort oanvända hemligheter kan du återkalla hemlig åtkomst från användare som inte längre behöver den. Det hjälper också till att minska kostnaden för att använda Secrets Manager. Därför är det viktigt att rutinmässigt ta bort oanvända hemligheter.

Allvarlighetsgrad: Medel

S3-bucketar ska ha replikering mellan regioner aktiverad

Beskrivning: Om du aktiverar S3-replikering mellan regioner ser du till att flera versioner av data är tillgängliga i olika olika regioner. På så sätt kan du skydda din S3-bucket mot DDoS-attacker och skadade datahändelser.

Allvarlighetsgrad: Låg

S3-bucketar ska ha kryptering på serversidan aktiverat

Beskrivning: Aktivera kryptering på serversidan för att skydda data i dina S3-bucketar. Kryptering av data kan förhindra åtkomst till känsliga data i händelse av ett dataintrång.

Allvarlighetsgrad: Medel

Secrets Manager-hemligheter som konfigurerats med automatisk rotation bör roteras korrekt

Beskrivning: Den här kontrollen kontrollerar om en AWS Secrets Manager-hemlighet roterades korrekt baserat på rotationsschemat. Kontrollen misslyckas om RotationOccurringAsScheduled är falskt. Kontrollen utvärderar inte hemligheter som inte har rotation konfigurerats. Secrets Manager hjälper dig att förbättra organisationens säkerhetsstatus. Hemligheter inkluderar databasautentiseringsuppgifter, lösenord och API-nycklar från tredje part. Du kan använda Secrets Manager för att lagra hemligheter centralt, kryptera hemligheter automatiskt, kontrollera åtkomsten till hemligheter och rotera hemligheter på ett säkert och automatiskt sätt. Secrets Manager kan rotera hemligheter. Du kan använda rotation för att ersätta långsiktiga hemligheter med kortsiktiga. Om du roterar dina hemligheter begränsas hur länge en obehörig användare kan använda en komprometterad hemlighet. Därför bör du rotera dina hemligheter ofta. Förutom att konfigurera hemligheter att rotera automatiskt bör du se till att hemligheterna roterar korrekt baserat på rotationsschemat. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.

Allvarlighetsgrad: Medel

Secrets Manager-hemligheter ska roteras inom ett angivet antal dagar

Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har roterats minst en gång inom 90 dagar. Genom att rotera hemligheter kan du minska risken för obehörig användning av dina hemligheter i ditt AWS-konto. Exempel är databasautentiseringsuppgifter, lösenord, API-nycklar från tredje part och till och med godtycklig text. Om du inte ändrar dina hemligheter under en längre tid är det mer troligt att hemligheterna komprometteras. När fler användare får åtkomst till en hemlighet kan det bli mer troligt att någon misskötte och läckte den till en obehörig entitet. Hemligheter kan läcka via loggar och cachedata. De kan delas i felsökningssyfte och inte ändras eller återkallas när felsökningen har slutförts. Av alla dessa skäl bör hemligheter roteras ofta. Du kan konfigurera dina hemligheter för automatisk rotation i AWS Secrets Manager. Med automatisk rotation kan du ersätta långsiktiga hemligheter med kortsiktiga, vilket avsevärt minskar risken för kompromisser. Security Hub rekommenderar att du aktiverar rotation för hemligheterna i Secrets Manager. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.

Allvarlighetsgrad: Medel

Beskrivning: Den här kontrollen kontrollerar om ett SNS-ämne krypteras i vila med hjälp av AWS KMS. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger också till en annan uppsättning åtkomstkontroller för att begränsa möjligheten för obehöriga användare att komma åt data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. SNS-ämnen ska krypteras i vila för ett extra säkerhetslager. Mer information finns i Kryptering i vila i utvecklarguiden för Amazon Simple Notification Service.

Allvarlighetsgrad: Medel

VPC-flödesloggning ska vara aktiverad i alla virtuella datorer

Beskrivning: VPC-flödesloggar ger insyn i nätverkstrafik som passerar genom VPC och kan användas för att identifiera avvikande trafik eller insikter under säkerhetshändelser.

Allvarlighetsgrad: Medel

GCP-datarekommendationer

Se till att databasflaggan "3625 (spårningsflagga)" för Cloud SQL SQL Server instans är inställd på "off"

Description: Vi rekommenderar att du ställer in databasflaggan "3625 (spårningsflagga)" för Cloud SQL SQL Server instans till "off". Spårningsflaggor används ofta för att diagnostisera prestandaproblem eller för att felsöka lagrade procedurer eller komplexa datorsystem, men de kan också rekommenderas av Microsoft Support för att åtgärda beteende som påverkar en viss arbetsbelastning negativt. Alla dokumenterade spårningsflaggor och de som rekommenderas av Microsoft Support stöds fullt ut i en produktionsmiljö när de används enligt anvisningarna. "3625(spårningslogg)" Begränsar mängden information som returneras till användare som inte är medlemmar i den fasta sysadmin-serverrollen genom att maskera parametrarna för vissa felmeddelanden med hjälp av "******". Detta kan bidra till att förhindra att känslig information avslöjas. Därför rekommenderar vi att du inaktiverar den här flaggan. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Medel

Se till att databasflaggan "externa skript aktiverat" för Cloud SQL SQL Server-instansen är inställd på "off"

Description: Vi rekommenderar att du ställer in databasflaggan "externa skript aktiverade" för Cloud SQL SQL Server instans till av. Med "externa skript aktiverade" kan skript köras med vissa fjärrspråkstillägg. Den här egenskapen är AV som standard. När Advanced Analytics Services har installerats kan du välja att ange den här egenskapen till true. Eftersom funktionen "Externa skript aktiverade" tillåter att skript utanför SQL, till exempel filer som finns i ett R-bibliotek, körs, vilket kan påverka systemets säkerhet negativt, bör detta därför inaktiveras. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Hög

Se till att databasflaggan "fjärråtkomst" för Cloud SQL SQL Server-instansen är inställd på "off"

Description: Vi rekommenderar att du ställer in databasflaggan "fjärråtkomst" för Cloud SQL SQL Server-instansen till "off." Alternativet "fjärråtkomst" styr körningen av lagrade procedurer från lokala servrar eller fjärrservrar där instanser av SQL Server körs. Det här standardvärdet för det här alternativet är 1. Detta ger behörighet att köra lokala lagrade procedurer från fjärrservrar eller fjärrlagrade procedurer från den lokala servern. För att förhindra att lokala lagrade procedurer körs från en fjärrserver eller fjärranslutna procedurer från att köras på den lokala servern måste detta inaktiveras. Alternativet Fjärråtkomst styr körningen av lokala lagrade procedurer på fjärrservrar eller fjärranslutna procedurer på den lokala servern. Funktionen "Fjärråtkomst" kan missbrukas för att starta en DoS-attack (Denial-of-Service) på fjärrservrar genom att avinläsning av frågebearbetning till ett mål, därför bör detta inaktiveras. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Hög

Kontrollera att databasflaggan "skip_show_database" för Cloud SQL Mysql-instansen är inställd på "på"

Beskrivning: Vi rekommenderar att du anger databasflaggan "skip_show_database" för Cloud SQL Mysql-instansen till "på". Databasflaggan "skip_show_database" hindrar personer från att använda SHOW DATABASES-instruktionen om de inte har behörigheten SHOW DATABASES. Detta kan förbättra säkerheten om du är orolig för att användare ska kunna se databaser som tillhör andra användare. Dess effekt beror på SHOW DATABASES-behörigheten: Om variabelvärdet är PÅ tillåts SHOW DATABASES-instruktionen endast för användare som har behörigheten SHOW DATABASES, och instruktionen visar alla databasnamn. Om värdet är AV tillåts SHOW DATABASES för alla användare, men visar bara namnen på de databaser som användaren har SHOW DATABASES eller annan behörighet för. Den här rekommendationen gäller för Mysql-databasinstanser.

Allvarlighetsgrad: Låg

Kontrollera att en standardkundhanterad krypteringsnyckel (CMEK) har angetts för alla BigQuery-datauppsättningar

Beskrivning: BigQuery krypterar som standard data i vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Data krypteras med hjälp av datakrypteringsnycklarna och själva datakrypteringsnycklarna krypteras ytterligare med hjälp av nyckelkrypteringsnycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. Men om du vill ha större kontroll kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. BigQuery krypterar som standard data som vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. För större kontroll över krypteringen kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. Om du anger en cmek (Default Customer-managed encryption key) för en datauppsättning ser du till att alla tabeller som skapas i framtiden använder den angivna CMEK:en om ingen annan tillhandahålls.

Google lagrar inte dina nycklar på sina servrar och kan inte komma åt dina skyddade data om du inte anger nyckeln.

Det innebär också att om du glömmer eller förlorar din nyckel finns det inget sätt för Google att återställa nyckeln eller återställa data som krypterats med den förlorade nyckeln.

Allvarlighetsgrad: Medel

Kontrollera att alla BigQuery-tabeller är krypterade med kundhanterad krypteringsnyckel (CMEK)

Beskrivning: BigQuery krypterar som standard data i vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Data krypteras med hjälp av datakrypteringsnycklarna och själva datakrypteringsnycklarna krypteras ytterligare med hjälp av nyckelkrypteringsnycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. Men om du vill ha större kontroll kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. Om CMEK används används CMEK för att kryptera datakrypteringsnycklarna i stället för att använda Google-hanterade krypteringsnycklar. BigQuery krypterar som standard data som vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. För större kontroll över krypteringen kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery-tabeller. CMEK används för att kryptera datakrypteringsnycklarna i stället för att använda google-hanterade krypteringsnycklar. BigQuery lagrar tabellen och CMEK-associationen och krypteringen/dekrypteringen görs automatiskt. Om du tillämpar standardkundhanterade nycklar på BigQuery-datauppsättningar ser du till att alla nya tabeller som skapas i framtiden krypteras med cmek, men befintliga tabeller måste uppdateras för att kunna använda CMEK individuellt.

Google lagrar inte dina nycklar på sina servrar och kan inte komma åt dina skyddade data om du inte anger nyckeln. Det innebär också att om du glömmer eller förlorar din nyckel finns det inget sätt för Google att återställa nyckeln eller återställa data som krypterats med den förlorade nyckeln.

Allvarlighetsgrad: Medel

Se till att BigQuery-datauppsättningar inte är anonymt eller offentligt tillgängliga

Beskrivning: Vi rekommenderar att IAM-principen för BigQuery-datauppsättningar inte tillåter anonym och/eller offentlig åtkomst. Genom att bevilja behörigheter till allaAnvändare eller allaAuthenticatedUsers kan vem som helst komma åt datauppsättningen. Sådan åtkomst kanske inte är önskvärd om känsliga data lagras i datamängden. Se därför till att anonym och/eller offentlig åtkomst till en datauppsättning inte tillåts.

Allvarlighetsgrad: Hög

Kontrollera att Cloud SQL-databasinstanser har konfigurerats med automatiserade säkerhetskopieringar

Beskrivning: Vi rekommenderar att alla SQL-databasinstanser är inställda för att aktivera automatiserade säkerhetskopieringar. Säkerhetskopior är ett sätt att återställa en Cloud SQL-instans för att återställa förlorade data eller återställa från ett problem med den instansen. Automatiserade säkerhetskopior måste ställas in för alla instanser som innehåller data som ska skyddas mot förlust eller skada. Den här rekommendationen gäller för instanser av SQL Server, PostgreSql, MySql generation 1 och MySql generation 2.

Allvarlighetsgrad: Hög

Se till att Sql-molndatabasinstanser inte är öppna för världen

Beskrivning: Databasservern bör endast acceptera anslutningar från betrodda nätverk/IP-adresser och begränsa åtkomsten från världen. För att minimera attackytan på en databasserverinstans bör endast betrodda/kända och nödvändiga IP-adresser godkännas för att ansluta till den. Ett auktoriserat nätverk bör inte ha IP-adresser/nätverk konfigurerade till 0.0.0.0/0, vilket ger åtkomst till instansen var som helst i världen. Observera att auktoriserade nätverk endast gäller för instanser med offentliga IP-adresser.

Allvarlighetsgrad: Hög

Kontrollera att Cloud SQL-databasinstanser inte har offentliga IP-adresser

Beskrivning: Vi rekommenderar att du konfigurerar andra generationens Sql-instans för att använda privata IP-adresser i stället för offentliga IP-adresser. För att minska organisationens attackyta bör Cloud SQL-databaser inte ha offentliga IP-adresser. Privata IP-adresser ger förbättrad nätverkssäkerhet och kortare svarstid för ditt program.

Allvarlighetsgrad: Hög

Se till att Cloud Storage-bucketen inte är anonymt eller offentligt tillgänglig

Beskrivning: Vi rekommenderar att IAM-principen i Cloud Storage-bucketen inte tillåter anonym eller offentlig åtkomst. Om du tillåter anonym eller offentlig åtkomst får vem som helst behörighet att komma åt bucketinnehåll. Sådan åtkomst kanske inte önskas om du lagrar känsliga data. Se därför till att anonym eller offentlig åtkomst till en bucket inte tillåts.

Allvarlighetsgrad: Hög

Se till att Cloud Storage-bucketar har enhetlig åtkomst på bucketnivå aktiverat

Beskrivning: Vi rekommenderar att enhetlig åtkomst på bucketnivå aktiveras på Cloud Storage-bucketar. Vi rekommenderar att du använder enhetlig åtkomst på bucketnivå för att förena och förenkla hur du beviljar åtkomst till dina Cloud Storage-resurser. Cloud Storage erbjuder två system för att ge användare behörighet att komma åt dina bucketar och objekt: Cloud Identity and Access Management (Cloud IAM) och Access Control Lists (ACL).
Dessa system fungerar parallellt – för att en användare ska få åtkomst till en Molnlagringsresurs behöver bara ett av systemen bevilja användaren behörighet. Moln-IAM används i hela Google Cloud och gör att du kan bevilja en mängd olika behörigheter på bucket- och projektnivå. ACL:er används endast av Cloud Storage och har begränsade behörighetsalternativ, men de gör att du kan bevilja behörigheter per objekt.

För att stödja ett enhetligt behörighetssystem har Cloud Storage enhetlig åtkomst på bucketnivå. Med den här funktionen inaktiveras ACL:er för alla Cloud Storage-resurser: åtkomst till Cloud Storage-resurser beviljas sedan exklusivt via Cloud IAM. Om du aktiverar enhetlig åtkomst på bucketnivå garanteras att inget objekt i bucketen är offentligt tillgängligt om en lagringshink inte är offentligt tillgänglig.

Allvarlighetsgrad: Medel

Kontrollera att beräkningsinstanser har konfidentiell databehandling aktiverat

Beskrivning: Google Cloud krypterar vilande data och under överföring, men kunddata måste dekrypteras för bearbetning. Konfidentiell databehandling är en banbrytande teknik som krypterar data som används medan de bearbetas. Miljöer för konfidentiell databehandling håller data krypterade i minnet och på andra platser utanför den centrala bearbetningsenheten (CPU). Konfidentiella virtuella datorer använder funktionen Säker krypterad virtualisering (SEV) i AMD EPYC-processorer. Kunddata förblir krypterade när de används, indexeras, efterfrågas eller tränas på. Krypteringsnycklar genereras i maskinvara, per virtuell dator och kan inte exporteras. Tack vare inbyggda maskinvaruoptimeringar av både prestanda och säkerhet finns det ingen betydande prestandaförseelse för konfidentiella databehandlingsarbetsbelastningar. Med konfidentiell databehandling kan kundernas känsliga kod och andra data krypteras i minnet under bearbetningen. Google har inte åtkomst till krypteringsnycklarna. Konfidentiell virtuell dator kan hjälpa till att minska oron för risker relaterade till antingen beroende av Googles infrastruktur eller Google Insiders åtkomst till kunddata i klartext.

Allvarlighetsgrad: Hög

Se till att kvarhållningsprinciper på logg bucketar har konfigurerats med bucketlås

Beskrivning: Om du aktiverar kvarhållningsprinciper på logg bucketar skyddas loggar som lagras i molnlagrings bucketar från att skrivas över eller tas bort av misstag. Vi rekommenderar att du konfigurerar kvarhållningsprinciper och konfigurerar Bucket Lock på alla lagringshink som används som loggmottagare. Loggar kan exporteras genom att skapa en eller flera mottagare som innehåller ett loggfilter och ett mål. När Stackdriver Logging tar emot nya loggposter jämförs de med varje mottagare. Om en loggpost matchar filtret för en mottagare skrivs en kopia av loggposten till målet. Mottagare kan konfigureras för att exportera loggar i lagrings bucketar. Vi rekommenderar att du konfigurerar en datakvarhållningsprincip för dessa molnlagrings bucketar och låser principen för datakvarhållning. och därmed permanent förhindra att policyn reduceras eller tas bort. På så sätt, om systemet någonsin komprometteras av en angripare eller en obehörig insider som vill täcka sina spår, bevaras aktivitetsloggarna definitivt för kriminaltekniska och säkerhetsundersökningar.

Allvarlighetsgrad: Låg

Kontrollera att Cloud SQL-databasinstansen kräver att alla inkommande anslutningar använder SSL

Beskrivning: Vi rekommenderar att du framtvingar alla inkommande anslutningar till SQL-databasinstansen för att använda SSL. SQL-databasanslutningar om de har fastnat (MITM); kan avslöja känsliga data som autentiseringsuppgifter, databasfrågor, frågeutdata osv. För säkerhet rekommenderar vi att du alltid använder SSL-kryptering när du ansluter till din instans. Den här rekommendationen gäller för Instanser av Postgresql, MySql generation 1 och MySql generation 2.

Allvarlighetsgrad: Hög

Kontrollera att databasflaggan "innesluten databasautentisering" för Cloud SQL på SQL Server-instansen är inställd på "off"

Description: Vi rekommenderar att du anger databasflaggan "innesluten databasautentisering" för Cloud SQL på SQL Server-instansen är inställd på "av." En innesluten databas innehåller alla databasinställningar och metadata som krävs för att definiera databasen och har inga konfigurationsberoenden för instansen av Database Engine där databasen är installerad. Användare kan ansluta till databasen utan att autentisera en inloggning på Database Engine nivå. Genom att isolera databasen från Database Engine kan du enkelt flytta databasen till en annan instans av SQL Server. Inneslutna databaser har vissa unika hot som bör förstås och minimeras av Databasmotor för SQL Server administratörer. De flesta hoten är relaterade till autentiseringsprocessen ANVÄNDARE MED LÖSENORD, vilket flyttar autentiseringsgränsen från Database Engine-nivån till databasnivån. Därför rekommenderas att du inaktiverar den här flaggan. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "kors db ownership chaining" för Cloud SQL SQL Server-instansen är inställd på "off"

Description: Vi rekommenderar att du anger databasflaggan "kors db ownership chaining" för Cloud SQL SQL Server instans till "off". Använd alternativet "korsdatabasägarskap" för att konfigurera ägarkoppling mellan databaser för en instans av Microsoft SQL Server. Med det här serveralternativet kan du styra korsdatabasägarlänkning på databasnivå eller tillåta korsdatabasägarkoppling för alla databaser. Aktivering av "korsdatabasägarskap" rekommenderas inte om inte alla databaser som hanteras av instansen av SQL Server måste delta i länkning av ägarskap mellan databaser och du är medveten om säkerhetskonsekvenserna av den här inställningen. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "local_infile" för en Sql Mysql-instans i molnet är inställd på "off"

Beskrivning: Vi rekommenderar att du ställer in local_infile databasflaggan för en Cloud SQL MySQL-instans till av. Flaggan local_infile styr lokal kapacitet på serversidan för LOAD DATA-instruktioner. Beroende på inställningen local_infile nekar eller tillåter servern lokal datainläsning av klienter som har LOCAL aktiverat på klientsidan. Börja med att inaktivera local_infile för att uttryckligen göra så att servern nekar LOKALA LOAD DATA-instruktioner (oavsett hur klientprogram och bibliotek konfigureras vid byggtid eller körning mysqld ). local_infile kan också ställas in vid körning. På grund av säkerhetsproblem som är associerade med flaggan local_infile rekommenderar vi att du inaktiverar den. Den här rekommendationen gäller för MySQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att loggmåttfiltret och aviseringarna finns för ändringar av IAM-behörigheter för Cloud Storage

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för Cloud Storage Bucket IAM-ändringar. Övervakning av ändringar i molnlagrings bucketbehörigheter kan minska den tid som krävs för att identifiera och korrigera behörigheter för känsliga molnlagrings bucketar och objekt i bucketen.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för konfigurationsändringar för SQL-instanser

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för konfigurationsändringar för SQL-instanser. Övervakning av ändringar i SQL-instanskonfigurationsändringar kan minska den tid som krävs för att identifiera och korrigera felkonfigurationer som görs på SQL-servern. Nedan visas några av de konfigurerbara alternativen som kan påverka säkerhetsstatusen för en SQL-instans:

Aktivera automatiska säkerhetskopieringar och hög tillgänglighet: Felkonfiguration kan påverka affärskontinuitet, haveriberedskap och hög tillgänglighet negativt
Auktorisera nätverk: Felkonfiguration kan öka exponeringen för ej betrodda nätverk

Allvarlighetsgrad: Låg

Se till att det bara finns GCP-hanterade tjänstkontonycklar för varje tjänstkonto

Beskrivning: Användarhanterade tjänstkonton ska inte ha användarhanterade nycklar. Alla som har åtkomst till nycklarna kommer att kunna komma åt resurser via tjänstkontot. GCP-hanterade nycklar används av molnplattformstjänster som App Engine och Compute Engine. Dessa nycklar kan inte laddas ned. Google behåller nycklarna och roterar dem automatiskt ungefär varje vecka. Användarhanterade nycklar skapas, kan laddas ned och hanteras av användare. De löper ut 10 år från skapandet. För användarhanterade nycklar måste användaren ta över ägarskapet för viktiga hanteringsaktiviteter, bland annat:

Nyckellagring
Nyckeldistribution
Återkallande av nycklar
Nyckelrotation
Nyckelskydd mot obehöriga användare
Nyckelåterställning

Även med viktiga försiktighetsåtgärder för ägare kan nycklar lätt läckas av mindre än optimala vanliga utvecklingsmetoder som att kontrollera nycklar i källkoden eller lämna dem i katalogen Nedladdningar eller oavsiktligt lämna dem på supportbloggar/kanaler. Vi rekommenderar att du förhindrar användarhanterade tjänstkontonycklar.

Allvarlighetsgrad: Låg

Se till att databasflaggan "användaranslutningar" för Cloud SQL SQL Server instans har angetts efter behov

Description: Vi rekommenderar att du anger databasflaggan "användaranslutningar" för Cloud SQL SQL Server instans enligt organisationsdefinierat värde. Alternativet "användaranslutningar" anger det maximala antalet samtidiga användaranslutningar som tillåts på en instans av SQL Server. Det faktiska antalet tillåtna användaranslutningar beror också på vilken version av SQL Server som du använder, och även gränserna för ditt program eller program och maskinvara. SQL Server tillåter högst 32 767 användaranslutningar. Eftersom användaranslutningar är ett dynamiskt alternativ (självkonfigurering) justerar SQL Server det maximala antalet användaranslutningar automatiskt efter behov, upp till det högsta tillåtna värdet. Om till exempel bara 10 användare är inloggade allokeras 10 användaranslutningsobjekt. I de flesta fall behöver du inte ändra värdet för det här alternativet. Standardvärdet är 0, vilket innebär att de maximala (32 767) användaranslutningarna tillåts. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Låg

Se till att databasflaggan "användaralternativ" för Cloud SQL SQL Server-instansen inte har konfigurerats

Description: Vi rekommenderar att databasflaggan "användaralternativ" för Cloud SQL SQL Server instans inte konfigureras. Alternativet "användaralternativ" anger globala standardvärden för alla användare. En lista över standardalternativ för frågebearbetning upprättas under en användares arbetssession. Med inställningen användaralternativ kan du ändra standardvärdena för SET-alternativen (om serverns standardinställningar inte är lämpliga). En användare kan åsidosätta dessa standardvärden med hjälp av SET-instruktionen. Du kan konfigurera användaralternativ dynamiskt för nya inloggningar. När du har ändrat inställningen för användaralternativ använder nya inloggningssessioner den nya inställningen. aktuella inloggningssessioner påverkas inte. Den här rekommendationen gäller för SQL Server databasinstanser.

Allvarlighetsgrad: Låg

Loggning för GKE-kluster ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar om egenskapen loggingService för ett kluster innehåller den plats som Molnloggning ska använda för att skriva loggar.

Allvarlighetsgrad: Hög

Objektversionshantering ska aktiveras på lagrings bucketar där mottagare konfigureras

Beskrivning: Den här rekommendationen utvärderar om det aktiverade fältet i bucketens versionsegenskap är inställt på true.

Allvarlighetsgrad: Hög

Överetablerade identiteter i projekt bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i projekt bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.

Allvarlighetsgrad: Medel

Projekt som har kryptografiska nycklar bör inte ha användare med ägarbehörighet

Beskrivning: Den här rekommendationen utvärderar IAM-tillåtna principer i projektmetadata för huvudnamn tilldelade roller/ägare.

Allvarlighetsgrad: Medel

Lagrings bucketar som används som en loggmottagare bör inte vara offentligt tillgängliga

Beskrivning: Den här rekommendationen utvärderar IAM-principen för en bucket för huvudnamnen allUsers eller allAuthenticatedUsers, som beviljar offentlig åtkomst.

Allvarlighetsgrad: Hög

Geo-redundanta säkerhetskopieringar ska vara aktiverade för PostgreSQL-servrar

Beskrivning:
Vad är geo-redundant säkerhetskopiering? Geo-redundant säkerhetskopiering replikerar serversäkerhetskopior till en länkad Azure region, vilket ger motståndskraft mot regionala fel.

Varför är det ett säkerhetsproblem? Om geo-redundanta säkerhetskopieringar inaktiveras kan ett regionalt avbrott leda till dataförlust och längre driftstopp, vilket påverkar tillgängligheten och efterlevnaden.

Hur kan angripare utnyttja det eller hur kan det leda till dataintrång? Även om den inte är direkt exploaterbar ökar bristen på geo-redundans effekterna av katastrofer eller riktade attacker på en enda region.

Allvarlighetsgrad: Låg

require_secure_transport ska anges till on för Azure Database for PostgreSQL servrar

Beskrivning:
Vad är require_secure_transport? require_secure_transport är en parameter på servernivå som framtvingar användning av SSL/TLS för alla klientanslutningar till PostgreSQL. När det är inställt på på måste klienterna ansluta med krypterade kanaler.

Varför är det ett säkerhetsproblem? Om den här inställningen är inaktiverad (av) kan klienter ansluta via okrypterade kanaler och exponera känsliga data som autentiseringsuppgifter, frågor och resultat för avlyssning eller manipulering.

Hur kan angripare utnyttja det eller hur kan det leda till dataintrång? En angripare i nätverket kan utföra en man-in-the-middle-attack, fånga upp eller ändra data som utbyts mellan klienten och servern om kryptering inte tillämpas.

Allvarlighetsgrad: Hög

Privat slutpunkt ska konfigureras för Azure Database for PostgreSQL servrar

Beskrivning:

Vad är en privat slutpunkt? En privat slutpunkt i Azure gör att resurser kan nås på ett säkert sätt via en privat IP-adress i ett virtuellt nätverk. För Azure Database for PostgreSQL servrar säkerställer konfigurationen av en privat slutpunkt att databastrafiken inte passerar det offentliga Internet.

Varför är det ett säkerhetsproblem? Utan en privat slutpunkt kan servern exponeras för offentlig nätverksåtkomst, vilket ökar risken för obehörig åtkomst, dataavlyssning och överbelastningsattacker.

Hur kan angripare utnyttja det eller hur kan det leda till dataintrång? En angripare kan genomsöka offentliga IP-intervall för att identifiera exponerade servrar och försöka råstyrkeattacker eller exploateringsbaserade attacker. Offentlig exponering ökar också risken för dataexfiltrering via komprometterade klienter.

Allvarlighetsgrad: Hög

"Tillåt åtkomst till Azure tjänster" ska inaktiveras för PostgreSQL-servrar

Beskrivning:

Vad är "Tillåt åtkomst till Azure tjänster"? Den här inställningen skapar en brandväggsregel som tillåter alla Azure tjänster att ansluta till PostgreSQL-servern. Även om det är praktiskt medför det betydande risker genom att tillåta anslutningar från alla Azure prenumerationer.

Varför är det ett säkerhetsproblem? Om du aktiverar den här inställningen kringgås kontroller för nätverksisolering, vilket kan utsätta databasen för obehörig åtkomst från externa Azure klienter.

Hur kan angripare utnyttja det eller hur kan det leda till dataintrång? En angripare som arbetar från en annan Azure prenumeration kan försöka råstyrkeattacker eller sårbarheter om den här regeln är aktiverad.

Allvarlighetsgrad: Hög

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-15

Dela via

Rekommendationer för datasäkerhet

Azure datarekommendationer

Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk

(Aktivera om det behövs) Azure Cosmos DB konton ska använda kundhanterade nycklar för att kryptera vilande data

(Aktivera om det behövs) Azure Machine Learning arbetsytor ska krypteras med en kundhanterad nyckel (CMK)

Azure SQL Database ska köra TLS version 1.2 eller senare

Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk

Cosmos DB-konton bör använda privat länk

(Aktivera om det behövs) MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

(Aktivera om det behövs) PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

(Aktivera om det behövs) SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data

(Aktivera om det behövs) SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

(Aktivera om det behövs) Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering

Offentlig åtkomst för lagringskonto bör inte tillåtas

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser

Alla typer av avancerat hotskydd bör aktiveras i de avancerade inställningarna för datasäkerhet på SQL-servern

API Management-tjänster bör använda ett virtuellt nätverk

Appkonfiguration bör använda privat länk

Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar

Granskning på SQL-servern ska vara aktiverad

Automatisk etablering av Log Analytics-agenten ska aktiveras för prenumerationer

Azure Cache for Redis bör finnas i ett virtuellt nätverk

Azure Database for MySQL bör ha en Microsoft Entra administratör etablerad

Azure Database for PostgreSQL bör ha en Microsoft Entra administratör etablerad

Azure Database for PostgreSQL flexibel server bör endast ha Microsoft Entra autentisering aktiverat

Azure Cosmos DB konton ska ha brandväggsregler

Azure Event Grid domäner ska använda privat länk

Azure Event Grid ämnen bör använda privat länk

Azure Machine Learning arbetsytor ska använda privat länk

Azure SignalR Service bör använda privat länk

Azure Spring Cloud bör använda nätverksinmatning

SQL-servrar bör ha en Microsoft Entra administratör etablerad

Autentiseringsläget för Azure Synapse arbetsyta ska endast vara Microsoft Entra ID

Kodlagringsplatser bör ha kodgenomsökningsresultat lösta

Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta

Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta

Cognitive Services-konton bör aktivera datakryptering

Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering

Diagnostikloggar i Azure Data Lake Store ska vara aktiverade

Diagnostikloggar i Data Lake Analytics ska vara aktiverade

E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat

E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras

Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar

Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar

Funktionsappar bör lösa sårbarhetsresultat

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL

Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL

GitHub lagringsplatser ska ha kodgenomsökning aktiverat

GitHub lagringsplatser ska ha Dependabot-genomsökning aktiverat

GitHub lagringsplatser ska ha hemlig genomsökning aktiverat

Microsoft Defender för Azure SQL Database servrar ska vara aktiverade

Microsoft Defender för DNS ska vara aktiverat

Microsoft Defender för relationsdatabaser med öppen källkod ska vara aktiverade

Microsoft Defender för Resource Manager ska vara aktiverat

Microsoft Defender för SQL på datorer ska aktiveras på arbetsytor

Microsoft Defender för SQL-servrar på datorer ska aktiveras

Microsoft Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar

Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL-hanterade instanser

Microsoft Defender för Lagring ska vara aktiverat

Network Watcher ska vara aktiverat

Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade

Privat slutpunkt ska vara aktiverad för MariaDB-servrar

Privat slutpunkt ska vara aktiverad för MySQL-servrar

Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar

Åtkomst till offentligt nätverk på Azure SQL Database bör inaktiveras

Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton

Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar

Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar

Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar

Redis Cache bör endast tillåta åtkomst via SSL

SQL-databaser bör lösa sårbarhetsresultat

SQL-hanterade instanser bör ha konfigurerad sårbarhetsbedömning

SQL-servrar på datorer bör ha sårbarhetsresultat lösta

SQL-servrar bör ha en Microsoft Entra administratör etablerad

SQL-servrar bör ha konfigurerad sårbarhetsbedömning

Lagringskontot bör använda en privat länkanslutning

Lagringskonton ska migreras till nya Azure Resource Manager resurser