Veri güvenliği önerileri

Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm veri güvenliği önerileri listelenir.

Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.

Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.

İpucu

Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.

Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.

Azure veri önerileri

Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır

Açıklama: Genel ağ erişiminin devre dışı bırakılması, Cosmos DB hesabınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak Cosmos DB hesabınızın açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi edinin. (İlgili ilke: Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır).

Önem Derecesi: Orta

(Gerekirse etkinleştir) Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/cosmosdb-cmk. . (İlgili ilke: Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Müşteri tarafından yönetilen anahtarlar (CMK) ile Azure Machine Learning çalışma alanı verilerinizin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle CMK'ler gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/azureml-workspaces-cmk. . (İlgili ilke: Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmelidir.

Önem Derecesi: Düşük

Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır

Açıklama: TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilebildiğinden emin olarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. (İlgili ilke: Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır).

Önem Derecesi: Orta

Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır

Açıklama: Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinin. (İlgili ilke: Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır).

Önem Derecesi: Orta

Cosmos DB hesapları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktalar Cosmos DB hesabınıza eşlendiğinde veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi edinin. (İlgili ilke: Cosmos DB hesapları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

(Gerekirse etkinleştir) Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla (CMK) veri şifrelemeyi etkinleştirmelidir

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/cosmosdb-cmk. . (İlgili ilke: Bilişsel Hizmetler hesapları müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmeli mi? (CMK))

Önem Derecesi: Düşük

(Gerekirse etkinleştir) MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. (İlgili ilke: MySQL sunucuları için kendi anahtar veri korumanızı getir seçeneği etkinleştirilmelidir).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, bekleyen veriler hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. (İlgili ilke: PostgreSQL sunucuları için kendi anahtar veri korumanızı getirin seçeneği etkinleştirilmelidir).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. (İlgili ilke: SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. (İlgili ilke: SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır).

Önem Derecesi: Düşük

(Gerekirse etkinleştir) Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar (CMK) kullanmalıdır

Açıklama: Bekleyen verilerin şifrelenmesi için müşteri tarafından yönetilen anahtarları kullanma önerileri varsayılan olarak değerlendirilmez, ancak geçerli senaryolar için etkinleştirilebilir. Veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimleriyle zorunlu olduğunda uygulanmalıdır. Bu öneriyi etkinleştirmek için, ilgili kapsam için Güvenlik İlkesinize gidin ve ilgili ilkenin Effect parametresini güncelleştirerek müşteri tarafından yönetilen anahtarların kullanımını denetleyin veya zorunlu kılın. Güvenlik ilkelerini yönetme bölümünde daha fazla bilgi edinin. Müşteri tarafından yönetilen anahtarları (CMK) kullanarak depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Bir CMK belirttiğinizde, bu anahtar verilerinizi şifreleyen anahtara erişimi korumak ve denetlemek için kullanılır. CMK'leri kullanmak, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. (İlgili ilke: Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar (CMK) kullanmalıdır.

Önem Derecesi: Düşük

Tüm gelişmiş tehdit koruma türleri SQL yönetilen örneği gelişmiş veri güvenliği ayarlarında etkinleştirilmelidir

Açıklama: SQL yönetilen örneklerinizde tüm gelişmiş tehdit koruma türlerini etkinleştirmeniz önerilir. Tüm türlerin etkinleştirilmesi SQL ekleme, veritabanı güvenlik açıkları ve diğer anormal etkinliklere karşı koruma sağlar. (İlişkili ilke yok)

Önem Derecesi: Orta

Tüm gelişmiş tehdit koruma türleri SQL server gelişmiş veri güvenliği ayarlarında etkinleştirilmelidir

Açıklama: SQL sunucularınızdaki tüm gelişmiş tehdit koruma türlerini etkinleştirmeniz önerilir. Tüm türlerin etkinleştirilmesi SQL ekleme, veritabanı güvenlik açıkları ve diğer anormal etkinliklere karşı koruma sağlar. (İlişkili ilke yok)

Önem Derecesi: Orta

API Management hizmetleri sanal ağ kullanmalıdır

Açıklama: Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ içindeki ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. (İlgili ilke: API Management hizmetleri bir sanal ağ kullanmalıdır).

Önem Derecesi: Orta

Uygulama Yapılandırması özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. (İlgili ilke: Uygulama Yapılandırması özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

SQL sunucuları için denetim saklama en az 90 gün olarak ayarlanmalıdır

Açıklama: 90 günden kısa bir denetim saklama süresiyle yapılandırılmış SQL sunucularını denetleyin. (İlgili ilke: SQL sunucuları 90 gün denetim saklama veya daha yüksek bir değerle yapılandırılmalıdır.)

Önem Derecesi: Düşük

SQL server'da denetim etkinleştirilmelidir

Açıklama: Sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server'ınızda denetimi etkinleştirin. (İlgili ilke: SQL server'da denetim etkinleştirilmelidir).

Önem Derecesi: Düşük

Log Analytics aracısının otomatik sağlanması aboneliklerde etkinleştirilmelidir

Açıklama: Güvenlik açıklarını ve tehditleri izlemek için Bulut için Microsoft Defender Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. (İlgili ilke: Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir).

Önem Derecesi: Düşük

Redis için Azure Cache bir sanal ağ içinde bulunmalıdır

Açıklama: Azure Sanal Ağ (VNet) dağıtımı, erişimi daha fazla kısıtlamak için alt ağların, erişim denetimi ilkelerinin ve diğer özelliklerin yanı sıra Redis için Azure Cache için gelişmiş güvenlik ve yalıtım sağlar. bir Redis için Azure Cache örneği bir sanal ağ ile yapılandırıldığında genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. (İlgili ilke: Redis için Azure Cache bir sanal ağ içinde bulunmalıdır).

Önem Derecesi: Orta

MySQL için Azure Veritabanı bir Azure Active Directory yöneticisi sağlanmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek üzere MySQL için Azure Veritabanı için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar (İlgili ilke: MySQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Orta

PostgreSQL için Azure Veritabanı bir Azure Active Directory yöneticisi sağlanmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek için PostgreSQL için Azure Veritabanı için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar
(İlgili ilke: PostgreSQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Orta

Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır

Açıklama: Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. (İlgili ilke: Azure Cosmos DB hesaplarının güvenlik duvarı kuralları olmalıdır).

Önem Derecesi: Orta

Azure Event Grid etki alanları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanlarınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. (İlgili ilke: Azure Event Grid etki alanları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Event Grid konuları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine konularınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. (İlgili ilke: Azure Event Grid konuları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure Machine Learning çalışma alanlarınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/azureml-workspaces-privatelink. (İlgili ilke: Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure SignalR Hizmeti özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine SignalR kaynaklarınıza eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için: https://aka.ms/asrs/privatelink. (İlgili ilke: Azure SignalR Hizmeti özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Spring Cloud ağ ekleme kullanmalıdır

Açıklama: Azure Spring Cloud örnekleri aşağıdaki amaçlar için sanal ağ ekleme kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. (İlgili ilke: Azure Spring Cloud ağ ekleme özelliğini kullanmalıdır).

Önem Derecesi: Orta

SQL sunucularında Azure Active Directory yöneticisi sağlanmış olmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak tanır. (İlgili ilke: SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Yüksek

Azure Synapse Çalışma Alanı kimlik doğrulama modu Yalnızca Azure Active Directory olmalıdır

Açıklama: Azure Synapse Çalışma Alanı kimlik doğrulama modu Azure Active Directory Olmalıdır Yalnızca Azure Active Directory kimlik doğrulama yöntemleri, Synapse Çalışma Alanlarının yalnızca kimlik doğrulaması için Azure AD kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi edinin. (İlgili ilke: Synapse Çalışma Alanları kimlik doğrulaması için yalnızca Azure Active Directory kimliklerini kullanmalıdır).

Önem Derecesi: Orta

Kod depolarında kod tarama bulguları çözümlenmelidir

Açıklama: DevOps için Defender kod depolarında güvenlik açıkları buldu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir. (İlişkili ilke yok)

Önem Derecesi: Orta

Kod depolarında Dependabot tarama bulguları çözümlenmelidir

Açıklama: DevOps için Defender kod depolarında güvenlik açıkları buldu. Depoların güvenlik duruşunu geliştirmek için bu güvenlik açıklarını düzeltmeniz kesinlikle önerilir. (İlişkili ilke yok)

Önem Derecesi: Orta

Kod tarama bulguları çözümlendikçe kod depolarının altyapısı olmalıdır

Açıklama: DevOps için Defender, depolarda kod güvenliği yapılandırma sorunları olarak altyapı buldu. Şablon dosyalarında aşağıda gösterilen sorunlar algılandı. İlgili bulut kaynaklarının güvenlik duruşunu geliştirmek için bu sorunların giderilmesi kesinlikle önerilir. (İlişkili ilke yok)

Önem Derecesi: Orta

Kod depolarında gizli dizi tarama bulguları çözümlenmelidir

Açıklama: DevOps için Defender kod depolarında bir gizli dizi buldu. Güvenlik ihlalini önlemek için bu durum hemen düzeltilmelidir. Depolarda bulunan gizli diziler saldırganlar tarafından sızdırılabilir veya bulunabilir ve bu da bir uygulama veya hizmetin güvenliğinin aşılmasına neden olur. Azure DevOps için Microsoft Security DevOps CredScan aracı yalnızca üzerinde çalışmak üzere yapılandırıldığı derlemeleri tarar. Bu nedenle sonuçlar depolarınızdaki gizli dizilerin tam durumunu yansıtmayabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Bilişsel Hizmetler hesapları veri şifrelemeyi etkinleştirmelidir

Açıklama: Bu ilke, veri şifrelemesi kullanmayan bilişsel hizmetler hesaplarını denetler. Depolama alanı olan her hesap için, müşteri tarafından yönetilen veya Microsoft tarafından yönetilen anahtarla veri şifrelemeyi etkinleştirmeniz gerekir. (İlgili ilke: Bilişsel Hizmetler hesapları veri şifrelemeyi etkinleştirmelidir).

Önem Derecesi: Düşük

Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır

Açıklama: Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/cs/auth. (İlgili ilke: Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır).

Önem Derecesi: Düşük

Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalıdır

Açıklama: Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir. (İlgili ilke: Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalıdır).

Önem Derecesi: Orta

Bilişsel Hizmetler hesapları müşteriye ait depolamayı kullanmalıdır veya veri şifrelemeyi etkinleştirmelidir

Açıklama: Bu ilke, müşterinin sahip olduğu depolama alanını veya veri şifrelemesini kullanmayan bilişsel hizmetler hesabını denetler. Depolama alanı olan her Bilişsel Hizmetler hesabı için müşteriye ait depolama alanını kullanın veya veri şifrelemeyi etkinleştirin. Microsoft Bulut Güvenliği Karşılaştırması ile uyumlu. (İlgili ilke: Bilişsel Hizmetler hesapları, müşteriye ait depolamayı kullanmalıdır veya veri şifrelemeyi etkinleştirmelidir.)

Önem Derecesi: Düşük

Bilişsel Hizmetler özel bağlantı kullanmalıdır

Açıklama: Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Azure Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi edinin. (İlgili ilke: Bilişsel Hizmetler özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Azure Data Lake Store'daki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Azure Data Lake Store'daki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Data Lake Analytics'teki tanılama günlükleri etkinleştirilmelidir

Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Data Lake Analytics'teki tanılama günlükleri etkinleştirilmelidir).

Önem Derecesi: Düşük

Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir

Açıklama: Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Bulut için Defender'da yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. (İlgili ilke: Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir).

Önem Derecesi: Düşük

Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir

Açıklama: Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinize bildirim gönderildiğinden emin olmak için, Bulut için Defender'da yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. (İlgili ilke: Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir).

Önem Derecesi: Orta

MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir

Açıklama: MySQL için Azure Veritabanı, MySQL için Azure Veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. (İlgili ilke: MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir).

Önem Derecesi: Orta

PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir

Açıklama: PostgreSQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. (İlgili ilke: PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir).

Önem Derecesi: Orta

İşlev uygulamalarında güvenlik açığı bulguları çözümlenmelidir

Açıklama: İşlevler için çalışma zamanı güvenlik açığı taraması, işlev uygulamalarınızı güvenlik açıklarına karşı tarar ve ayrıntılı bulguları kullanıma sunar. Güvenlik açıklarını çözmek sunucusuz uygulamalarınızın güvenlik duruşunu büyük ölçüde geliştirebilir ve saldırılara karşı koruyabilir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir

Açıklama: MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir

Açıklama: MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir

Açıklama: PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçenekleri sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturulurken izin verilir. (İlgili ilke: Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı) için etkinleştirilmelidir.

Önem Derecesi: Düşük

GitHub depolarında Kod tarama etkin olmalıdır

Açıklama: GitHub, koddaki güvenlik açıklarını ve hataları bulmak için kodu analiz etmek için kod taramayı kullanır. Kod tarama, kodunuzdaki mevcut sorunları bulmak, önceliklendirmek ve düzeltmeleri önceliklendirmek için kullanılabilir. Kod tarama, geliştiricilerin yeni sorunlar ortaya çıkarmasını da engelleyebilir. Taramalar belirli gün ve saatler için zamanlanabilir veya depoda belirli bir olay gerçekleştiğinde (gönderim gibi) taramalar tetiklenebilir. Kod tarama kodda olası bir güvenlik açığı veya hata bulursa GitHub depoda bir uyarı görüntüler. Güvenlik açığı, projenin kodunda, projenin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için yararlanabilecek bir sorundur. (İlişkili ilke yok)

Önem Derecesi: Orta

GitHub depolarında Dependabot taraması etkinleştirilmelidir

Açıklama: GitHub, depoları etkileyen kod bağımlılıklarındaki güvenlik açıklarını algıladığında Dependabot uyarıları gönderir. Güvenlik açığı, projenin kodunda, projenin veya kodunu kullanan diğer projelerin gizliliğine, bütünlüğüne veya kullanılabilirliğine zarar vermek için kötüye kullanılabilecek bir sorundur. Güvenlik açıkları saldırı türü, önem derecesi ve yöntemi açısından farklılık gösterir. Kod, güvenlik açığı olan bir pakete bağımlı olduğunda, bu savunmasız bağımlılık bir dizi soruna neden olabilir. (İlişkili ilke yok)

Önem Derecesi: Orta

GitHub depolarında Gizli dizi taraması etkinleştirilmelidir

Açıklama: GitHub, depolara yanlışlıkla işlenen gizli dizilerin sahte kullanımını önlemek için depoları bilinen gizli dizi türleri için tarar. Gizli dizi taraması, GitHub deposunda bulunan tüm dallarda tüm Git geçmişini tüm gizli diziler için tarar. Gizli dizilere örnek olarak, bir hizmet sağlayıcısının kimlik doğrulaması için verebileceği belirteçler ve özel anahtarlar verilebilir. Depoda gizli dizi denetlenirse, depoya okuma erişimi olan herkes bu ayrıcalıklara sahip dış hizmete erişmek için gizli diziyi kullanabilir. Gizli diziler, projenin deposu dışında ayrılmış, güvenli bir konumda depolanmalıdır. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Azure SQL Veritabanı için Microsoft Defender sunucuları etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkarmaya ve azaltmaya, veritabanınıza yönelik bir tehdit gösterebilecek anormal etkinlikleri algılamaya ve hassas verileri bulup sınıflandırmaya yönelik işlevler içerir.

Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte Azure SQL Veritabanı sunucunuz yoksa sizden ücret alınmaz. Daha sonra bu abonelikte Azure SQL Veritabanı sunucular oluşturursanız, bunlar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin.

SQL için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlgili ilke: Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir).

Önem Derecesi: Yüksek

DNS için Microsoft Defender etkinleştirilmelidir

Açıklama: DNS için Microsoft Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. DNS için Defender, DNS katmanındaki şüpheli etkinlik hakkında sizi uyarır. DNS için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. Bu Defender planının etkinleştirilmesi ücrete neden olur. Bulut için Defender fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: Bulut için Defender Fiyatlandırma. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Açık kaynak ilişkisel veritabanları için Microsoft Defender etkinleştirilmelidir

Açıklama: Açık kaynak ilişkisel veritabanları için Microsoft Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin.

Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Bu abonelikte açık kaynak ilişkisel veritabanınız yoksa ücret alınmaz. Gelecekte bu abonelikte açık kaynak ilişkisel veritabanları oluşturursanız, bunlar otomatik olarak korunur ve ücretler o zaman başlar. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Resource Manager için Microsoft Defender etkinleştirilmelidir

Açıklama: Resource Manager için Microsoft Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Bulut için Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Resource Manager için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. Bu Defender planının etkinleştirilmesi ücrete neden olur. Bulut için Defender fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: Bulut için Defender Fiyatlandırma. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Makinelerde SQL için Microsoft Defender çalışma alanlarında etkinleştirilmelidir

Açıklama: Sunucular için Microsoft Defender, Windows ve Linux makineleriniz için tehdit algılama ve gelişmiş savunmalar getirir. Bu Defender planı aboneliklerinizde etkinleştirildiğinde ancak çalışma alanlarınızda etkinleştirilmediğinden, sunucular için Microsoft Defender'ın tüm özellikleri için ödeme yapıyor ancak bazı avantajları kaçırıyorsunuz. Çalışma alanında sunucular için Microsoft Defender'ı etkinleştirdiğinizde, bu çalışma alanına raporlama yapan tüm makineler, Defender planları etkin olmayan aboneliklerde olsalar bile sunucular için Microsoft Defender için faturalandırılır. Abonelikteki sunucular için Microsoft Defender'ı da etkinleştirmediğiniz sürece, bu makineler Azure kaynakları için tam zamanında VM erişiminden, uyarlamalı uygulama denetimlerinden ve ağ algılamalarından yararlanamaz. Sunucular için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)

Önem Derecesi: Orta

Makinelerdeki SQL sunucuları için Microsoft Defender etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkarmaya ve azaltmaya, veritabanınıza yönelik bir tehdit gösterebilecek anormal etkinlikleri algılamaya ve hassas verileri bulup sınıflandırmaya yönelik işlevler içerir.

Bu önerinin düzeltilmesi, makinelerde SQL sunucularınızın korunmasıyla ilgili ücretlendirmelere neden olur. Bu abonelikteki makinelerde SQL sunucunuz yoksa ücret alınmaz. Gelecekte bu abonelikteki makinelerde herhangi bir SQL sunucusu oluşturursanız, bunlar otomatik olarak korunur ve ücretler o zaman başlar. Makinelerdeki SQL sunucuları için Microsoft Defender hakkında daha fazla bilgi edinin. (İlgili ilke: Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Korumasız Azure SQL sunucuları için SQL için Microsoft Defender etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkararak azaltır ve veritabanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılar. SQL için Microsoft Defender, bölge başına fiyatlandırma ayrıntılarında gösterildiği gibi faturalandırılır. (İlgili ilke: SQL sunucularınızda gelişmiş veri güvenliği etkinleştirilmelidir).

Önem Derecesi: Yüksek

KORUMASız SQL Yönetilen Örneği için SQL için Microsoft Defender etkinleştirilmelidir

Açıklama: SQL için Microsoft Defender, gelişmiş SQL güvenlik özellikleri sağlayan birleşik bir pakettir. Olası veritabanı güvenlik açıklarını ortaya çıkararak azaltır ve veritabanınız için bir tehdit oluşturabilecek anormal etkinlikleri algılar. SQL için Microsoft Defender, bölge başına fiyatlandırma ayrıntılarında gösterildiği gibi faturalandırılır. (İlgili ilke: gelişmiş veri güvenliği SQL Yönetilen Örneği) tarihinde etkinleştirilmelidir.

Önem Derecesi: Yüksek

Depolama için Microsoft Defender etkinleştirilmelidir

Açıklama: Depolama için Microsoft Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılar.

Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte Azure Depolama hesabınız yoksa sizden ücret alınmaz. Daha sonra bu abonelikte Azure Depolama hesapları oluşturursanız, bu hesaplar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin. Depolama için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlgili ilke: Depolama için Azure Defender etkinleştirilmelidir).

Önem Derecesi: Yüksek

Ağ İzleyicisi etkinleştirilmelidir

Açıklama: Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Ağ İzleyicisi ile kullanılabilen ağ tanılama ve görselleştirme araçları, Azure'da ağınızı anlamanıza, tanılamanıza ve elde etmenize yardımcı olur. (İlgili ilke: Ağ İzleyicisi etkinleştirilmelidir).

Önem Derecesi: Düşük

Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. (İlgili ilke: Azure SQL Veritabanı'da özel uç nokta bağlantıları etkinleştirilmelidir).

Önem Derecesi: Orta

MariaDB sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: MariaDB sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

MySQL sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: MySQL sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir

Açıklama: Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. (İlgili ilke: PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir).

Önem Derecesi: Orta

Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Genel ağ erişim özelliğini devre dışı bırakmak, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: Azure SQL Veritabanı üzerindeki genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

Bilişsel Hizmetler hesapları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Bu ilke, ortamınızdaki tüm Bilişsel Hizmetler hesabını genel ağ erişimi etkinleştirilmiş olarak denetler. Yalnızca özel uç noktalardan gelen bağlantılara izin verilmesi için genel ağ erişimi devre dışı bırakılmalıdır. (İlgili ilke: Bilişsel Hizmetler hesapları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır

Açıklama: Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. (İlgili ilke: PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır).

Önem Derecesi: Orta

Redis Cache yalnızca SSL üzerinden erişime izin vermelidir

Açıklama: Yalnızca SSL ile Redis Cache arasındaki bağlantıları etkinleştirin. Güvenli bağlantıların kullanılması, sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur. (İlgili ilke: Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir).

Önem Derecesi: Yüksek

SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir

Açıklama: SQL Güvenlik Açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. Daha fazla bilgi edinin (İlgili ilke: SQL veritabanlarınızdaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

SQL yönetilen örneklerinde güvenlik açığı değerlendirmesi yapılandırılmış olmalıdır

Açıklama: Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. (İlgili ilke: güvenlik açığı değerlendirmesi SQL Yönetilen Örneği) tarihinde etkinleştirilmelidir.

Önem Derecesi: Yüksek

Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir

Açıklama: SQL Güvenlik Açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. Daha fazla bilgi edinin (İlgili ilke: Makinedeki SQL sunucularınızdaki güvenlik açıkları düzeltilmelidir).

Önem Derecesi: Yüksek

SQL sunucularında Azure Active Directory yöneticisi sağlanmış olmalıdır

Açıklama: Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için bir Azure AD yöneticisi sağlayın. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak tanır. (İlgili ilke: SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır).

Önem Derecesi: Yüksek

SQL sunucularında güvenlik açığı değerlendirmesi yapılandırılmış olmalıdır

Açıklama: Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. (İlgili ilke: SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir).

Önem Derecesi: Yüksek

Depolama hesabı özel bağlantı bağlantısı kullanmalıdır

Açıklama: Özel bağlantılar, depolama hesabına özel bağlantı sağlayarak güvenli iletişimi zorunlu tutar (İlgili ilke: Depolama hesabı özel bağlantı bağlantısı kullanmalıdır).

Önem Derecesi: Orta

Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir

Açıklama: Azure Resource Manager'daki yeni özelliklerden yararlanmak için mevcut dağıtımları Klasik dağıtım modelinden geçirebilirsiniz. Resource Manager, daha güçlü erişim denetimi (RBAC), daha iyi denetim, ARM tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmelerine olanak tanır. Daha fazla bilgi edinin (İlgili ilke: Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir).

Önem Derecesi: Düşük

Depolama hesapları paylaşılan anahtar erişimini engellemelidir

Açıklama: Depolama hesabınıza yönelik istekleri yetkilendirmek için Azure Active Directory'nin (Azure AD) denetim gereksinimi. Varsayılan olarak, istekler Azure Active Directory kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Azure AD, paylaşılan Anahtar üzerinden üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilir. (İlgili ilke: ilke)

Önem Derecesi: Orta

Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır

Açıklama: IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. (İlgili ilke: Depolama hesapları, sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır).

Önem Derecesi: Orta

Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır

Açıklama: Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Bulut için Defender'dan e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. (İlgili ilke: Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır)

Önem Derecesi: Düşük

SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir

Açıklama: Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifrelemesini etkinleştirin (İlgili ilke: SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir).

Önem Derecesi: Düşük

VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır

Açıklama: Yapılandırılmış bir sanal ağı olmayan VM Görüntü Oluşturucusu şablonlarını denetleyin. Bir sanal ağ yapılandırılmadığında, bunun yerine kaynakları doğrudan İnternet'te kullanıma sunan ve olası saldırı yüzeyini artırabilecek bir genel IP oluşturulur ve kullanılır. (İlgili ilke: VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır).

Önem Derecesi: Orta

Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir

Açıklama: Gelen trafiğin ek denetimi için Azure Web Uygulaması Güvenlik Duvarı (WAF) uygulamasını genel kullanıma yönelik web uygulamalarının önüne dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkelere/bölgelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre kısıtlayabilirsiniz. (İlgili ilke: application gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir.

Önem Derecesi: Düşük

Azure Front Door Service hizmeti için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir

Açıklama: Gelen trafiğin ek denetimi için Azure Web Uygulaması Güvenlik Duvarı (WAF) uygulamasını genel kullanıma yönelik web uygulamalarının önüne dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkelere/bölgelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre kısıtlayabilirsiniz. (İlgili ilke: Azure Front Door Service?service için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir)

Önem Derecesi: Düşük

AWS veri önerileri

Amazon Aurora kümelerinde geri izleme etkinleştirilmelidir

Açıklama: Bu denetim Amazon Aurora kümelerinde geri izlemenin etkinleştirilip etkinleştirilmediğini denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Ayrıca sistemlerinizin dayanıklılığını da güçlendirirler. Aurora geri izlemesi, veritabanını belirli bir noktaya kurtarma süresini azaltır. Bunun için veritabanı geri yüklemesi gerekmez. Aurora'da geri izleme hakkında daha fazla bilgi için Amazon Aurora Kullanıcı Kılavuzu'nda Aurora DB kümesini geri izleme bölümüne bakın.

Önem Derecesi: Orta

Amazon EBS anlık görüntüleri genel olarak geri yüklenemez

Açıklama: Amazon EBS anlık görüntüleri, verilerin yanlışlıkla açığa çıkmaması için açıkça izin verilmediği sürece herkes tarafından genel olarak geri yüklenemez. Ayrıca Amazon EBS yapılandırmalarını değiştirme izni yalnızca yetkili AWS hesaplarıyla sınırlandırılmalıdır.

Önem Derecesi: Yüksek

Amazon ECS görev tanımlarında güvenli ağ modları ve kullanıcı tanımları olmalıdır

Açıklama: Bu denetim, konak ağ moduna sahip etkin bir Amazon ECS görev tanımının ayrıca ayrıcalıklı mı yoksa kullanıcı kapsayıcı tanımları mı olduğunu denetler. Denetim, privileged=false veya boş ve user=root veya boş olduğunda konak ağ moduna ve kapsayıcı tanımlarına sahip görev tanımları için başarısız olur. Bir görev tanımının yükseltilmiş ayrıcalıkları varsa, bunun nedeni müşterinin özel olarak bu yapılandırmayı kabul ettiğidir. Bu denetim, bir görev tanımında konak ağı etkinleştirildiğinde ancak müşteri yükseltilmiş ayrıcalıkları kabul etmediğinde beklenmeyen ayrıcalık yükseltmesini denetler.

Önem Derecesi: Yüksek

Amazon Elasticsearch Service etki alanları düğümler arasında gönderilen verileri şifrelemelidir

Açıklama: Bu denetim Amazon ES etki alanlarında düğümden düğüme şifrelemenin etkinleştirilip etkinleştirilmediğini denetler. HTTPS (TLS), olası saldırganların ortadaki kişi veya benzer saldırıları kullanarak ağ trafiğini dinlemesini veya işlemesini önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Amazon ES etki alanları için düğümden düğüme şifrelemeyi etkinleştirmek, aktarım sırasında küme içi iletişimlerin şifrelenmesini sağlar. Bu yapılandırmayla ilişkili bir performans cezası olabilir. Bu seçeneği etkinleştirmeden önce performans dengelemesinin farkında olmanız ve test etmeniz gerekir.

Önem Derecesi: Orta

Amazon Elasticsearch Hizmeti etki alanlarında bekleyen şifreleme etkinleştirilmelidir

Açıklama: Hassas verileri korumak için Amazon ES etki alanlarının geri kalanını şifrelemeyi etkinleştirmek önemlidir

Önem Derecesi: Orta

Amazon RDS veritabanı müşteri tarafından yönetilen anahtar kullanılarak şifrelenmelidir

Açıklama: Bu denetim, müşteri tarafından yönetilen anahtarlarla değil, varsayılan KMS anahtarlarıyla şifrelenmiş RDS veritabanlarını tanımlar. Önde gelen bir uygulama olarak, RDS veritabanlarınızdaki verileri şifrelemek ve hassas iş yükleri üzerindeki anahtarlarınızın ve verilerinizin denetimini korumak için müşteri tarafından yönetilen anahtarları kullanın.

Önem Derecesi: Orta

Amazon RDS örneği otomatik yedekleme ayarlarıyla yapılandırılmalıdır

Açıklama: Bu denetim, otomatik yedekleme ayarıyla ayarlanmayan RDS örneklerini tanımlar. Otomatik Yedekleme ayarlanırsa RDS, veritabanı örneğinizin bir depolama birimi anlık görüntüsünü oluşturur ve yalnızca belirli bir noktaya kurtarma sağlayan tek tek veritabanlarını değil tüm VERITABANı örneğini yedekler. Otomatik yedekleme, belirtilen yedekleme penceresi zamanında gerçekleşir ve yedeklemeleri bekletme süresinde tanımlandığı gibi sınırlı bir süre boyunca tutar. Veri geri yükleme işlemine yardımcı olacak kritik RDS sunucularınız için otomatik yedeklemeler ayarlamanız önerilir.

Önem Derecesi: Orta

Amazon Redshift kümelerinde denetim günlüğü etkinleştirilmelidir

Açıklama: Bu denetim, Amazon Redshift kümesinde denetim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Amazon Redshift denetim günlüğü, kümenizdeki bağlantılar ve kullanıcı etkinlikleri hakkında ek bilgiler sağlar. Bu veriler Amazon S3'te depolanabilir ve güvenli hale getirilebilir ve güvenlik denetimleri ve araştırmalarında yararlı olabilir. Daha fazla bilgi için bkz. Amazon Redshift Kümesi Yönetim Kılavuzu'nda veritabanı denetim günlüğü.

Önem Derecesi: Orta

Amazon Redshift kümelerinde otomatik anlık görüntüler etkinleştirilmelidir

Açıklama: Bu denetim, Amazon Redshift kümelerinde otomatik anlık görüntülerin etkinleştirilip etkinleştirilmediğini denetler. Ayrıca anlık görüntü saklama süresinin yediden büyük mü yoksa yediye eşit mi olduğunu denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Sistemlerinizin dayanıklılığını güçlendirirler. Amazon Redshift varsayılan olarak düzenli anlık görüntüler alır. Bu denetim, otomatik anlık görüntülerin etkinleştirilip etkinleştirilmediğini ve en az yedi gün boyunca tutulup tutulmadığını denetler. Amazon Redshift otomatik anlık görüntüleri hakkında daha fazla bilgi için bkz. Amazon Redshift Kümesi Yönetim Kılavuzu'nda otomatik anlık görüntüler.

Önem Derecesi: Orta

Amazon Redshift kümeleri genel erişimi yasaklamalıdır

Açıklama: Küme yapılandırma öğesindeki 'publiclyAccessible' alanını değerlendirerek genel erişilebilirliği önlemek için Amazon Redshift kümelerini öneririz.

Önem Derecesi: Yüksek

Amazon Redshift'in ana sürümlere otomatik yükseltmeleri etkinleştirilmelidir

Açıklama: Bu denetim, Amazon Redshift kümesi için otomatik ana sürüm yükseltmelerinin etkinleştirilip etkinleştirilmediğini denetler. Otomatik ana sürüm yükseltmelerinin etkinleştirilmesi, bakım penceresi sırasında Amazon Redshift kümelerinde en son ana sürüm güncelleştirmelerinin yüklenmesini sağlar. Bu güncelleştirmeler güvenlik düzeltme eklerini ve hata düzeltmelerini içerebilir. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.

Önem Derecesi: Orta

Amazon SQS kuyrukları bekleme durumunda şifrelenmelidir

Açıklama: Bu denetim, Amazon SQS kuyruklarının bekleme sırasında şifrelenip şifrelenmediğini denetler. Sunucu tarafı şifrelemesi (SSE), şifrelenmiş kuyruklarda hassas verileri iletmenizi sağlar. SSE, kuyruklardaki iletilerin içeriğini korumak için AWS KMS'de yönetilen anahtarları kullanır. Daha fazla bilgi için bkz . Amazon Simple Queue Service Geliştirici Kılavuzu'nda bekleyen şifreleme.

Önem Derecesi: Orta

Kritik küme olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır

Açıklama: Bu denetim, şu kaynak türü için bildirimlerin etkinleştirildiği bir Amazon RDS olay aboneliği olup olmadığını denetler: Olay kategorisi anahtar-değer çiftleri. DBCluster: [Bakım ve hata]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.

Önem Derecesi: Düşük

Kritik veritabanı örneği olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır

Açıklama: Bu denetim, şu kaynak türü için etkinleştirilmiş bildirimlerle bir Amazon RDS olay aboneliği olup olmadığını denetler: Olay kategorisi anahtar-değer çiftleri. DBInstance: [Bakım, yapılandırma değişikliği ve hata]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.

Önem Derecesi: Düşük

Kritik veritabanı parametre grubu olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır

Açıklama: Bu denetim, şu kaynak türü için etkinleştirilmiş bildirimlerle bir Amazon RDS olay aboneliği olup olmadığını denetler: Olay kategorisi anahtar-değer çiftleri. DBParameterGroup: ["configuration","change"]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.

Önem Derecesi: Düşük

Kritik veritabanı güvenlik grubu olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır

Açıklama: Bu denetim, şu kaynak türü için etkinleştirilmiş bildirimlerle bir Amazon RDS olay aboneliği olup olmadığını denetler: Olay kategorisi anahtar-değer çiftleri. DBSecurityGroup: [Yapılandırma, değişiklik, hata]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.

Önem Derecesi: Düşük

API Gateway REST ve WebSocket API günlüğü etkinleştirilmelidir

Açıklama: Bu denetim, Amazon API Gateway REST veya WebSocket API'sinin tüm aşamalarında günlüğe kaydetmenin etkinleştirilip etkinleştirilmediğini denetler. Bir aşamanın tüm yöntemleri için günlüğe kaydetme etkinleştirilmediyse veya günlük düzeyi HATA veya BİlGİ değilse denetim başarısız olur. API Gateway REST veya WebSocket API aşamalarında ilgili günlükler etkinleştirilmelidir. API Gateway REST ve WebSocket API yürütme günlüğü, API Gateway REST ve WebSocket API aşamalarına yapılan isteklerin ayrıntılı kayıtlarını sağlar. Aşamalar API tümleştirmesi arka uç yanıtlarını, Lambda yetkili yanıtlarını ve AWS tümleştirme uç noktaları için requestId'yi içerir.

Önem Derecesi: Orta

API Gateway REST API önbellek verileri bekleme sırasında şifrelenmelidir

Açıklama: Bu denetim, önbelleği etkinleştirilmiş API Gateway REST API aşamalarındaki tüm yöntemlerin şifrelenip şifrelenmediğini denetler. API Gateway REST API aşamasındaki herhangi bir yöntem önbelleğe almak üzere yapılandırılmışsa ve önbellek şifrelenmemişse denetim başarısız olur. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Yetkisiz kullanıcıların verilere erişimini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir. API Gateway REST API önbellekleri, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir.

Önem Derecesi: Orta

API Gateway REST API aşamaları, arka uç kimlik doğrulaması için SSL sertifikalarını kullanacak şekilde yapılandırılmalıdır

Açıklama: Bu denetim, Amazon API Gateway REST API aşamalarında SSL sertifikalarının yapılandırılıp yapılandırılmadığını denetler. Arka uç sistemleri, gelen isteklerin API Gateway'den geldiğini doğrulamak için bu sertifikaları kullanır. API Gateway REST API aşamaları, arka uç sistemlerinin isteklerin API Gateway'den geldiğini doğrulamasını sağlamak için SSL sertifikaları ile yapılandırılmalıdır.

Önem Derecesi: Orta

API Gateway REST API aşamalarında AWS X-Ray izleme etkinleştirilmelidir

Açıklama: Bu denetim, Amazon API Gateway REST API aşamalarınız için AWS X-Ray etkin izlemenin etkinleştirilip etkinleştirilmediğini denetler. X-Ray etkin izleme, temel altyapıdaki performans değişikliklerine daha hızlı yanıt vermenizi sağlar. Performanstaki değişiklikler API'nin kullanılabilir olmamasıyla sonuçlanabilir. X-Ray etkin izleme, API Gateway REST API işlemleriniz ve bağlı hizmetleriniz aracılığıyla akan kullanıcı isteklerinin gerçek zamanlı ölçümlerini sağlar.

Önem Derecesi: Düşük

API Gateway bir AWS WAF web ACL'siyle ilişkilendirilmelidir

Açıklama: Bu denetim, API Gateway aşamasının AWS WAF web erişim denetim listesi (ACL) kullanıp kullanmadığını denetler. BIR AWS WAF web ACL'si REST API Gateway aşamasına bağlı değilse bu denetim başarısız olur. AWS WAF, web uygulamalarının ve API'lerin saldırılara karşı korunmasına yardımcı olan bir web uygulaması güvenlik duvarıdır. Tanımladığınız özelleştirilebilir web güvenlik kuralları ve koşullarına göre web isteklerine izin veren, engelleyen veya sayan bir dizi kural olan bir ACL yapılandırmanızı sağlar. API Gateway aşamanızın kötü amaçlı saldırılardan korunmasına yardımcı olmak için bir AWS WAF web ACL'siyle ilişkilendirildiğinden emin olun.

Önem Derecesi: Orta

Uygulama ve Klasik Yük Dengeleyiciler günlüğü etkinleştirilmelidir

Açıklama: Bu denetim, Application Load Balancer ve Klasik Load Balancer'ın günlüğe kaydetme özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Yanlışsa access_logs.s3.enabled denetim başarısız olur. Elastik Yük Dengeleme, yük dengeleyicinize gönderilen isteklerle ilgili ayrıntılı bilgileri yakalayan erişim günlükleri sağlar. Her günlük isteğin alındığı zaman, istemcinin IP adresi, gecikme süreleri, istek yolları ve sunucu yanıtları gibi bilgileri içerir. Erişim günlüklerini kullanarak trafik düzenlerini analiz edebilir ve sorunları giderebilirsiniz. Daha fazla bilgi edinmek için Bkz . Klasik Yük Dengeleyiciler için Kullanıcı Kılavuzu'nda Klasik Yük Dengeleyiciniz için erişim günlükleri.

Önem Derecesi: Orta

Ekli EBS birimleri bekleme sırasında şifrelenmelidir

Açıklama: Bu denetim, bağlı durumdaki EBS birimlerinin şifrelenip şifrelenmediğini denetler. Bu denetimi geçirmek için EBS birimlerinin kullanımda ve şifrelenmiş olması gerekir. EBS birimi bağlı değilse bu denetime tabi değildir. EBS birimlerindeki hassas verilerinizin ek güvenlik katmanı için bekleyen EBS şifrelemesini etkinleştirmeniz gerekir. Amazon EBS şifrelemesi, EBS kaynaklarınız için kendi anahtar yönetimi altyapınızı oluşturmanızı, korumanızı ve güvenliğini sağlamanızı gerektirmeyen basit bir şifreleme çözümü sunar. Şifrelenmiş birimler ve anlık görüntüler oluştururken AWS KMS müşteri ana anahtarlarını (CMK) kullanır. Amazon EBS şifrelemesi hakkında daha fazla bilgi edinmek için Bkz . Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'nda Amazon EBS şifrelemesi .

Önem Derecesi: Orta

AWS Veritabanı Geçiş Hizmeti çoğaltma örnekleri genel olmamalıdır

Açıklama: Çoğaltılan örneklerinizi tehditlere karşı korumak için. Özel çoğaltma örneği, çoğaltma ağının dışında erişemezseniz özel bir IP adresine sahip olmalıdır. Kaynak ve hedef veritabanları aynı ağda olduğunda ve ağ VPN, AWS Direct Connect veya VPC eşlemesi kullanarak çoğaltma örneğinin VPC'sine bağlandığında çoğaltma örneğinin özel IP adresi olmalıdır. Ayrıca AWS DMS örnek yapılandırmanıza erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olmalısınız. Bunu yapmak için kullanıcıların AWS DMS ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayın.

Önem Derecesi: Yüksek

Klasik Load Balancer dinleyicileri HTTPS veya TLS sonlandırma ile yapılandırılmalıdır

Açıklama: Bu denetim, Klasik Load Balancer dinleyicilerinizin ön uç (istemciden yük dengeleyiciye) bağlantıları için HTTPS veya TLS protokolü ile yapılandırılıp yapılandırılmadığını denetler. Klasik Load Balancer'da dinleyiciler varsa denetim geçerlidir. Klasik Load Balancer'ınızın yapılandırılmış bir dinleyicisi yoksa, denetim herhangi bir bulgu bildirmez. Klasik Load Balancer dinleyicileri ön uç bağlantıları için TLS veya HTTPS ile yapılandırılmışsa denetim geçer. Dinleyici ön uç bağlantıları için TLS veya HTTPS ile yapılandırılmamışsa denetim başarısız olur. Yük dengeleyici kullanmaya başlamadan önce bir veya daha fazla dinleyici eklemeniz gerekir. Dinleyici, bağlantı isteklerini denetlemek için yapılandırılmış protokolü ve bağlantı noktasını kullanan bir işlemdir. Dinleyiciler hem HTTP hem de HTTPS/TLS protokollerini destekleyebilir. Yük dengeleyicinin aktarım sırasında şifreleme ve şifre çözme işini yapması için her zaman bir HTTPS veya TLS dinleyicisi kullanmanız gerekir.

Önem Derecesi: Orta

Klasik Load Balancer'larda bağlantı boşaltma etkin olmalıdır

Açıklama: Bu denetim, Klasik Load Balancer'ların bağlantı boşaltma özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Klasik Load Balancer'larda bağlantı boşaltmanın etkinleştirilmesi, yük dengeleyicinin kaydı kaldıran veya iyi durumda olmayan örneklere istek göndermeyi durdurmasını sağlar. Mevcut bağlantıları açık tutar. Bu, bağlantıların ani bir şekilde kesilmesini sağlamak için Otomatik Ölçeklendirme gruplarındaki örnekler için kullanışlıdır.

Önem Derecesi: Orta

CloudFront dağıtımlarında AWS WAF etkinleştirilmelidir

Açıklama: Bu denetim, CloudFront dağıtımlarının AWS WAF veya AWS WAFv2 web ACL'leriyle ilişkilendirilip ilişkilendirilmediğini denetler. Dağıtım bir web ACL'siyle ilişkilendirilmiyorsa denetim başarısız olur. AWS WAF, web uygulamalarının ve API'lerin saldırılara karşı korunmasına yardımcı olan bir web uygulaması güvenlik duvarıdır. Tanımladığınız özelleştirilebilir web güvenlik kuralları ve koşullarına göre web isteklerine izin veren, engelleyen veya sayan web erişim denetim listesi (web ACL) olarak adlandırılan bir kural kümesi yapılandırmanıza olanak tanır. CloudFront dağıtımınızın kötü amaçlı saldırılardan korunmasına yardımcı olmak için bir AWS WAF web ACL'siyle ilişkilendirildiğinden emin olun.

Önem Derecesi: Orta

CloudFront dağıtımlarında günlüğe kaydetme etkinleştirilmelidir

Açıklama: Bu denetim, CloudFront dağıtımlarında sunucu erişim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Erişim günlüğü bir dağıtım için etkinleştirilmediyse denetim başarısız olur. CloudFront erişim günlükleri, CloudFront'un aldığı her kullanıcı isteği hakkında ayrıntılı bilgi sağlar. Her günlük, isteğin alındığı tarih ve saat, isteği yapan görüntüleyicinin IP adresi, isteğin kaynağı ve görüntüleyiciden gelen isteğin bağlantı noktası numarası gibi bilgileri içerir. Bu günlükler, güvenlik ve erişim denetimleri ve adli inceleme gibi uygulamalar için kullanışlıdır. Erişim günlüklerini analiz etme hakkında daha fazla bilgi için Amazon Athena Kullanıcı Kılavuzu'nda Amazon CloudFront günlüklerini sorgulama bölümüne bakın.

Önem Derecesi: Orta

CloudFront dağıtımları aktarım sırasında şifreleme gerektirmelidir

Açıklama: Bu denetim, Amazon CloudFront dağıtımının görüntüleyicilerin doğrudan HTTPS kullanmasını mı yoksa yeniden yönlendirme mi kullandığını denetler. ViewerProtocolPolicy defaultCacheBehavior veya cacheBehaviors için tümüne izin ver olarak ayarlandıysa denetim başarısız olur. HTTPS (TLS), olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz.

Önem Derecesi: Orta

CloudTrail günlükleri KMS CMK'leri kullanılarak bekleme sırasında şifrelenmelidir

Açıklama: CloudTrail'i SSE-KMS kullanacak şekilde yapılandırmanızı öneririz. CloudTrail'in SSE-KMS kullanacak şekilde yapılandırılması, belirli bir kullanıcının ilgili günlük demetinde S3 okuma iznine sahip olması ve CMK ilkesi tarafından şifre çözme izni verilmesi gerektiğinden günlük verilerinde daha fazla gizlilik denetimi sağlar.

Önem Derecesi: Orta

Amazon Redshift kümelerine bağlantılar aktarım sırasında şifrelenmelidir

Açıklama: Bu denetim, aktarım sırasında şifreleme kullanmak için Amazon Redshift kümelerine yönelik bağlantıların gerekli olup olmadığını denetler. Amazon Redshift küme parametresi require_SSL 1 olarak ayarlı değilse denetim başarısız olur. TLS, olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca TLS üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz.

Önem Derecesi: Orta

Elasticsearch etki alanlarına bağlantılar TLS 1.2 kullanılarak şifrelenmelidir

Açıklama: Bu denetim, Elasticsearch etki alanlarına yönelik bağlantıların TLS 1.2 kullanmak için gerekli olup olmadığını denetler. Elasticsearch etki alanı TLSSecurityPolicy Policy-Min-TLS-1-2-2019-07 değilse denetim başarısız olur. HTTPS (TLS), olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz. TLS 1.2, TLS'nin önceki sürümlerine göre çeşitli güvenlik geliştirmeleri sağlar.

Önem Derecesi: Orta

DynamoDB tablolarında belirli bir noktaya kurtarma etkinleştirilmelidir

Açıklama: Bu denetim, bir Amazon DynamoDB tablosu için belirli bir noktaya kurtarmanın (PITR) etkinleştirilip etkinleştirilmediğini denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Ayrıca sistemlerinizin dayanıklılığını da güçlendirirler. DynamoDB belirli bir noktaya kurtarma, DynamoDB tabloları için yedeklemeleri otomatikleştirir. Yanlışlıkla silme veya yazma işlemlerinden kurtarma süresini azaltır. PITR'nin etkinleştirildiği DynamoDB tabloları son 35 gün içinde herhangi bir noktaya geri yüklenebilir.

Önem Derecesi: Orta

EBS varsayılan şifrelemesi etkinleştirilmelidir

Açıklama: Bu denetim, Hesap düzeyinde şifrelemenin Amazon Elastic Block Store (Amazon EBS) için varsayılan olarak etkinleştirilip etkinleştirilmediğini denetler. Hesap düzeyinde şifreleme etkinleştirilmediyse denetim başarısız olur. Hesabınız için şifreleme etkinleştirildiğinde, Amazon EBS birimleri ve anlık görüntü kopyaları bekleme durumunda şifrelenir. Bu, verileriniz için başka bir koruma katmanı ekler. Daha fazla bilgi için Bkz . Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'nda varsayılan olarak şifreleme.

Aşağıdaki örnek türleri şifrelemeyi desteklemez: R1, C1 ve M1.

Önem Derecesi: Orta

Elastic Beanstalk ortamlarında gelişmiş sistem durumu raporlaması etkinleştirilmelidir

Açıklama: Bu denetim, AWS Elastic Beanstalk ortamlarınız için gelişmiş sistem durumu raporlamanın etkinleştirilip etkinleştirilmediğini denetler. Elastic Beanstalk gelişmiş sistem durumu raporlaması, temel alınan altyapının sistem durumundaki değişikliklere daha hızlı yanıt vermenizi sağlar. Bu değişiklikler uygulamanın kullanılabilir olmamasıyla sonuçlanabilir. Elastic Beanstalk gelişmiş sistem durumu raporlaması, tanımlanan sorunların önem derecesini ölçmek ve araştırmak için olası nedenleri belirlemek için bir durum tanımlayıcısı sağlar. Desteklenen Amazon Machine Images'a () dahil olan Elastic Beanstalk sistem durumu aracısı, ortam EC2 örneklerinin günlüklerini ve ölçümlerini değerlendirir.

Önem Derecesi: Düşük

Elastic Beanstalk yönetilen platform güncelleştirmeleri etkinleştirilmelidir

Açıklama: Bu denetim, Yönetilen platform güncelleştirmelerinin Elastic Beanstalk ortamı için etkinleştirilip etkinleştirilmediğini denetler. Yönetilen platform güncelleştirmelerinin etkinleştirilmesi, ortam için en son kullanılabilir platform düzeltmelerinin, güncelleştirmelerinin ve özelliklerinin yüklenmesini sağlar. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.

Önem Derecesi: Yüksek

Elastik Load Balancer'ın ACM sertifikasının süresi 90 gün içinde dolmamalıdır.

Açıklama: Bu denetim, süresi dolan veya süresi 90 gün içinde dolan ACM sertifikalarını kullanan Elastik Yük Dengeleyicileri (ELB) tanımlar. AWS Sertifika Yöneticisi (ACM), sunucu sertifikalarınızı sağlamak, yönetmek ve dağıtmak için tercih edilen araçtır. ACM ile. AWS kaynaklarına sertifika isteyebilir veya mevcut bir ACM veya dış sertifikayı dağıtabilirsiniz. En iyi yöntem olarak, özgün sertifikanın ELB ilişkilendirmelerini korurken süresi dolan/süresi dolan sertifikaların yeniden aktarılması önerilir.

Önem Derecesi: Yüksek

CloudWatch Günlüklerine elasticsearch etki alanı hata günlüğü etkinleştirilmelidir

Açıklama: Bu denetim, Elasticsearch etki alanlarının CloudWatch Günlüklerine hata günlükleri gönderecek şekilde yapılandırılıp yapılandırılmadığını denetler. Elasticsearch etki alanları için hata günlüklerini etkinleştirmeniz ve saklama ve yanıt için bu günlükleri CloudWatch Günlüklerine göndermeniz gerekir. Etki alanı hata günlükleri güvenlik ve erişim denetimlerine yardımcı olabilir ve kullanılabilirlik sorunlarını tanılamaya yardımcı olabilir.

Önem Derecesi: Orta

Elasticsearch etki alanları en az üç ayrılmış ana düğümle yapılandırılmalıdır

Açıklama: Bu denetim Elasticsearch etki alanlarının en az üç ayrılmış ana düğümle yapılandırılıp yapılandırılmadığını denetler. Etki alanı ayrılmış ana düğümler kullanmıyorsa bu denetim başarısız olur. Elasticsearch etki alanlarının beş ayrılmış ana düğümü varsa bu denetim geçer. Ancak, kullanılabilirlik riskini azaltmak için üçten fazla ana düğüm kullanmak gereksiz olabilir ve daha fazla maliyetle sonuçlanır. Elasticsearch etki alanı, yüksek kullanılabilirlik ve hataya dayanıklılık için en az üç ayrılmış ana düğüm gerektirir. Yönetilecek daha fazla düğüm olduğundan, veri düğümü mavi/yeşil dağıtımları sırasında ayrılmış ana düğüm kaynakları zorlanabilir. En az üç ayrılmış ana düğüme sahip bir Elasticsearch etki alanı dağıtmak, düğüm başarısız olursa yeterli ana düğüm kaynak kapasitesi ve küme işlemleri sağlar.

Önem Derecesi: Orta

Elasticsearch etki alanlarında en az üç veri düğümü olmalıdır

Açıklama: Bu denetim Elasticsearch etki alanlarının en az üç veri düğümü ve zoneAwarenessEnabled ile yapılandırılıp yapılandırılmadığını denetler. Elasticsearch etki alanı, yüksek kullanılabilirlik ve hataya dayanıklılık için en az üç veri düğümü gerektirir. Elasticsearch etki alanının en az üç veri düğümüyle dağıtılması, bir düğümün başarısız olması durumunda küme işlemlerinin gerçekleştirilmesini sağlar.

Önem Derecesi: Orta

Elasticsearch etki alanlarında denetim günlüğü etkinleştirilmelidir

Açıklama: Bu denetim, Elasticsearch etki alanlarında denetim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Elasticsearch etki alanında denetim günlüğü etkin değilse bu denetim başarısız olur. Denetim günlükleri yüksek oranda özelleştirilebilir. Bunlar, kimlik doğrulama başarıları ve hataları, OpenSearch istekleri, dizin değişiklikleri ve gelen arama sorguları dahil olmak üzere Elasticsearch kümelerinizdeki kullanıcı etkinliğini izlemenize olanak tanır.

Önem Derecesi: Orta

RDS DB örnekleri ve kümeleri için gelişmiş izleme yapılandırılmalıdır

Açıklama: Bu denetim, RDS DB örnekleriniz için gelişmiş izlemenin etkinleştirilip etkinleştirilmediğini denetler. Amazon RDS'de Gelişmiş İzleme, temel altyapıdaki performans değişikliklerine daha hızlı yanıt vermenizi sağlar. Bu performans değişiklikleri verilerin kullanılabilir olmamasıyla sonuçlanabilir. Gelişmiş İzleme, RDS DB örneğinizin üzerinde çalıştığı işletim sisteminin gerçek zamanlı ölçümlerini sağlar. Örnekte bir aracı yüklüdür. Aracı, hiper yönetici katmanından mümkün olandan daha doğru ölçümler alabilir. Gelişmiş İzleme ölçümleri, bir VERITABANı örneğindeki farklı işlemlerin veya iş parçacıklarının CPU'ları nasıl kullandığını görmek istediğinizde kullanışlıdır. Daha fazla bilgi için bkz. Amazon RDS Kullanıcı Kılavuzu'nda Gelişmiş İzleme.

Önem Derecesi: Düşük

Müşteri tarafından oluşturulan CMK'ler için döndürmenin etkinleştirildiğinden emin olun

Açıklama: AWS Anahtar Yönetim Merkezi (KMS), müşterilerin, Müşteri Tarafından Oluşturulan müşteri ana anahtarının (CMK) anahtar kimliğine bağlı KMS içinde depolanan anahtar malzemesi olan yedekleme anahtarını döndürmesine olanak tanır. Şifreleme ve şifre çözme gibi şifreleme işlemlerini gerçekleştirmek için kullanılan yedekleme anahtarıdır. Otomatik anahtar döndürme şu anda şifrelenmiş verilerin şifresinin saydam bir şekilde çözülebilmesi için önceki tüm yedekleme anahtarlarını korur. CMK anahtarı döndürmenin etkinleştirilmesi önerilir. Şifreleme anahtarlarını döndürmek, güvenliği aşılmış anahtarın olası etkisini azaltmaya yardımcı olur çünkü yeni bir anahtarla şifrelenen verilere, kullanıma açık olabilecek önceki bir anahtarla erişilemiyor.

Önem Derecesi: Orta

CloudTrail S3 demetinde S3 demeti erişim günlüğünün etkinleştirildiğinden emin olun

Açıklama: S3 Demet Erişim Günlüğü, erişim kayıtlarını içeren bir günlük oluşturur S3 demetinize yapılan her istek için CloudTrail S3 demetinde S3 demeti erişim günlüğünün etkinleştirildiğinden emin olun. Erişim günlüğü kaydı istekle ilgili istek türü, istekte belirtilen kaynakların çalışması ve isteğin işlendiği saat ve tarih gibi ayrıntıları içerir. CloudTrail S3 demetinde demet erişim günlüğünün etkinleştirilmesi önerilir. Hedef S3 demetlerinde S3 demeti günlüğünü etkinleştirerek, hedef demetlerdeki nesneleri etkileyebilecek tüm olayları yakalamak mümkündür. Günlükleri ayrı bir demete yerleştirilecek şekilde yapılandırmak, güvenlik ve olay yanıtı iş akışlarında yararlı olabilecek günlük bilgilerine erişim sağlar.

Önem Derecesi: Düşük

CloudTrail günlüklerini depolamak için kullanılan S3 demetinin genel olarak erişilebilir olmadığından emin olun

Açıklama: CloudTrail, AWS hesabınızda yapılan her API çağrısının kaydını günlüğe kaydeder. Bu günlük dosyaları bir S3 demetinde depolanır. CloudTrail günlüklerine genel erişimi engellemek için CloudTrail'in günlüklediği S3 demetine demet ilkesinin veya erişim denetimi listesinin (ACL) uygulanması önerilir. CloudTrail günlük içeriğine genel erişime izin vermek, bir saldırganın etkilenen hesabın kullanımı veya yapılandırmasındaki zayıflıkları belirlemesine yardımcı olabilir.

Önem Derecesi: Yüksek

IAM'nin süresi dolmamış SSL/TLS sertifikaları olmamalıdır

Açıklama: Bu denetim süresi dolan SSL/TLS sertifikalarını tanımlar. AWS'de web sitenize veya uygulamanıza HTTPS bağlantılarını etkinleştirmek için bir SSL/TLS sunucu sertifikasına ihtiyacınız vardır. Sunucu sertifikalarını depolamak ve dağıtmak için ACM veya IAM kullanabilirsiniz. Süresi dolan SSL/TLS sertifikalarının kaldırılması geçersiz bir sertifikanın AWS Elastic Load Balancer (ELB) gibi bir kaynağa yanlışlıkla dağıtılması riskini ortadan kaldırır ve bu da ELB'nin arkasındaki uygulamanın/web sitesinin güvenilirliğine zarar verebilir. Bu denetim, AWS IAM'de depolanan süresi dolmuş SSL/TLS sertifikaları varsa uyarılar oluşturur. En iyi yöntem olarak süresi dolan sertifikaların silinmesi önerilir.

Önem Derecesi: Yüksek

İçeri aktarılan ACM sertifikaları belirtilen süre sonunda yenilenmelidir

Açıklama: Bu denetim, hesabınızdaki ACM sertifikalarının 30 gün içinde süre sonu olarak işaretlenip işaretlenmediğini denetler. AWS Sertifika Yöneticisi tarafından sağlanan hem içeri aktarılan sertifikaları hem de sertifikaları denetler. ACM, DNS doğrulama kullanan sertifikaları otomatik olarak yenileyebilir. E-posta doğrulama kullanan sertifikalar için bir etki alanı doğrulama e-postasına yanıt vermelisiniz. ACM ayrıca içeri aktardığınız sertifikaları otomatik olarak yenilemez. İçeri aktarılan sertifikaları el ile yenilemeniz gerekir. ACM sertifikaları için yönetilen yenileme hakkında daha fazla bilgi için AWS Sertifika Yöneticisi Kullanıcı Kılavuzu'ndaki ACM sertifikaları için yönetilen yenileme bölümüne bakın.

Önem Derecesi: Orta

İzin Sürünme Dizini'ni (PCI) azaltmak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır

Açıklama: İzin Sürünme Dizini'ni (PCI) azaltmak ve altyapınızı korumak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır. Kullanılmayan yüksek riskli izin atamalarını kaldırarak PCI'yi azaltın. Yüksek PCI, normal veya gerekli kullanımlarını aşan izinlere sahip kimliklerle ilişkili riski yansıtır.

Önem Derecesi: Orta

RDS otomatik ikincil sürüm yükseltmeleri etkinleştirilmelidir

Açıklama: Bu denetim, RDS veritabanı örneği için otomatik ikincil sürüm yükseltmelerinin etkinleştirilip etkinleştirilmediğini denetler. Otomatik ikincil sürüm yükseltmelerinin etkinleştirilmesi, ilişkisel veritabanı yönetim sisteminde (RDBMS) en son ikincil sürüm güncelleştirmelerinin yüklenmesini sağlar. Bu yükseltmeler güvenlik düzeltme eklerini ve hata düzeltmelerini içerebilir. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.

Önem Derecesi: Yüksek

RDS kümesi anlık görüntüleri ve veritabanı anlık görüntüleri bekleme sırasında şifrelenmelidir

Açıklama: Bu denetim RDS DB anlık görüntülerinin şifrelenip şifrelenmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örneklerinin, Neptune DB örneklerinin ve Amazon DocumentDB kümelerinin anlık görüntüleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. Bekleyen verilerin şifrelenmesi, kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. RDS anlık görüntülerindeki veriler, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir.

Önem Derecesi: Orta

RDS kümelerinde silme koruması etkinleştirilmelidir

Açıklama: Bu denetim, RDS kümelerinde silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örnekleri, Neptune DB örnekleri ve Amazon DocumentDB kümeleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. Küme silme korumasının etkinleştirilmesi, yetkisiz bir varlık tarafından yanlışlıkla veritabanı silinmesine veya silinmesine karşı bir diğer koruma katmanıdır. Silme koruması etkinleştirildiğinde RDS kümesi silinemez. Silme isteğinin başarılı olması için silme koruması devre dışı bırakılmalıdır.

Önem Derecesi: Düşük

RDS DB kümeleri birden çok Kullanılabilirlik Alanları için yapılandırılmalıdır

Açıklama: RDS DB kümeleri depolanan birden çok veri için yapılandırılmalıdır. Birden çok Kullanılabilirlik Alanları dağıtım, Kullanılabilirlik Alanı kullanılabilirliği sorunu durumunda ve normal RDS bakım olayları sırasında ed yük devretmenin kullanılabilirliğini sağlamak için Kullanılabilirlik Alanları otomatikleştirmeye olanak tanır.

Önem Derecesi: Orta

RDS DB kümeleri, etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılmalıdır

Açıklama: BT varlıklarınızın tanımlanması ve envanteri, idare ve güvenliğin önemli bir yönüdür. Güvenlik duruşlarını değerlendirebilmek ve olası zayıflık alanları üzerinde işlem yapmak için tüm RDS DB kümelerinizin görünürlüğüne sahip olmanız gerekir. Anlık görüntüler, üst RDS veritabanı kümeleriyle aynı şekilde etiketlenmelidir. Bu ayarın etkinleştirilmesi, anlık görüntülerin üst veritabanı kümelerinin etiketlerini devralmasını sağlar.

Önem Derecesi: Düşük

RDS DB örnekleri, etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılmalıdır

Açıklama: Bu denetim, RDS DB örneklerinin anlık görüntüler oluşturulduğunda tüm etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılıp yapılandırılmadığını denetler. BT varlıklarınızın tanımlanması ve envanteri, idare ve güvenliğin önemli bir yönüdür. Güvenlik duruşlarını değerlendirebilmeniz ve olası zayıflık alanları üzerinde eyleme geçebilmeniz için tüm RDS DB örneklerinizin görünürlüğüne sahip olmanız gerekir. Anlık görüntüler, üst RDS veritabanı örnekleriyle aynı şekilde etiketlenmelidir. Bu ayarın etkinleştirilmesi, anlık görüntülerin üst veritabanı örneklerinin etiketlerini devralmasını sağlar.

Önem Derecesi: Düşük

RDS DB örnekleri birden çok Kullanılabilirlik Alanları ile yapılandırılmalıdır

Açıklama: Bu denetim, RDS DB örnekleriniz için yüksek kullanılabilirlik özelliğinin etkinleştirilip etkinleştirilmediğini denetler. RDS DB örnekleri birden çok Kullanılabilirlik Alanları (AZ) için yapılandırılmalıdır. Bu, depolanan verilerin kullanılabilirliğini sağlar. Multi-AZ dağıtımları, Kullanılabilirlik Alanı kullanılabilirliğiyle ilgili bir sorun varsa ve düzenli RDS bakımı sırasında otomatik yük devretmeye olanak sağlar.

Önem Derecesi: Orta

RDS DB örneklerinde silme koruması etkinleştirilmelidir

Açıklama: Bu denetim, listelenen veritabanı altyapılarından birini kullanan RDS VERITABANı örneklerinizde silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Örnek silme korumasının etkinleştirilmesi, yetkisiz bir varlık tarafından yanlışlıkla veritabanı silinmesine veya silinmesine karşı başka bir koruma katmanıdır. Silme koruması etkinken RDS DB örneği silinemez. Silme isteğinin başarılı olması için silme koruması devre dışı bırakılmalıdır.

Önem Derecesi: Düşük

RDS DB örneklerinde bekleyen şifreleme etkinleştirilmelidir

Açıklama: Bu denetim, Amazon RDS DB örnekleriniz için depolama şifrelemenin etkinleştirilip etkinleştirilmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örnekleri, Neptune DB örnekleri ve Amazon DocumentDB kümeleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. RDS DB örneklerindeki hassas verilerinize yönelik ek bir güvenlik katmanı için RDS VERITABANı örneklerinizi bekleyenlerde şifrelenecek şekilde yapılandırmanız gerekir. BEKLEYEN RDS VERITABANı örneklerinizi ve anlık görüntülerinizi şifrelemek için RDS VERITABANı örnekleriniz için şifreleme seçeneğini etkinleştirin. Bekleyen veriler veritabanı örnekleri için temel depolamayı, otomatik yedeklemelerini, okuma çoğaltmalarını ve anlık görüntüleri içerir. RDS şifrelenmiş VERITABANı örnekleri, RDS VERITABANı örneklerinizi barındıran sunucuda verilerinizi şifrelemek için açık standart AES-256 şifreleme algoritmasını kullanır. Verileriniz şifrelendikten sonra Amazon RDS, verilerinizin erişim ve şifre çözme kimlik doğrulamalarını performansı en düşük düzeyde etkileyip şeffaf bir şekilde işler. Şifrelemeyi kullanmak için veritabanı istemci uygulamalarınızı değiştirmeniz gerekmez. Amazon RDS şifrelemesi şu anda tüm veritabanı altyapıları ve depolama türleri için kullanılabilir. Amazon RDS şifrelemesi çoğu VERITABANı örneği sınıfı için kullanılabilir. Amazon RDS şifrelemesini desteklemeyen veritabanı örneği sınıfları hakkında bilgi edinmek için bkz. Amazon RDS Kullanıcı Kılavuzu'nda Amazon RDS kaynaklarını şifreleme.

Önem Derecesi: Orta

RDS DB Örnekleri genel erişimi yasaklamalıdır

Açıklama: Kullanıcıların RDS örneklerinin ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayarak RDS örneğinizin yapılandırmasına erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olmanız önerilir.

Önem Derecesi: Yüksek

RDS anlık görüntüleri genel erişimi yasaklamalıdır

Açıklama: Yalnızca yetkili sorumluların anlık görüntüye erişmesine ve Amazon RDS yapılandırmasını değiştirmesine izin vermenizi öneririz.

Önem Derecesi: Yüksek

Kullanılmayan Gizli Dizi Yöneticisi gizli dizilerini kaldırma

Açıklama: Bu denetim, gizli dizilerinize belirtilen sayıda gün içinde erişilip erişilemediğini denetler. Varsayılan değer 90 gündür. Tanımlanan gün sayısı içinde gizli diziye erişimezse, bu denetim başarısız olur. Kullanılmayan gizli dizileri silmek, gizli dizileri döndürmek kadar önemlidir. Kullanılmayan gizli diziler, artık bu gizli dizilere erişmesi gerekmeyen eski kullanıcıları tarafından kötüye kullanılabilir. Ayrıca, bir gizli diziye daha fazla kullanıcı eriştikçe, birisi bunu yanlış işleyip yetkisiz bir varlığa sızdırmış olabilir ve bu da kötüye kullanım riskini artırır. Kullanılmayan gizli dizileri silmek, artık ihtiyacı olmayan kullanıcıların gizli dizi erişimini iptal etmenize yardımcı olur. Ayrıca Gizli Dizi Yöneticisi'ni kullanmanın maliyetini azaltmaya da yardımcı olur. Bu nedenle kullanılmayan gizli dizileri düzenli olarak silmek önemlidir.

Önem Derecesi: Orta

S3 demetlerinde bölgeler arası çoğaltma etkinleştirilmelidir

Açıklama: S3 bölgeler arası çoğaltmanın etkinleştirilmesi, verilerin farklı farklı Bölgelerde birden çok sürümünün kullanılabilir olmasını sağlar. Bu sayede S3 demetinizi DDoS saldırılarına ve veri bozulması olaylarına karşı koruyabilirsiniz.

Önem Derecesi: Düşük

S3 demetlerinde sunucu tarafı şifreleme etkinleştirilmelidir

Açıklama: S3 demetlerinizdeki verileri korumak için sunucu tarafı şifrelemeyi etkinleştirin. Verilerin şifrelenmesi, veri ihlali durumunda hassas verilere erişimi engelleyebilir.

Önem Derecesi: Orta

Otomatik döndürme ile yapılandırılan Gizli Dizi Yöneticisi gizli dizileri başarıyla döndürülmelidir

Açıklama: Bu denetim, AWS Secrets Manager gizli dizisinin döndürme zamanlamasına göre başarıyla döndürülmüş olup olmadığını denetler. RotationOccurringAsScheduled false olduğunda denetim başarısız olur. Denetim, döndürme yapılandırılmamış gizli dizileri değerlendirmez. Gizli Dizi Yöneticisi, kuruluşunuzun güvenlik duruşunu geliştirmenize yardımcı olur. Gizli diziler veritabanı kimlik bilgilerini, parolaları ve üçüncü taraf API anahtarlarını içerir. Gizli dizileri merkezi olarak depolamak, gizli dizileri otomatik olarak şifrelemek, gizli dizilere erişimi denetlemek ve gizli dizileri güvenli ve otomatik olarak döndürmek için Gizli DiziLer Yöneticisi'ni kullanabilirsiniz. Gizli Dizi Yöneticisi gizli dizileri döndürebilir. Uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirmek için döndürmeyi kullanabilirsiniz. Gizli dizilerinizi döndürmek, yetkisiz bir kullanıcının gizliliği tehlikeye girmiş bir gizli diziyi ne kadar süre kullanabileceğini sınırlar. Bu nedenle gizli dizilerinizi sık sık döndürmeniz gerekir. Gizli dizileri otomatik olarak döndürülecek şekilde yapılandırmaya ek olarak, bu gizli dizilerin döndürme zamanlamasına göre başarıyla döndürüldüğünden emin olmanız gerekir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.

Önem Derecesi: Orta

Gizli Dizi Yöneticisi gizli dizileri belirtilen sayıda gün içinde döndürülmelidir

Açıklama: Bu denetim, gizli dizilerinizin 90 gün içinde en az bir kez döndürülmüş olup olmadığını denetler. Gizli dizileri döndürmek, AWS hesabınızda gizli dizilerinizin yetkisiz kullanımı riskini azaltmanıza yardımcı olabilir. Örnek olarak veritabanı kimlik bilgileri, parolalar, üçüncü taraf API anahtarları ve hatta rastgele metinler verilebilir. Gizli dizilerinizi uzun bir süre değiştirmezseniz, gizli dizilerin gizliliğinin tehlikeye atılması daha olasıdır. Bir gizli diziye daha fazla kullanıcı eriştikçe, birinin gizli diziyi yanlış işleyip yetkisiz bir varlığa sızdırmış olma olasılığı daha yüksek olabilir. Gizli diziler günlükler ve önbellek verileri aracılığıyla sızdırılabilir. Bunlar hata ayıklama amacıyla paylaşılabilir ve hata ayıklama tamamlandıktan sonra değiştirilemez veya iptal edilebilir. Tüm bu nedenlerle gizli diziler sık sık döndürülmelidir. Gizli dizilerinizi AWS Secrets Manager'da otomatik döndürme için yapılandırabilirsiniz. Otomatik döndürme ile uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirerek risk riskini önemli ölçüde azaltabilirsiniz. Güvenlik Hub'ı Gizli Dizi Yöneticisi gizli dizileriniz için döndürmeyi etkinleştirmenizi önerir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.

Önem Derecesi: Orta

SNS konuları AWS KMS kullanılarak bekleme sırasında şifrelenmelidir

Açıklama: Bu denetim, AWS KMS kullanılarak bekleyen bir SNS konusunun şifrelenip şifrelenmediğini denetler. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Ayrıca, yetkisiz kullanıcıların verilere erişme becerisini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir. SNS konuları, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir. Daha fazla bilgi için bkz. Amazon Simple Notification Service Geliştirici Kılavuzu'nda bekleyen şifreleme.

Önem Derecesi: Orta

VPC akış günlüğü tüm VPC'lerde etkinleştirilmelidir

Açıklama: VPC Akış Günlükleri, VPC'den geçen ağ trafiğine görünürlük sağlar ve güvenlik olayları sırasında anormal trafiği veya içgörüleri algılamak için kullanılabilir.

Önem Derecesi: Orta

GCP veri önerileri

Cloud SQL Server örneği için '3625 (izleme bayrağı)' veritabanı bayrağının 'off' olarak ayarlandığından emin olun

Açıklama: Cloud SQL SQL Server örneği için "3625 (izleme bayrağı)" veritabanı bayrağının "kapalı" olarak ayarlanması önerilir. İzleme bayrakları genellikle performans sorunlarını tanılamak veya saklı yordamlarda veya karmaşık bilgisayar sistemlerinde hata ayıklamak için kullanılır, ancak belirli bir iş yükünü olumsuz etkileyen davranışı ele almak için Microsoft Desteği tarafından da önerilebilir. Belgelenen tüm izleme bayrakları ve Microsoft Desteği tarafından önerilenler, yönlendirildi olarak kullanıldığında üretim ortamında tam olarak desteklenir. "3625(izleme günlüğü)" '******' kullanarak bazı hata iletilerinin parametrelerini maskeleyerek sysadmin sabit sunucu rolünün üyesi olmayan kullanıcılara döndürülen bilgi miktarını sınırlar. Bu, hassas bilgilerin açığa çıkmasını önlemeye yardımcı olabilir. Bu nedenle bu bayrağı devre dışı bırakması önerilir. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

Cloud SQL SQL Server örneği için 'dış betikler etkin' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun

Açıklama: Cloud SQL SQL Server örneği için "dış betikler etkinleştirildi" veritabanı bayrağının kapalı olarak ayarlanması önerilir. "dış betikler etkinleştirildi", belirli uzak dil uzantılarıyla betiklerin yürütülmesini etkinleştirir. Bu özellik varsayılan olarak KAPALI'dır. Advanced Analytics Services yüklendiğinde, kurulum isteğe bağlı olarak bu özelliği true olarak ayarlayabilir. "Dış Betikler Etkinleştirildi" özelliği, R kitaplığında bulunan dosyalar gibi SQL dışındaki betiklerin yürütülmesine izin verdiğinden, sistemin güvenliğini olumsuz etkileyebilir, bu nedenle bu devre dışı bırakılmalıdır. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Yüksek

Cloud SQL SQL Server örneği için 'uzaktan erişim' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun

Açıklama: Cloud SQL Server örneği için "uzaktan erişim" veritabanı bayrağının "kapalı" olarak ayarlanması önerilir. "Uzaktan erişim" seçeneği, SQL Server örneklerinin çalıştığı yerel veya uzak sunuculardan saklı yordamların yürütülmesini denetler. Bu seçenek için bu varsayılan değer 1'dir. Bu, uzak sunuculardan yerel saklı yordamları veya yerel sunucudan uzak saklı yordamları çalıştırma izni verir. Yerel saklı yordamların uzak sunucudan veya uzak saklı yordamların yerel sunucuda çalıştırılmasını önlemek için bu devre dışı bırakılmalıdır. Uzaktan Erişim seçeneği, uzak sunucularda yerel saklı yordamların veya yerel sunucudaki uzak saklı yordamların yürütülmesini denetler. Sorgu işlemeyi bir hedefe yükleyerek uzak sunucularda Hizmet Reddi (DoS) saldırısı başlatmak için 'Uzaktan erişim' işlevi kötüye kullanılabilir, bu nedenle bu devre dışı bırakılmalıdır. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Yüksek

Cloud SQL Mysql örneği için 'skip_show_database' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun

Açıklama: Cloud SQL Mysql örneği için "skip_show_database" veritabanı bayrağının "açık" olarak ayarlanması önerilir. 'skip_show_database' veritabanı bayrağı, SHOW DATABASES ayrıcalığına sahip olmayan kişilerin SHOW DATABASES deyimini kullanmasını engeller. Bu, kullanıcıların diğer kullanıcılara ait veritabanlarını görebilmesi konusunda endişeleriniz varsa güvenliği artırabilir. Etkisi, SHOW DATABASES ayrıcalığına bağlıdır: Değişken değeri ON ise, SHOW DATABASES deyimine yalnızca SHOW DATABASES ayrıcalığına sahip kullanıcılara izin verilir ve deyimi tüm veritabanı adlarını görüntüler. Değer KAPALI ise, SHOW DATABASES tüm kullanıcılara izin verilir, ancak yalnızca kullanıcının SHOW DATABASES veya diğer ayrıcalığına sahip olduğu veritabanlarının adlarını görüntüler. Bu öneri Mysql veritabanı örnekleri için geçerlidir.

Önem Derecesi: Düşük

Tüm BigQuery Veri Kümeleri için Varsayılan Müşteri tarafından yönetilen şifreleme anahtarının (CMEK) belirtildiğine emin olun

Açıklama: BigQuery, Google tarafından yönetilen şifreleme anahtarlarını kullanarak Zarf Şifrelemesi'ni kullanarak verileri varsayılan olarak rest olarak şifreler. Veriler, veri şifreleme anahtarları kullanılarak şifrelenir ve veri şifreleme anahtarları anahtar şifreleme anahtarları kullanılarak daha da şifrelenir. Bu sorunsuzdur ve kullanıcıdan ek giriş gerektirmez. Ancak, daha fazla denetime sahip olmak istiyorsanız, Müşteri tarafından yönetilen şifreleme anahtarları (CMEK), BigQuery Veri Kümeleri için şifreleme anahtarı yönetimi çözümü olarak kullanılabilir. BigQuery, Google tarafından yönetilen şifreleme anahtarlarını kullanarak Zarf Şifrelemesi'ni kullanarak verileri varsayılan olarak rest olarak şifreler. Bu sorunsuzdur ve kullanıcıdan ek giriş gerektirmez. Şifreleme üzerinde daha fazla denetim için müşteri tarafından yönetilen şifreleme anahtarları (CMEK), BigQuery Veri Kümeleri için şifreleme anahtarı yönetim çözümü olarak kullanılabilir. Bir veri kümesi için Varsayılan Müşteri tarafından yönetilen şifreleme anahtarının (CMEK) ayarlanması, gelecekte oluşturulan tüm tabloların başka bir değer sağlanmazsa belirtilen CMEK'yi kullanmasını sağlar.

Google, anahtarlarınızı sunucularında depolamaz ve anahtarı sağlamadığınız sürece korumalı verilerinize erişemez.

Bu aynı zamanda anahtarınızı unutur veya kaybederseniz Google'ın anahtarı kurtarmasının veya kayıp anahtarla şifrelenmiş verileri kurtarmasının hiçbir yolu olmadığı anlamına gelir.

Önem Derecesi: Orta

Tüm BigQuery Tablolarının Müşteri tarafından yönetilen şifreleme anahtarı (CMEK) ile şifrelenmesini sağlayın

Açıklama: BigQuery, Google tarafından yönetilen şifreleme anahtarlarını kullanarak Zarf Şifrelemesi'ni kullanarak verileri varsayılan olarak rest olarak şifreler. Veriler, veri şifreleme anahtarları kullanılarak şifrelenir ve veri şifreleme anahtarları anahtar şifreleme anahtarları kullanılarak daha da şifrelenir. Bu sorunsuzdur ve kullanıcıdan ek giriş gerektirmez. Ancak, daha fazla denetime sahip olmak istiyorsanız, Müşteri tarafından yönetilen şifreleme anahtarları (CMEK), BigQuery Veri Kümeleri için şifreleme anahtarı yönetimi çözümü olarak kullanılabilir. CMEK kullanılıyorsa CMEK, google tarafından yönetilen şifreleme anahtarlarını kullanmak yerine veri şifreleme anahtarlarını şifrelemek için kullanılır. BigQuery, Google tarafından yönetilen şifreleme anahtarlarını kullanarak Zarf Şifrelemesi'ni kullanarak verileri varsayılan olarak rest olarak şifreler. Bu sorunsuzdur ve kullanıcıdan ek giriş gerektirmez. Şifreleme üzerinde daha fazla denetim için müşteri tarafından yönetilen şifreleme anahtarları (CMEK), BigQuery tabloları için şifreleme anahtarı yönetim çözümü olarak kullanılabilir. CMEK, google tarafından yönetilen şifreleme anahtarlarını kullanmak yerine veri şifreleme anahtarlarını şifrelemek için kullanılır. BigQuery, tabloyu ve CMEK ilişkilendirmesini depolar ve şifreleme/şifre çözme işlemi otomatik olarak gerçekleştirilir. BigQuery veri kümelerine Varsayılan Müşteri tarafından yönetilen anahtarların uygulanması, gelecekte oluşturulan tüm yeni tabloların CMEK kullanılarak şifrelenmesini sağlar, ancak mevcut tabloların CMEK'yi ayrı ayrı kullanmak için güncelleştirilmesi gerekir.

Google, anahtarlarınızı sunucularında depolamaz ve anahtarı sağlamadığınız sürece korumalı verilerinize erişemez. Bu aynı zamanda anahtarınızı unutur veya kaybederseniz Google'ın anahtarı kurtarmasının veya kayıp anahtarla şifrelenmiş verileri kurtarmasının hiçbir yolu olmadığı anlamına gelir.

Önem Derecesi: Orta

BigQuery veri kümelerinin anonim veya genel olarak erişilebilir olmadığından emin olun

Açıklama: BigQuery veri kümelerindeki IAM ilkesinin anonim ve/veya genel erişime izin vermemesi önerilir. allUsers veya allAuthenticatedUsers izinlerinin verilmesi, herkesin veri kümesine erişmesine olanak tanır. Hassas veriler veri kümesinde depolanıyorsa bu tür bir erişim istenmeyebilir. Bu nedenle, bir veri kümesine anonim ve/veya genel erişime izin verilmediğinden emin olun.

Önem Derecesi: Yüksek

Cloud SQL veritabanı örneklerinin otomatik yedeklemelerle yapılandırıldığından emin olun

Açıklama: Otomatik yedeklemeleri etkinleştirmek için tüm SQL veritabanı örneklerinin ayarlanması önerilir. Yedeklemeler, kayıp verileri kurtarmak veya bu örnekle ilgili bir sorundan kurtarmak için bir Cloud SQL örneğini geri yüklemenin bir yolunu sağlar. Kayıp veya hasara karşı korunması gereken verileri içeren tüm örnekler için otomatik yedeklemelerin ayarlanması gerekir. Bu öneri SQL Server, PostgreSql, MySql 1. nesil ve MySql 2. nesil örnekleri için geçerlidir.

Önem Derecesi: Yüksek

Cloud SQL veritabanı örneklerinin dünyaya açılmadığından emin olun

Açıklama: Veritabanı Sunucusu yalnızca güvenilen Ağlardan/IP'lerden gelen bağlantıları kabul etmeli ve dünyadan erişimi kısıtlamalıdır. Veritabanı sunucusu örneğinde saldırı yüzeyini en aza indirmek için, yalnızca güvenilen/bilinen ve gerekli IP'ler ona bağlanmak için onaylanmalıdır. Yetkili bir ağda IP'ler/ağlar 0.0.0.0/0 olarak yapılandırılmamalıdır ve bu da dünyanın herhangi bir yerinden örneğe erişime izin verir. Yetkili ağların yalnızca genel IP'leri olan örnekler için geçerli olduğunu unutmayın.

Önem Derecesi: Yüksek

Cloud SQL veritabanı örneklerinde genel IP'lerin olmadığından emin olun

Açıklama: İkinci Nesil Sql örneğinin genel IP'ler yerine özel IP'leri kullanacak şekilde yapılandırılması önerilir. Kuruluşun saldırı yüzeyini düşürmek için Cloud SQL veritabanlarının genel IP'leri olmamalıdır. Özel IP'ler, uygulamanız için gelişmiş ağ güvenliği ve daha düşük gecikme süresi sağlar.

Önem Derecesi: Yüksek

Bulut Depolama demetlerinin anonim olarak veya genel olarak erişilebilir olmadığından emin olun

Açıklama: Bulut Depolama demetinde IAM ilkesinin anonim veya genel erişime izin vermemesi önerilir. Anonim veya genel erişime izin vermek, herkese demet içeriğine erişme izni verir. Hassas verileri depoluyorsanız bu tür bir erişim istenmeyebilir. Bu nedenle, bir demet için anonim veya genel erişime izin verilmediğinden emin olun.

Önem Derecesi: Yüksek

Bulut Depolama demetlerinde tekdüzen demet düzeyinde erişimin etkinleştirildiğinden emin olun

Açıklama: Bulut Depolama demetlerinde tekdüzen demet düzeyinde erişimin etkinleştirilmesi önerilir. Bulut Depolama kaynaklarınıza erişim verme yönteminizi birleştirmek ve basitleştirmek için tekdüzen demet düzeyinde erişim kullanmanız önerilir. Bulut Depolama, kullanıcılara demetlerinize ve nesnelerinize erişim izni vermek için iki sistem sunar: Bulut Kimliği ve Erişim Yönetimi (Bulut IAM) ve Erişim Denetim Listeleri (ACL'ler).
Bu sistemler paralel olarak çalışır. Kullanıcının Bulut Depolama kaynağına erişebilmesi için sistemlerden yalnızca birinin kullanıcıya izin vermesi gerekir. Cloud IAM, Google Cloud genelinde kullanılır ve demet ve proje düzeylerinde çeşitli izinler vermenizi sağlar. ACL'ler yalnızca Bulut Depolama tarafından kullanılır ve sınırlı izin seçeneklerine sahiptir, ancak nesne başına izinler vermenizi sağlar.

Tekdüzen izin sistemini desteklemek için Bulut Depolama tekdüzen demet düzeyinde erişime sahiptir. Bu özelliğin kullanılması tüm Bulut Depolama kaynakları için ACL'leri devre dışı bırakır: Bulut Depolama kaynaklarına erişim yalnızca Bulut IAM aracılığıyla verilir. Tekdüzen demet düzeyinde erişimin etkinleştirilmesi, depolama demetinin genel olarak erişilebilir olmaması durumunda demetteki hiçbir nesnenin de genel olarak erişilebilir olmasını garanti eder.

Önem Derecesi: Orta

İşlem örneklerinde Gizli Bilgi İşlem'in etkinleştirildiğinden emin olun

Açıklama: Google Cloud bekleyen ve aktarımdaki verileri şifreler, ancak müşteri verilerinin işlenmesi için şifrelerinin çözülmesi gerekir. Gizli Bilgi İşlem, kullanımdaki verileri işlenirken şifreleyen çığır açan bir teknolojidir. Gizli Bilgi İşlem ortamları, verileri bellekte ve merkezi işlem biriminin (CPU) dışındaki başka bir yerde şifrelenmiş olarak tutar. Gizli VM'ler, AMD EPYC CPU'larının Güvenli Şifrelenmiş Sanallaştırma (SEV) özelliğinden yararlanır. Müşteri verileri kullanılırken, dizinlenirken, sorgulanırken veya eğitilirken şifrelenir. Şifreleme anahtarları, vm başına donanımda oluşturulur ve dışarı aktarılamaz. Hem performans hem de güvenlik için yerleşik donanım iyileştirmeleri sayesinde Gizli Bilgi İşlem iş yüklerine önemli bir performans cezası uygulanmaz. Gizli Bilgi İşlem, müşterilerin hassas kodunu ve işleme sırasında bellekte şifrelenen diğer verileri etkinleştirir. Google'ın şifreleme anahtarlarına erişimi yoktur. Gizli VM, Google altyapısına bağımlılık veya Google insider'ların müşteri verilerine açık bir şekilde erişmesi ile ilgili riskle ilgili endişeleri hafifletmeye yardımcı olabilir.

Önem Derecesi: Yüksek

Günlük demetlerindeki bekletme ilkelerinin Bucket Lock kullanılarak yapılandırıldığından emin olun

Açıklama: Günlük demetlerinde bekletme ilkelerinin etkinleştirilmesi, bulut depolama demetlerinde depolanan günlüklerin üzerine yazılmasını veya yanlışlıkla silinmesini engeller. Günlük havuzları olarak kullanılan tüm depolama demetlerinde bekletme ilkeleri ayarlamanız ve Bucket Lock'un yapılandırılması önerilir. Günlükler, günlük filtresi ve hedef içeren bir veya daha fazla havuz oluşturularak dışarı aktarılabilir. Stackdriver Günlüğü yeni günlük girdileri aldığında, bunlar her havuzla karşılaştırılabilir. Günlük girdisi bir havuzun filtresiyle eşleşiyorsa, günlük girdisinin bir kopyası hedefe yazılır. Havuzlar, depolama demetlerindeki günlükleri dışarı aktaracak şekilde yapılandırılabilir. Bu bulut depolama demetleri için bir veri saklama ilkesi yapılandırılması ve veri saklama ilkesinin kilitlenmesi önerilir; bu nedenle ilkenin azaltılmasını veya kaldırılmasını kalıcı olarak engeller. Bu şekilde, sistemin bir saldırgan veya izlerini kapatmak isteyen kötü niyetli bir içeriden biri tarafından gizliliği ihlal edilirse, etkinlik günlükleri adli ve güvenlik soruşturmaları için kesinlikle korunur.

Önem Derecesi: Düşük

Cloud SQL veritabanı örneğinin SSL kullanmak için tüm gelen bağlantıları gerektirdiğinden emin olun

Açıklama: SSL kullanmak için SQL veritabanı örneğine gelen tüm bağlantıların zorunlu kılınmasını öneririz. Başarıyla kapana kısıldıysa SQL veritabanı bağlantıları (MITM); kimlik bilgileri, veritabanı sorguları, sorgu çıktıları vb. gibi hassas verileri ortaya çıkarabiliyor. Güvenlik için örneğinize bağlanırken her zaman SSL şifrelemesi kullanmanız önerilir. Bu öneri Postgresql, MySql 1. nesil ve MySql 2. nesil örnekleri için geçerlidir.

Önem Derecesi: Yüksek

SQL Server örneğinde Cloud SQL için 'kapsanan veritabanı kimlik doğrulaması' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun

Açıklama: SQL Server örneğinde Cloud SQL için "bağımsız veritabanı kimlik doğrulaması" veritabanı bayrağının "kapalı" olarak ayarlanması önerilir. Kapsanan veritabanı, veritabanını tanımlamak için gereken tüm veritabanı ayarlarını ve meta verileri içerir ve veritabanının yüklü olduğu Veritabanı Altyapısı örneğinde yapılandırma bağımlılıkları yoktur. Kullanıcılar, Veritabanı Altyapısı düzeyinde oturum açma kimliğini doğrulamadan veritabanına bağlanabilir. Veritabanını Veritabanı Altyapısı'ndan yalıtmak, veritabanını başka bir SQL Server örneğine kolayca taşımayı mümkün kılar. Kapsanan veritabanları, SQL Server Veritabanı Altyapısı yöneticileri tarafından anlaşılması ve azaltılması gereken bazı benzersiz tehditlere sahiptir. Tehditlerin çoğu, kimlik doğrulama sınırını Veritabanı Altyapısı düzeyinden veritabanı düzeyine taşıyan PAROLAYLA KULLANICI kimlik doğrulaması işlemiyle ilgilidir, bu nedenle bu bayrağı devre dışı bırakmanız önerilir. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

Cloud SQL Server örneği için 'çapraz veritabanı sahipliği zincirleme' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun

Açıklama: Cloud SQL SQL Server örneği için "çapraz veritabanı sahipliği zincirleme" veritabanı bayrağının "kapalı" olarak ayarlanması önerilir. Microsoft SQL Server örneği için veritabanları arası sahiplik zincirini yapılandırmak üzere zincirleme için "çapraz veritabanı sahipliği" seçeneğini kullanın. Bu sunucu seçeneği, veritabanı düzeyinde veritabanları arası sahiplik zincirini denetlemenize veya tüm veritabanları için veritabanları arası sahiplik zincirine izin vermenizi sağlar. SQL Server örneği tarafından barındırılan veritabanlarının tümünün veritabanları arası sahiplik zincirine katılması gerekmediği ve bu ayarın güvenlik etkilerinin farkında olmadığınız sürece "çapraz veritabanı sahipliğinin" etkinleştirilmesi önerilmez. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

Cloud SQL Mysql örneği için 'local_infile' veritabanı bayrağının 'off' olarak ayarlandığından emin olun

Açıklama: Cloud SQL MySQL örneğinin local_infile veritabanı bayrağının kapalı olarak ayarlanması önerilir. local_infile bayrağı, LOAD DATA deyimleri için sunucu tarafı LOCAL özelliğini denetler. local_infile ayarına bağlı olarak, sunucu istemci tarafında LOCAL etkinleştirilmiş istemciler tarafından yerel verilerin yüklenmesini reddeder veya izin verir. Sunucunun LOAD DATA LOCAL deyimlerini (derleme zamanında veya çalışma zamanında nasıl yapılandırıldığından bağımsız olarak) açıkça reddetmesine neden olmak için, local_infile devre dışı ile başlayın mysqld . local_infile çalışma zamanında da ayarlanabilir. local_infile bayrağıyla ilişkili güvenlik sorunları nedeniyle devre dışı bırakılması önerilir. Bu öneri MySQL veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

Bulut Depolama IAM izin değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun

Açıklama: Bulut Depolama Demet IAM değişiklikleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Bulut depolama demeti izinlerindeki değişiklikleri izlemek, demet içindeki hassas bulut depolama demetleri ve nesneleri üzerindeki izinleri algılamak ve düzeltmek için gereken süreyi kısaltabilir.

Önem Derecesi: Düşük

SQL örneği yapılandırma değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun

Açıklama: SQL örneği yapılandırma değişiklikleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. SQL örneği yapılandırma değişikliklerini izlemek, SQL server'da yapılan yanlış yapılandırmaları algılamak ve düzeltmek için gereken süreyi azaltabilir. Aşağıda, bir SQL örneğinin güvenlik duruşunu etkileyebilecek yapılandırılabilir seçeneklerden birkaçı yer almaktadır:

• Otomatik yedeklemeleri ve yüksek kullanılabilirliği etkinleştirme: Yanlış yapılandırma iş sürekliliğini, olağanüstü durum kurtarmayı ve yüksek kullanılabilirliği olumsuz etkileyebilir
• Ağları yetkilendirme: Yanlış yapılandırma güvenilmeyen ağlara maruz kalma oranını artırabilir

Önem Derecesi: Düşük

Her hizmet hesabı için yalnızca GCP tarafından yönetilen hizmet hesabı anahtarları olduğundan emin olun

Açıklama: Kullanıcı tarafından yönetilen hizmet hesaplarında kullanıcı tarafından yönetilen anahtarlar olmamalıdır. Anahtarlara erişimi olan herkes hizmet hesabı üzerinden kaynaklara erişebilir. GCP tarafından yönetilen anahtarlar, Uygulama Altyapısı ve İşlem Altyapısı gibi Bulut Platformu hizmetleri tarafından kullanılır. Bu anahtarlar indirilemiyor. Google anahtarları tutar ve yaklaşık haftalık olarak otomatik olarak döndürür. Kullanıcı tarafından yönetilen anahtarlar, kullanıcılar tarafından oluşturulur, indirilebilir ve yönetilir. Oluşturma işleminden 10 yıl sonra sona erer. Kullanıcı tarafından yönetilen anahtarlar için, kullanıcının aşağıdakiler dahil olmak üzere anahtar yönetimi etkinliklerinin sahipliğini alması gerekir:

• Anahtar depolama
• Anahtar dağıtımı
• Anahtar iptali
• Anahtar döndürme
• Yetkisiz kullanıcılardan anahtar koruması
• Anahtar kurtarma

Anahtar sahibi önlemleriyle bile, anahtarları kaynak koduna denetleme veya İndirmeler dizininde bırakma ya da yanlışlıkla destek bloglarında/kanallarında bırakma gibi en iyi yaygın geliştirme uygulamalarından daha azıyla anahtarlar kolayca sızdırılabilir. Kullanıcı tarafından yönetilen hizmet hesabı anahtarlarının engellenmesi önerilir.

Önem Derecesi: Düşük

Cloud SQL SQL Server örneği için 'kullanıcı bağlantıları' veritabanı bayrağının uygun şekilde ayarlandığından emin olun

Açıklama: Cloud SQL SQL Server örneği için kuruluş tanımlı değere göre "kullanıcı bağlantıları" veritabanı bayrağının ayarlanması önerilir. "Kullanıcı bağlantıları" seçeneği, SQL Server örneğinde izin verilen en fazla eşzamanlı kullanıcı bağlantısı sayısını belirtir. İzin verilen gerçek kullanıcı bağlantısı sayısı, kullandığınız SQL Server sürümüne ve uygulamanızın veya uygulamalarınızın ve donanımınızın sınırlarına da bağlıdır. SQL Server en fazla 32.767 kullanıcı bağlantısına izin verir. Kullanıcı bağlantıları dinamik (kendi kendini yapılandıran) bir seçenek olduğundan, SQL Server izin verilen en yüksek değere kadar gerektiğinde kullanıcı bağlantısı sayısı üst sınırını otomatik olarak ayarlar. Örneğin, yalnızca 10 kullanıcı oturum açtıysa, 10 kullanıcı bağlantısı nesnesi ayrılır. Çoğu durumda, bu seçeneğin değerini değiştirmeniz gerekmez. Varsayılan değer 0'dır; bu da en fazla (32.767) kullanıcı bağlantısına izin verildiği anlamına gelir. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Düşük

Cloud SQL SQL Server örneği için 'kullanıcı seçenekleri' veritabanı bayrağının yapılandırılmadığından emin olun

Açıklama: Cloud SQL Server örneği için "kullanıcı seçenekleri" veritabanı bayrağının yapılandırılmaması önerilir. "Kullanıcı seçenekleri" seçeneği tüm kullanıcılar için genel varsayılanları belirtir. Kullanıcının çalışma oturumu süresi boyunca varsayılan sorgu işleme seçeneklerinin listesi oluşturulur. Kullanıcı seçenekleri ayarı, SET seçeneklerinin varsayılan değerlerini değiştirmenize olanak tanır (sunucunun varsayılan ayarları uygun değilse). Kullanıcı, SET deyimini kullanarak bu varsayılanları geçersiz kılabilir. Yeni oturum açma işlemleri için kullanıcı seçeneklerini dinamik olarak yapılandırabilirsiniz. Kullanıcı seçeneklerinin ayarını değiştirdikten sonra, yeni oturum açma oturumları yeni ayarı kullanır; geçerli oturum açma oturumları etkilenmez. Bu öneri SQL Server veritabanı örnekleri için geçerlidir.

Önem Derecesi: Düşük

GKE kümeleri için günlüğe kaydetme etkinleştirilmelidir

Açıklama: Bu öneri, bir kümenin loggingService özelliğinin Bulut Günlüğü'ün günlükleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.

Önem Derecesi: Yüksek

Nesne sürüm oluşturma, havuzların yapılandırıldığı depolama demetlerinde etkinleştirilmelidir

Açıklama: Bu öneri, demetin sürüm oluşturma özelliğindeki etkin alanın true olarak ayarlanıp ayarlanmadığını değerlendirir.

Önem Derecesi: Yüksek

İzin Sürünme Dizini'ni (PCI) azaltmak için projelerde aşırı sağlanan kimlikler araştırılmalıdır

Açıklama: İzin Sürünme Dizini'ni (PCI) azaltmak ve altyapınızı korumak için projelerde aşırı sağlanan kimlikler araştırılmalıdır. Kullanılmayan yüksek riskli izin atamalarını kaldırarak PCI'yi azaltın. Yüksek PCI, normal veya gerekli kullanımlarını aşan izinlere sahip kimliklerle ilişkili riski yansıtır.

Önem Derecesi: Orta

Şifreleme anahtarları olan projelerin Sahip izinlerine sahip kullanıcıları olmamalıdır

Açıklama: Bu öneri, atanan roller/Sahip sorumluları için proje meta verilerinde IAM izin verme ilkesini değerlendirir.

Önem Derecesi: Orta

Günlük havuzu olarak kullanılan depolama demetlerine genel erişim sağlanmamalıdır

Açıklama: Bu öneri, genel erişim veren allUsers veya allAuthenticatedUsers sorumluları için bir demetin IAM ilkesini değerlendirir.

Önem Derecesi: Yüksek

İlgili içerik

• Güvenlik önerileri hakkında bilgi edinin
• Güvenlik önerilerini gözden geçirme