Ağ güvenlik önerileri

Makale
09/06/2024

Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm ağ güvenlik önerileri listelenir.

Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.

Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.

İpucu

Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.

Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.

Azure ağ önerileri

Güvenlik duvarı ve sanal ağ yapılandırmalarına sahip depolama hesaplarına erişim kısıtlanmalıdır

Açıklama: Depolama hesabı güvenlik duvarı ayarlarınızda ağ erişimi ayarlarını gözden geçirin. Depolama hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırmanızı öneririz. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir. (İlgili ilke: Depolama hesapları ağ erişimini kısıtlamalıdır).

Önem Derecesi: Düşük

Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır

Açıklama: Bulut için Defender, aşağıda listelenen sanal makinelerin İnternet trafiği iletişim düzenlerini analiz etti ve bunlarla ilişkili NSG'lerdeki mevcut kuralların fazla izinli olduğunu ve bu da olası saldırı yüzeyinin artmasına neden olduğunu belirledi. Bu durum genellikle bu IP adresi bu kaynakla düzenli olarak iletişim kurmadığında oluşur. Alternatif olarak, IP adresi Bulut için Defender tehdit bilgileri kaynakları tarafından kötü amaçlı olarak işaretlendi. (İlgili ilke: Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır).

Önem Derecesi: Yüksek

Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır

Açıklama: Bulut için Defender bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. (İlgili ilke: Tüm ağ bağlantı noktaları, sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır).

Önem Derecesi: Yüksek

Azure DDoS Koruması Standart etkinleştirilmelidir

Açıklama: Bulut için Defender, DDoS koruma hizmeti tarafından korumasız Application Gateway kaynaklarına sahip sanal ağlar keşfetti. Bu kaynaklar genel IP'ler içerir. Ağ hacimli ve protokol saldırılarını azaltmayı etkinleştirin. (İlgili ilke: Azure DDoS Koruması Standart etkinleştirilmelidir).

Önem Derecesi: Orta

İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır

Açıklama: Ağ güvenlik grubuyla (NSG) erişimi kısıtlayarak VM'nizi olası tehditlerden koruyun. NSG'ler, vm'nize aynı alt ağın içindeki veya dışındaki diğer örneklerden gelen ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Makinenizi olabildiğince güvenli tutmak için sanal makinenizin İnternet erişimi kısıtlanmalı ve alt ağda bir NSG etkinleştirilmelidir. 'Yüksek' önem derecesi olan VM'ler İnternet'e yönelik VM'lerdir. (İlgili ilke: İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır).

Önem Derecesi: Yüksek

Sanal makinenizde IP iletme devre dışı bırakılmalıdır

Açıklama: Bulut için Defender bazı sanal makinelerinizde IP iletmenin etkinleştirildiğini keşfetti. Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. (İlgili ilke: Sanal makinenizde IP İletme devre dışı bırakılmalıdır).

Önem Derecesi: Orta

Makinelerin saldırı vektörlerini açığa çıkarabilecek bağlantı noktaları kapalı olmalıdır

Açıklama: Azure'ın kullanım koşulları, Azure hizmetlerinin herhangi bir Microsoft sunucusuna veya ağa zarar verebilecek, devre dışı bırakabilecek, aşırı yükleyebilecek veya zarar verebilecek şekillerde kullanılmasını yasaklar. Bu öneri, sürekli güvenliğiniz için kapatılması gereken kullanıma sunulan bağlantı noktalarını listeler. Ayrıca her bağlantı noktası için olası tehdit de gösterilmektedir. (İlişkili ilke yok)

Önem Derecesi: Yüksek

Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır

Açıklama: Bulut için Defender, Ağ Güvenlik Grubunuzdaki yönetim bağlantı noktaları için aşırı izinli gelen kuralları tanımladı. VM'nizi İnternet tabanlı deneme yanılma saldırılarına karşı korumak için tam zamanında erişim denetimini etkinleştirin. Tam zamanında (JIT) VM erişimini anlama bölümünde daha fazla bilgi edinin. (İlgili ilke: Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır).

Önem Derecesi: Yüksek

Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır

Açıklama: Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz açıyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. (İlgili ilke: Yönetim bağlantı noktaları sanal makinelerinizde kapatılmalıdır).

Önem Derecesi: Orta

İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır

Açıklama: İnternet'e yönelik olmayan sanal makinenizi bir ağ güvenlik grubu (NSG) ile erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, aynı alt ağda olup olmadıkları fark etmeksizin diğer örneklerden VM'nize ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Makinenizi olabildiğince güvenli tutmak için VM'nin İnternet'e erişiminin kısıtlanması ve alt ağda bir NSG'nin etkinleştirilmesi gerektiğini unutmayın. (İlgili ilke: İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır).

Önem Derecesi: Düşük

Depolama hesaplarına güvenli aktarım etkinleştirilmelidir

Açıklama: Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur. (İlgili ilke: Depolama hesaplarına güvenli aktarım etkinleştirilmelidir).

Önem Derecesi: Yüksek

Alt ağlar bir ağ güvenlik grubuyla ilişkilendirilmelidir

Açıklama: Ağ güvenlik grubuyla (NSG) erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. Bir NSG bir alt ağ ile ilişkilendirildiğinde, ACL kuralları bu alt ağ içindeki tüm VM örneklerine ve tümleşik hizmetlere uygulanır, ancak alt ağ içindeki iç trafiğe uygulanmaz. Aynı alt ağdaki kaynakların birbirlerinden güvenliğini sağlamak için NSG'yi doğrudan kaynaklarda da etkinleştirin. Aşağıdaki alt ağ türlerinin uygulanamaz olarak listelendiğini unutmayın: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (İlgili ilke: Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir).

Önem Derecesi: Düşük

Sanal ağlar Azure Güvenlik Duvarı tarafından korunmalıdır

Açıklama: Bazı sanal ağlarınız güvenlik duvarıyla korunmaz. Sanal ağlarınıza erişimi kısıtlamak ve olası tehditleri önlemek için Azure Güvenlik Duvarı kullanın. (İlgili ilke: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı) aracılığıyla yönlendirilmelidir.

AWS ağ önerileri

Amazon EC2, VPC uç noktalarını kullanacak şekilde yapılandırılmalıdır

Açıklama: Bu denetim, her VPC için Amazon EC2 için bir hizmet uç noktasının oluşturulup oluşturulmadığını denetler. Bir VPC'de Amazon EC2 hizmeti için oluşturulmuş bir VPC uç noktası yoksa denetim başarısız olur. VPC'nizin güvenlik duruşunu geliştirmek için Amazon EC2'yi bir arabirim VPC uç noktası kullanacak şekilde yapılandırabilirsiniz. Arabirim uç noktaları, Amazon EC2 API işlemlerine özel olarak erişmenizi sağlayan bir teknoloji olan AWS PrivateLink tarafından desteklenir. VPC ile Amazon EC2 arasındaki tüm ağ trafiğini Amazon ağıyla kısıtlar. Uç noktalar yalnızca aynı Bölge içinde desteklendiği için, VPC ile farklı bir Bölgedeki bir hizmet arasında uç nokta oluşturamazsınız. Bu, diğer Bölgelere istenmeyen Amazon EC2 API çağrılarını önler. Amazon EC2 için VPC uç noktaları oluşturma hakkında daha fazla bilgi edinmek için Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'ndaki Amazon EC2 ve arabirim VPC uç noktalarına bakın.

Önem Derecesi: Orta

Amazon ECS hizmetlerinin kendilerine otomatik olarak atanmış genel IP adresleri olmamalıdır

Açıklama: Genel IP adresi, İnternet'ten ulaşılabilen bir IP adresidir. Amazon ECS örneklerinizi genel IP adresiyle başlatırsanız Amazon ECS örneklerinize İnternet'ten erişilebilir. Kapsayıcı uygulama sunucularınıza istenmeyen erişime izin verebileceği için Amazon ECS hizmetlerine genel erişim sağlanmamalıdır.

Önem Derecesi: Yüksek

Amazon EMR küme ana düğümlerinin genel IP adresleri olmamalıdır

Açıklama: Bu denetim, Amazon EMR kümelerindeki ana düğümlerin genel IP adresleri olup olmadığını denetler. Ana düğümün herhangi bir örneğiyle ilişkilendirilmiş genel IP adresleri varsa denetim başarısız olur. Genel IP adresleri, örneğin NetworkInterfaces yapılandırmasının PublicIp alanında belirlenir. Bu denetim yalnızca ÇALıŞıYOR veya BEKLENİYOR durumundaki Amazon EMR kümelerini denetler.

Önem Derecesi: Yüksek

Amazon Redshift kümeleri gelişmiş VPC yönlendirmesi kullanmalıdır

Açıklama: Bu denetim, Amazon Redshift kümesinde EnhancedVpcRouting özelliğinin etkinleştirilip etkinleştirilmediğini denetler. İyileştirilmiş VPC yönlendirmesi, küme ve veri depoları arasındaki tüm COPY ve UNLOAD trafiğini VPC'nizden geçmeye zorlar. Ardından, ağ trafiğinin güvenliğini sağlamak için güvenlik grupları ve ağ erişim denetim listeleri gibi VPC özelliklerini kullanabilirsiniz. Ağ trafiğini izlemek için VPC Akış Günlüklerini de kullanabilirsiniz.

Önem Derecesi: Yüksek

Uygulama Load Balancer tüm HTTP isteklerini HTTPS'ye yeniden yönlendirecek şekilde yapılandırılmalıdır

Açıklama: Aktarım sırasında şifrelemeyi zorlamak için, istemci HTTP isteklerini 443 numaralı bağlantı noktasındaki bir HTTPS isteğine yönlendirmek için Application Load Balancers ile yeniden yönlendirme eylemlerini kullanmanız gerekir.

Önem Derecesi: Orta

Uygulama yük dengeleyicileri HTTP üst bilgilerini bırakacak şekilde yapılandırılmalıdır

Açıklama: Bu denetim, geçersiz HTTP üst bilgilerini bırakacak şekilde yapılandırıldıklarından emin olmak için AWS Uygulama Yük Dengeleyicilerini (ALB) değerlendirir. routing.http.drop_invalid_header_fields.enabled değerinin false olarak ayarlanması durumunda denetim başarısız olur. Varsayılan olarak, ALB'ler geçersiz HTTP üst bilgi değerlerini bırakacak şekilde yapılandırılmaz. Bu üst bilgi değerlerinin kaldırılması HTTP zaman uyumsuz saldırılarını önler.

Önem Derecesi: Orta

Lambda işlevlerini VPC'ye yapılandırma

Açıklama: Bu denetim, Lambda işlevinin VPC'de olup olmadığını denetler. Genel erişilebilirliği belirlemek için VPC alt ağ yönlendirme yapılandırmasını değerlendirmez. Hesapta Lambda@Edge bulunursa, bu denetimin başarısız bulgular oluşturduğunu unutmayın. Bu bulguları önlemek için bu denetimi devre dışı bırakabilirsiniz.

Önem Derecesi: Düşük

EC2 örneklerinin genel IP adresi olmamalıdır

Açıklama: Bu denetim, EC2 örneklerinin genel IP adresine sahip olup olmadığını denetler. EC2 örneği yapılandırma öğesinde "publicIp" alanı varsa denetim başarısız olur. Bu denetim yalnızca IPv4 adresleri için geçerlidir. Genel IPv4 adresi, İnternet'ten erişilebilen bir IP adresidir. Örneğinizi genel IP adresiyle başlatırsanız EC2 örneğine İnternet'ten erişilebilir. Özel IPv4 adresi, İnternet'ten ulaşılamayan bir IP adresidir. Aynı VPC'deki veya bağlı özel ağınızdaki EC2 örnekleri arasındaki iletişim için özel IPv4 adresleri kullanabilirsiniz. IPv6 adresleri genel olarak benzersizdir ve bu nedenle İnternet'ten erişilebilir. Ancak varsayılan olarak tüm alt ağlarda IPv6 adresleme özniteliği false olarak ayarlanmıştır. IPv6 hakkında daha fazla bilgi için Amazon VPC Kullanıcı Kılavuzu'ndaki VPC'nizde IP adresleme bölümüne bakın. Genel IP adreslerine sahip EC2 örneklerini korumak için geçerli bir kullanım örneğiniz varsa, bu denetimdeki bulguları gizleyebilirsiniz. Ön uç mimari seçenekleri hakkında daha fazla bilgi için AWS Mimari Blogu'na veya This Is My Architecture serisine bakın.

Önem Derecesi: Yüksek

EC2 örnekleri birden çok ENI kullanmamalıdır

Açıklama: Bu denetim, ec2 örneğinin birden çok Elastik Ağ Arabirimi (ENI) mı yoksa Elastik Yapı Bağdaştırıcıları mı (EFA) kullandığını denetler. Bu denetim, tek bir ağ bağdaştırıcısı kullanılırsa geçer. Denetim, izin verilen ENI'leri tanımlamak için isteğe bağlı bir parametre listesi içerir. Birden çok ENI, birden çok alt ağa sahip örnekler anlamına gelen çift girişli örneklere neden olabilir. Bu, ağ güvenliği karmaşıklığını ekleyebilir ve istenmeyen ağ yolları ile erişime neden olabilir.

Önem Derecesi: Düşük

EC2 örnekleri IMDSv2 kullanmalıdır

Açıklama: Bu denetim EC2 örneği meta veri sürümünüzün Örnek Meta Veri Hizmeti Sürüm 2 (IMDSv2) ile yapılandırılıp yapılandırılmadığını denetler. "HttpTokens" IMDSv2 için "gerekli" olarak ayarlandıysa denetim geçer. "HttpTokens" "isteğe bağlı" olarak ayarlanırsa denetim başarısız olur. Çalışan örneği yapılandırmak veya yönetmek için örnek meta verilerini kullanırsınız. IMDS, geçici, sık döndürülen kimlik bilgilerine erişim sağlar. Bu kimlik bilgileri, hassas kimlik bilgilerini el ile veya program aracılığıyla örneklere sabit kodla veya dağıtma gereksinimini ortadan kaldırır. IMDS her EC2 örneğine yerel olarak eklenir. 169.254.169.254 özel bir 'yerel bağlantı' IP adresinde çalışır. Bu IP adresine yalnızca örnekte çalışan yazılımlar erişebilir. IMDS'nin 2. sürümü aşağıdaki güvenlik açığı türleri için yeni korumalar ekler. Bu güvenlik açıkları IMDS'ye erişmeye çalışmak için kullanılabilir.

Web sitesi uygulaması güvenlik duvarlarını açma
Ters proxy'leri açma
Sunucu tarafı istek sahteciliği (SSRF) güvenlik açıkları
3. Katman güvenlik duvarlarını açma ve ağ adresi çevirisi (NAT) Güvenlik Hub'ı EC2 örneklerinizi IMDSv2 ile yapılandırmanızı önerir.

Önem Derecesi: Yüksek

EC2 alt ağları otomatik olarak genel IP adresleri atamamalıdır

Açıklama: Bu denetim, Amazon Virtual Private Cloud (Amazon VPC) alt ağlarındaki genel IP'lerin atamasının "MapPublicIpOnLaunch" değerinin "FALSE" olarak ayarlanıp ayarlanmadığını denetler. Bayrak "YANLIŞ" olarak ayarlanırsa denetim geçer. Tüm alt ağların, alt ağda oluşturulan bir ağ arabiriminin otomatik olarak bir genel IPv4 adresi alıp almadığını belirleyen bir özniteliği vardır. Bu özniteliğin etkinleştirildiği alt ağlarda başlatılan örneklerin birincil ağ arabirimine atanmış bir genel IP adresi vardır.

Önem Derecesi: Orta

AWS Yapılandırma yapılandırma değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. CloudTrail yapılandırmalarında yapılan değişiklikleri algılamak için bir ölçüm filtresi ve alarm oluşturulması önerilir. AWS Yapılandırma yapılandırmasındaki değişiklikleri izlemek, AWS hesabındaki yapılandırma öğelerinin sürekli görünürlüğünü sağlamaya yardımcı olur.

Önem Derecesi: Düşük

AWS Yönetim Konsolu kimlik doğrulama hataları için bir günlük ölçümü filtresi ve alarm olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Başarısız konsol kimlik doğrulaması girişimleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Başarısız konsol oturum açmalarının izlenmesi, kimlik bilgilerini deneme yanılma girişimini algılamaya yönelik sağlama süresini azaltabilir. Bu, diğer olay bağıntılarında kullanılabilecek kaynak IP gibi bir gösterge sağlayabilir.

Önem Derecesi: Düşük

Ağ Erişim Denetim Listelerinde (NACL) yapılan değişiklikler için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. NACL'ler, VPC içindeki alt ağların giriş ve çıkış trafiğini denetlemek için durum bilgisi olmayan paket filtresi olarak kullanılır. NACL'lerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. NACL'lerde yapılan değişiklikleri izlemek, AWS kaynaklarının ve hizmetlerinin istemeden kullanıma sunulmamasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

Ağ geçitlerindeki değişiklikler için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Ağ ağ geçitleri, VPC dışındaki bir hedefe trafik göndermek/almak için gereklidir. Ağ geçitlerindeki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. Ağ geçitlerindeki değişiklikleri izlemek, tüm giriş/çıkış trafiğinin denetimli bir yol üzerinden VPC sınırından geçmesine yardımcı olur.

Önem Derecesi: Düşük

CloudTrail yapılandırma değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. CloudTrail yapılandırmalarında yapılan değişiklikleri algılamak için bir ölçüm filtresi ve alarm oluşturulması önerilir.

CloudTrail'in yapılandırmasındaki değişiklikleri izlemek, AWS hesabında gerçekleştirilen etkinliklere sürekli görünürlük sağlamaya yardımcı olur.

Önem Derecesi: Düşük

Müşteri tarafından oluşturulan CMK'lerin devre dışı bırakılması veya zamanlanmış silinmesi için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Müşteri tarafından oluşturulan CMK'ler için durumu devre dışı veya zamanlanmış silme olarak değiştiren bir ölçüm filtresi ve alarm oluşturulması önerilir. Devre dışı bırakılmış veya silinmiş anahtarlarla şifrelenmiş verilere artık erişilemez.

Önem Derecesi: Düşük

IAM ilke değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Kimlik ve Erişim Yönetimi (IAM) ilkelerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. IAM ilkelerindeki değişiklikleri izlemek, kimlik doğrulama ve yetkilendirme denetimlerinin bozulmadan kalmasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Çok faktörlü kimlik doğrulaması (MFA) tarafından korunmayan konsol oturum açma işlemleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Tek faktörlü konsol oturum açma bilgilerinin izlenmesi, MFA tarafından korunmayan hesapların görünürlüğünü artırır.

Önem Derecesi: Düşük

Yönlendirme tablosu değişiklikleri için bir günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Yönlendirme tabloları, alt ağlar arasındaki ağ trafiğini ağ ağ geçitlerine yönlendirmek için kullanılır. Yönlendirme tablolarındaki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. Yönlendirme tablolarındaki değişiklikleri izlemek, tüm VPC trafiğinin beklenen bir yoldan akmasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

S3 demet ilkesi değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. S3 demet ilkelerindeki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. S3 demet ilkelerindeki değişiklikleri izlemek, hassas S3 demetlerindeki izin verme ilkelerini algılama ve düzeltme süresini kısaltabilir.

Önem Derecesi: Düşük

Güvenlik grubu değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Güvenlik Grupları, bir VPC içindeki giriş ve çıkış trafiğini denetleen durum bilgisi olan bir paket filtresidir. Güvenlik Grupları'na bir ölçüm filtresi ve alarm oluşturulması önerilir. Güvenlik grubundaki değişiklikleri izlemek, kaynakların ve hizmetlerin istemeden kullanıma sunulmamasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

Yetkisiz API çağrıları için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Yetkisiz API çağrıları için bir ölçüm filtresi ve alarm oluşturulması önerilir. Yetkisiz API çağrılarının izlenmesi, uygulama hatalarını ortaya çıkarmak için yardımcı olur ve kötü amaçlı etkinlikleri algılama süresini kısaltabilir.

Önem Derecesi: Düşük

'root' hesabı kullanımı için bir günlük ölçümü filtresi ve alarmın mevcut olduğundan emin olun

Kök hesap oturum açma bilgilerini izlemek, tam ayrıcalıklı bir hesabın kullanımına ilişkin görünürlük ve bu hesabın kullanımını azaltma fırsatı sağlar.

Önem Derecesi: Düşük

VPC değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun

Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Bir hesapta birden fazla VPC olması mümkündür, ayrıca 2 VPC arasında eş bağlantı oluşturmak da mümkündür ve bu da ağ trafiğinin VPC'ler arasında yönlendirilmesini sağlar. VPC'lerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. IAM ilkelerindeki değişiklikleri izlemek, kimlik doğrulama ve yetkilendirme denetimlerinin bozulmadan kalmasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

0.0.0.0/0'dan 3389 numaralı bağlantı noktasına girişe izin veren güvenlik grubu olmadığından emin olun

Açıklama: Güvenlik grupları, AWS kaynaklarına yönelik giriş/çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Hiçbir güvenlik grubunun 3389 numaralı bağlantı noktasına sınırsız giriş erişimine izin vermemesi önerilir. RDP gibi uzak konsol hizmetlerine bağlanmamış bağlantıyı kaldırdığınızda, sunucunun riske maruz kalmasını azaltır.

Önem Derecesi: Yüksek

RDS veritabanları ve kümeleri veritabanı altyapısı varsayılan bağlantı noktasını kullanmamalıdır

Açıklama: Bu denetim, RDS kümesinin veya örneğinin veritabanı altyapısının varsayılan bağlantı noktası dışında bir bağlantı noktası kullanıp kullanmadığını denetler. RDS kümesini veya örneğini dağıtmak için bilinen bir bağlantı noktası kullanırsanız, saldırgan küme veya örnek hakkındaki bilgileri tahmin edebilir. Saldırgan, bir RDS kümesine veya örneğine bağlanmak veya uygulamanız hakkında ek bilgi edinmek için bu bilgileri diğer bilgilerle birlikte kullanabilir. Bağlantı noktasını değiştirdiğinizde, eski bağlantı noktasına bağlanmak için kullanılan mevcut bağlantı dizesi de güncelleştirmeniz gerekir. Yeni bağlantı noktasında bağlantıya izin veren bir giriş kuralı içerdiğinden emin olmak için veritabanı örneğinin güvenlik grubunu da denetlemeniz gerekir.

Önem Derecesi: Düşük

RDS örnekleri bir VPC'de dağıtılmalıdır

Açıklama: VPC'ler, RDS kaynaklarına erişimin güvenliğini sağlamak için bir dizi ağ denetimi sağlar. Bu denetimler VPC Uç Noktaları, ağ ACL'leri ve güvenlik gruplarını içerir. Bu denetimlerden yararlanmak için EC2-Klasik RDS örneklerini EC2-VPC'ye taşımanızı öneririz.

Önem Derecesi: Düşük

S3 demetleri, Güvenli Yuva Katmanı'nın kullanılması için istekler gerektirmelidir

Açıklama: Tüm Amazon S3 demetinde Güvenli Yuva Katmanı (SSL) kullanmak için istekler gerektirmenizi öneririz. S3 demetleri, 'aws:SecureTransport' koşul anahtarıyla belirtilen S3 kaynak ilkesinde yalnızca HTTPS üzerinden veri aktarımını kabul etmek için tüm isteklerin ('Eylem: S3:*') gerektirdiği ilkelere sahip olmalıdır.

Önem Derecesi: Orta

Güvenlik grupları 0.0.0.0/0'dan 22 numaralı bağlantı noktasına girişe izin vermemelidir

Açıklama: Sunucunun maruz kalmasını azaltmak için '22' bağlantı noktasına sınırsız giriş erişimine izin verilmemesi önerilir.

Önem Derecesi: Yüksek

Güvenlik grupları yüksek riskli bağlantı noktalarına sınırsız erişime izin vermemelidir

Açıklama: Bu denetim, güvenlik grupları için sınırsız gelen trafiğe en yüksek riske sahip belirtilen bağlantı noktaları için erişilebilir olup olmadığını denetler. Bu denetim, bir güvenlik grubundaki kurallardan hiçbiri bu bağlantı noktaları için 0.0.0.0/0'dan gelen giriş trafiğine izin vermediğinde geçer. Kısıtlanmamış erişim (0.0.0.0/0), korsanlık, hizmet reddi saldırıları ve veri kaybı gibi kötü amaçlı etkinliklere yönelik fırsatları artırır. Güvenlik grupları, AWS kaynaklarına yönelik giriş ve çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Hiçbir güvenlik grubu aşağıdaki bağlantı noktalarına sınırsız giriş erişimine izin vermemelidir:

3389 (RDP)
20, 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (proxy)
1433, 1434 (MSSQL)
9200 veya 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

Önem Derecesi: Orta

Güvenlik grupları yalnızca yetkili bağlantı noktaları için sınırsız gelen trafiğe izin vermelidir

Açıklama: Bu denetim, kullanımda olan güvenlik gruplarının sınırsız gelen trafiğe izin verip vermediğini denetler. İsteğe bağlı olarak kural, bağlantı noktası numaralarının "authorizedTcpPorts" parametresinde listelenip listelenmediğini denetler.

Güvenlik grubu kuralı bağlantı noktası numarası kısıtlanmamış gelen trafiğe izin veriyorsa, ancak bağlantı noktası numarası "authorizedTcpPorts" içinde belirtilmişse, denetim geçer. "authorizedTcpPorts" için varsayılan değer 80, 443'dür.
Güvenlik grubu kuralı bağlantı noktası numarası kısıtlanmamış gelen trafiğe izin veriyorsa ancak bağlantı noktası numarası authorizedTcpPorts giriş parametresinde belirtilmemişse, denetim başarısız olur.
Parametresi kullanılmıyorsa, sınırsız bir gelen kuralı olan herhangi bir güvenlik grubu için denetim başarısız olur. Güvenlik grupları AWS'ye giriş ve çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Güvenlik grubu kuralları en az ayrıcalıklı erişim ilkesine uymalıdır. Kısıtlanmamış erişim (/0 soneki olan IP adresi), korsanlık, hizmet reddi saldırıları ve veri kaybı gibi kötü amaçlı etkinliklere yönelik fırsatı artırır. Bir bağlantı noktasına özel olarak izin verilmediği sürece, bağlantı noktası sınırsız erişimi reddetmelidir.

Önem Derecesi: Yüksek

Kullanılmayan EC2 EIP'ler kaldırılmalıdır

Açıklama: Bir VPC'ye ayrılan elastik IP adresleri Amazon EC2 örneklerine veya kullanımdaki elastik ağ arabirimlerine (ENI) eklenmelidir.

Önem Derecesi: Düşük

Kullanılmayan ağ erişim denetim listeleri kaldırılmalıdır

Açıklama: Bu denetim, kullanılmayan ağ erişim denetim listeleri (ACL) olup olmadığını denetler. Denetim, "AWS::EC2::NetworkAcl" kaynağının öğe yapılandırmasını denetler ve ağ ACL'sinin ilişkilerini belirler. Tek ilişki ağ ACL'sinin VPC'yse, denetim başarısız olur. Diğer ilişkiler listeleniyorsa, denetim geçer.

Önem Derecesi: Düşük

VPC'nin varsayılan güvenlik grubu tüm trafiği kısıtlamalıdır

Açıklama: Güvenlik grubu, kaynak kullanımını azaltmak için tüm trafiği kısıtlamalıdır.

Önem Derecesi: Düşük

GCP ağ önerileri

Küme konakları, Google API'lerine erişmek için yalnızca özel, iç IP adreslerini kullanacak şekilde yapılandırılmalıdır

Açıklama: Bu öneri, alt ağın privateIpGoogleAccess özelliğinin false olarak ayarlanıp ayarlanmadığını değerlendirir.

Önem Derecesi: Yüksek

İşlem örnekleri, hedef HTTPS proxy'si kullanacak şekilde yapılandırılmış bir yük dengeleyici kullanmalıdır

Açıklama: Bu öneri, hedefHttpProxy kaynağının selfLink özelliğinin iletme kuralındaki hedef öznitelikle eşleşip eşleşmediğini ve iletme kuralının Dış olarak ayarlanmış bir loadBalancingScheme alanı içerip içermediğini değerlendirir.

Önem Derecesi: Orta

GKE kümelerinde Denetim Düzlemi Yetkili Ağları etkinleştirilmelidir

Açıklama: Bu öneri, 'enabled': false anahtar-değer çifti için kümenin masterAuthorizedNetworksConfig özelliğini değerlendirir.

Önem Derecesi: Yüksek

İstenmeyen giden trafiği engellemek için güvenlik duvarında çıkış reddetme kuralı ayarlanmalıdır

Açıklama: Bu öneri, güvenlik duvarındaki destinationRanges özelliğinin 0.0.0.0/0 olarak ayarlanıp ayarlanmadığını ve reddedilen özelliğin anahtar-değer çiftini içerip içermediğini değerlendirir. 'IPProtocol': 'all.'

Önem Derecesi: Düşük

Kimlik Kullanan Ara Sunucu (IAP) arkasındaki örnekler için Güvenlik Duvarı Kuralları'nın yalnızca Google Cloud Loadbalancer (GCLB) Sistem Durumu Denetimi ve Ara Sunucu Adreslerinden gelen trafiğe izin vermediğinden emin olun

Açıklama: VM'lere erişim, yalnızca IAP tarafından belirtilen bağlantılara izin verildiğinden emin olarak yalnızca IAP trafiğine izin veren güvenlik duvarı kurallarıyla kısıtlanmalıdır. Yük dengelemenin doğru çalıştığından emin olmak için sistem durumu denetimlerine de izin verilmesi gerekir. IAP, gelen isteklerin kimliğini doğrulayarak VM'lere erişimin denetlenmesini sağlar. Ancak VM'ye IAP dışındaki IP adreslerinden hala erişilebilir durumdaysa, örneğe kimliği doğrulanmamış istekler göndermek yine de mümkün olabilir. Yük dengeleyicinin VM'nin durumunu doğru bilmesini ve yük dengelemeyi doğru şekilde bilmesine engel olacağından yük dengeleyici sistem durumu denetimlerinin engellenmediğinden emin olmak için dikkatli olunmalıdır.

Önem Derecesi: Orta

Bir proje için eski ağların mevcut olmadığından emin olun

Açıklama: Eski ağların kullanımını önlemek için, bir projede eski ağ yapılandırılmamalıdır. Eski ağlar tek bir ağ IPv4 ön ek aralığına ve tüm ağ için tek bir ağ geçidi IP adresine sahiptir. Ağ kapsamı geneldir ve tüm bulut bölgelerine yayılmıştır. Alt ağlar eski bir ağda oluşturulamaz ve eski ağlardan otomatik veya özel alt ağlara geçiş yapamaz. Eski ağlar yüksek ağ trafiği projeleri için bir etkiye sahip olabilir ve tek bir çekişme veya hata noktasına tabidir.

Önem Derecesi: Orta

Cloud SQL PostgreSQL örneği için 'log_hostname' veritabanı bayrağının uygun şekilde ayarlandığından emin olun

Açıklama: PostgreSQL yalnızca bağlanan konakların IP adresini günlüğe kaydeder. "log_hostname" bayrağı, günlüğe kaydedilen IP adreslerine ek olarak "ana bilgisayar adlarının" günlüğe kaydedilmesini denetler. Performans isabeti ortamın yapılandırmasına ve ana bilgisayar adı çözümleme kurulumuna bağlıdır. Bu parametre yalnızca "postgresql.conf" dosyasında veya sunucu komut satırında ayarlanabilir. Günlüğe kaydedilen her deyimde olduğu gibi, ana bilgisayar adlarının günlüğe kaydedilmesi sunucu performansında ek yük oluşturabilir; IP adresini ana bilgisayar adına dönüştürmek için DNS çözümlemesi gerekir. Kuruluma bağlı olarak, bu göz ardı edilemez olabilir. Ayrıca, günlüğe kaydedilen IP adresleri daha sonra dinamik ana bilgisayar adlarının kullanıldığı durumlar dışında günlükler gözden geçirilirken DNS adlarına çözümlenebilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.

Önem Derecesi: Düşük

HTTPS veya SSL proxy yük dengeleyicilerinin zayıf şifreleme paketleriyle SSL ilkelerine izin verilmediğinden emin olun

Açıklama: Güvenli Yuva Katmanı (SSL) ilkeleri, istemcilerin yük dengeleyicilere bağlanırken hangi bağlantı noktası Aktarım Katmanı Güvenliği (TLS) özelliklerini kullanmasına izin verileceğini belirler. Güvenli olmayan özelliklerin kullanımını önlemek için SSL ilkeleri (a) MODERN profille en az TLS 1.2 kullanmalıdır; veya (b) KıSıTLı profili, istemcilerin seçilen en düşük TLS sürümünden bağımsız olarak TLS 1.2 kullanmasını etkili bir şekilde gerektirdiğinden; veya (3) aşağıdaki özelliklerin hiçbirini desteklemeyen bir ÖZEL profil: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Yük dengeleyiciler, trafiği birden çok sunucu arasında verimli bir şekilde dağıtmak için kullanılır. Hem SSL proxy'si hem de HTTPS yük dengeleyicileri dış yük dengeleyicilerdir, yani trafiği İnternet'ten GCP ağına dağıtırlar. GCP müşterileri, istemcilerin bağlantı kurmak için kullanabileceği en düşük TLS sürümü (1.0, 1.1 veya 1.2) ve izin verilen şifre paketlerini belirten bir profil (Uyumlu, Modern, Kısıtlı veya Özel) ile yük dengeleyici SSL ilkeleri yapılandırabilir. Eski protokolleri kullanan kullanıcılarla uyumlu olmak için GCP yük dengeleyiciler güvenli olmayan şifreleme paketlerine izin vermek üzere yapılandırılabilir. Aslında, GCP varsayılan SSL ilkesi en az 1.0 TLS sürümünü ve en geniş güvenli olmayan şifreleme paketlerini sağlayan Uyumlu bir profil kullanır. Sonuç olarak, müşterilerin eski şifreleme paketlerine izin verdiklerinin farkında bile olmadan yük dengeleyici yapılandırması kolaydır.

Önem Derecesi: Orta

Bulut DNS günlüğünün tüm VPC ağları için etkinleştirildiğinden emin olun

Açıklama: Bulut DNS günlüğü sorguları VPC'nizdeki ad sunucularından Stackdriver'a kaydeder. Günlüğe kaydedilen sorgular İşlem Altyapısı VM'lerinden, GKE kapsayıcılarından veya VPC içinde sağlanan diğer GCP kaynaklarından gelebilir. Güvenlik izleme ve adli tıp, özellikle bulut kaynaklarının dinamik IP kullanımı, HTTP sanal ana bilgisayar yönlendirmesi ve istemci tarafından kullanılan DNS adını IP adresinden gizleyebilen diğer teknolojiler dikkate alındığında, yalnızca VPC akış günlüklerindeki IP adreslerine bağımlı olamaz. Bulut DNS günlüklerinin izlenmesi, VPC içindeki istemciler tarafından istenen DNS adlarına görünürlük sağlar. Bu günlükler anormal etki alanı adları için izlenebilir, tehdit bilgilerine göre değerlendirilebilir ve

DNS'nin tam olarak yakalanması için, güvenlik duvarının istemcinin çözümleme için dış DNS ad sunucusu kullanmasını önlemek için çıkış UDP/53 (DNS) ve TCP/443'ün (HTTPS üzerinden DNS) engellenmesi gerekir.

Önem Derecesi: Yüksek

DNSSEC'in Bulut DNS için etkinleştirildiğinden emin olun

Açıklama: Bulut Etki Alanı Adı Sistemi (DNS), internet üzerindeki milyonlarca etki alanını destekleyen hızlı, güvenilir ve uygun maliyetli bir etki alanı adı sistemidir. Bulut DNS'deki Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC), etki alanı sahiplerinin etki alanlarını DNS ele geçirme ve ortadaki adam ve diğer saldırılara karşı korumak için kolay adımlar atmalarını sağlar. Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC), DNS yanıtlarının doğrulanmasına olanak tanıyarak DNS protokolüne güvenlik ekler. Gibi bir etki alanı adını www.example.com ilişkili IP adresine çeviren güvenilir bir DNS'ye sahip olmak, günümüzün web tabanlı uygulamalarının giderek daha önemli bir yapı taşıdır. Saldırganlar bu etki alanı/IP arama işlemini ele geçirip DNS ele geçirme ve ortadaki adam saldırıları aracılığıyla kullanıcıları kötü amaçlı bir siteye yönlendirebilir. DNSSEC, DNS kayıtlarını şifreleme yoluyla imzalayarak bu tür saldırıların riskini azaltmaya yardımcı olur. Sonuç olarak, saldırganların tarayıcıları kötü amaçlı web sitelerine yanlış yönlendirebilecek sahte DNS yanıtları vermelerini engeller.

Önem Derecesi: Orta

RDP erişiminin İnternet'ten kısıtlandığından emin olun

Açıklama: GCP Güvenlik Duvarı Kuralları bir VPC Ağına özeldir. Her kural, koşulları karşılandığında trafiğe izin verir veya trafiği reddeder. Koşulları, kullanıcıların bağlantı noktaları ve protokoller gibi trafik türünü ve IP adresleri, alt ağlar ve örnekler de dahil olmak üzere trafiğin kaynağını veya hedefini belirtmesine olanak tanır. Güvenlik duvarı kuralları VPC ağ düzeyinde tanımlanır ve tanımlandığı ağa özeldir. Kurallar ağlar arasında paylaşılamaz. Güvenlik duvarı kuralları yalnızca IPv4 trafiğini destekler. Giriş kuralı için bir kaynak veya adrese göre çıkış kuralı hedefi belirttiğinizde, CIDR gösteriminde bir IPv4 adresi veya IPv4 bloğu kullanılabilir. 3389 numaralı bağlantı noktasında RDP kullanarak İnternet'ten VPC veya VM örneğine genel (0.0.0.0/0) gelen trafik önlenebilir. VPC Ağı içindeki GCP Güvenlik Duvarı Kuralları. Bu kurallar, örneklerden giden (çıkış) ve ağdaki örneklere gelen (giriş) trafik için geçerlidir. Çıkış ve giriş trafik akışları, trafik ağ içinde (örneğin, örnekten örneğe iletişim) kalsa bile denetlenmektedir. Bir örneğin giden İnternet erişimine sahip olması için, ağın geçerli bir İnternet ağ geçidi yoluna veya hedef IP'sinin belirtildiği özel bir yola sahip olması gerekir. Bu yol, varsayılan Bağlantı Noktası 3389 ile RDP üzerinden İnternet'ten belirtilen en genel (0.0.0.0/0) hedef IP Aralığı'ndan kaçınmak için İnternet yolunu tanımlar. İnternet'ten belirli bir IP Aralığına genel erişim kısıtlanmalıdır.

Önem Derecesi: Yüksek

Bulut DNS DNSSEC'te anahtar imzalama anahtarı için RSASHA1 kullanılmadığından emin olun

Açıklama: Bu kayıt defterindeki DNSSEC algoritma numaraları CERT RR'lerinde kullanılabilir. Bölge imzalama (DNSSEC) ve işlem güvenliği mekanizmaları (SIG(0) ve TSIG), bu algoritmaların belirli alt kümelerini kullanır. Anahtar imzalama için kullanılan algoritma önerilen bir algoritma olmalı ve güçlü olmalıdır. Bu kayıt defterindeki Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) algoritma numaraları CERT R'lerinde kullanılabilir. Bölge imzalama (DNSSEC) ve işlem güvenliği mekanizmaları (SIG(0) ve TSIG), bu algoritmaların belirli alt kümelerini kullanır. Anahtar imzalama için kullanılan algoritma önerilen bir algoritma olmalı ve güçlü olmalıdır. Yönetilen bir bölge için DNSSEC'i etkinleştirdiğinizde veya DNSSEC ile yönetilen bir bölge oluşturduğunuzda, kullanıcı DNSSEC imzalama algoritmalarını ve varlık reddi türünü seçebilir. DNSSEC ayarlarının değiştirilmesi yalnızca DNSSEC henüz etkinleştirilmemişse yönetilen bölge için geçerlidir. Etkin olduğu yönetilen bölgenin ayarlarını değiştirmeniz gerekiyorsa DNSSEC'i kapatın ve ardından farklı ayarlarla yeniden etkinleştirin.

Önem Derecesi: Orta

Bulut DNS DNSSEC'te bölge imzalama anahtarı için RSASHA1 kullanılmadığından emin olun

Açıklama: Bu kayıt defterindeki DNSSEC algoritma numaraları CERT RR'lerinde kullanılabilir. Bölge imzalama (DNSSEC) ve işlem güvenliği mekanizmaları (SIG(0) ve TSIG), bu algoritmaların belirli alt kümelerini kullanır. Anahtar imzalama için kullanılan algoritma önerilen bir algoritma olmalı ve güçlü olmalıdır. Bu kayıt defterindeki DNSSEC algoritma numaraları CERT RR'lerinde kullanılabilir. Bölge imzalama (DNSSEC) ve işlem güvenliği mekanizmaları (SIG(0) ve TSIG), bu algoritmaların belirli alt kümelerini kullanır. Anahtar imzalama için kullanılan algoritma önerilen bir algoritma olmalı ve güçlü olmalıdır. Yönetilen bir bölge için DNSSEC'i etkinleştirdiğinizde veya DNSSEC ile yönetilen bir bölge oluşturduğunuzda, DNSSEC imzalama algoritmaları ve varlık reddi türü seçilebilir. DNSSEC ayarlarının değiştirilmesi yalnızca DNSSEC henüz etkinleştirilmemişse yönetilen bölge için geçerlidir. Etkinleştirildiği yönetilen bölgenin ayarlarını değiştirme gereksinimi varsa DNSSEC'i kapatın ve ardından farklı ayarlarla yeniden etkinleştirin.

Önem Derecesi: Orta

SSH erişiminin İnternet'ten kısıtlandığından emin olun

Açıklama: GCP Güvenlik Duvarı Kuralları bir VPC Ağına özeldir. Her kural, koşulları karşılandığında trafiğe izin verir veya trafiği reddeder. Koşulları, kullanıcının bağlantı noktaları ve protokoller gibi trafik türünü ve IP adresleri, alt ağlar ve örnekler de dahil olmak üzere trafiğin kaynağını veya hedefini belirtmesine olanak tanır. Güvenlik duvarı kuralları VPC ağ düzeyinde tanımlanır ve tanımlandığı ağa özeldir. Kurallar ağlar arasında paylaşılamaz. Güvenlik duvarı kuralları yalnızca IPv4 trafiğini destekler. Giriş kuralı için bir kaynak veya adrese göre çıkış kuralı hedefi belirttiğinizde, yalnızca CIDR gösteriminde bir IPv4 adresi veya IPv4 bloğu kullanılabilir. 22 numaralı bağlantı noktasında SSH kullanan genel (0.0.0.0/0) İnternet'ten VPC'ye veya VM örneğine gelen trafik önlenebilir. VPC Ağı içindeki GCP Güvenlik Duvarı Kuralları, örneklerden giden (çıkış) trafiğe ve ağ içindeki örneklere gelen (giriş) trafiğe uygulanır. Çıkış ve giriş trafik akışları, trafik ağ içinde (örneğin, örnekten örneğe iletişim) kalsa bile denetlenmektedir. Bir örneğin giden İnternet erişimine sahip olması için, ağın geçerli bir İnternet ağ geçidi yoluna veya hedef IP'sinin belirtildiği özel bir yola sahip olması gerekir. Bu yol, varsayılan '22' Bağlantı Noktası ile İnternet'ten SSH üzerinden belirtilen en genel (0.0.0.0/0) hedef IP Aralığı'ndan kaçınmak için İnternet yolunu tanımlar. İnternet'ten belirli bir IP Aralığına genel erişimin kısıtlanması gerekir.

Önem Derecesi: Yüksek

Varsayılan ağın bir projede mevcut olmadığından emin olun

Açıklama: "Varsayılan" ağın kullanımını önlemek için projenin "varsayılan" bir ağı olmamalıdır. Varsayılan ağ önceden yapılandırılmış bir ağ yapılandırmasına sahiptir ve otomatik olarak aşağıdaki güvenli olmayan güvenlik duvarı kurallarını oluşturur:

default-allow-internal: Ağdaki örnekler arasında tüm protokoller ve bağlantı noktaları için giriş bağlantılarına izin verir.
default-allow-ssh: Ağdaki herhangi bir kaynaktan herhangi bir örneğe TCP bağlantı noktası 22(SSH) üzerinden giriş bağlantılarına izin verir.
default-allow-rdp: 3389 (RDP) numaralı TCP bağlantı noktası üzerinden ağdaki herhangi bir kaynaktan herhangi bir örneğe giriş bağlantılarına izin verir.
default-allow-icmp: Herhangi bir kaynaktan ağdaki herhangi bir örneğe giriş ICMP trafiğine izin verir.

Otomatik olarak oluşturulan bu güvenlik duvarı kuralları denetim günlüğüne kaydedilmez ve güvenlik duvarı kuralı günlüğünü etkinleştirecek şekilde yapılandırılamaz. Ayrıca, varsayılan ağ bir otomatik mod ağıdır ve alt ağlarının önceden tanımlanmış IP adresleri aralığını kullandığı anlamına gelir ve sonuç olarak, varsayılan ağ ile Cloud VPN veya VPC Ağ Eşlemesi kullanmak mümkün değildir. Kuruluş güvenliği ve ağ gereksinimlerine bağlı olarak, kuruluş yeni bir ağ oluşturmalı ve varsayılan ağı silmelidir.

Önem Derecesi: Orta

VPC ağ değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun

Açıklama: Sanal Özel Bulut (VPC) ağ değişiklikleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Bir projede birden fazla VPC olması mümkündür. Ayrıca, ağ trafiğinin VPC'ler arasında yönlendirilmesini sağlayan iki VPC arasında eş bağlantı oluşturmak da mümkündür. VPC'de yapılan değişiklikleri izlemek, VPC trafik akışının etkilenmemesini sağlamaya yardımcı olur.

Önem Derecesi: Düşük

VPC Ağ Güvenlik Duvarı kuralı değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun

Açıklama: Sanal Özel Bulut (VPC) Ağ Güvenlik Duvarı kuralı değişiklikleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Güvenlik Duvarı Oluşturma veya Güncelleştirme kuralı olaylarını izleme, ağ erişim değişiklikleri hakkında içgörü sağlar ve şüpheli etkinliği algılamak için gereken süreyi azaltabilir.

Önem Derecesi: Düşük

VPC ağ yolu değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun

Açıklama: Sanal Özel Bulut (VPC) ağ yolu değişiklikleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Google Cloud Platform (GCP) yolları, ağ trafiğinin bir VM örneğinden başka bir hedefe izlediği yolları tanımlar. Diğer hedef kuruluş VPC ağında (başka bir VM gibi) veya dışında olabilir. Her yol bir hedef ve bir sonraki atlamadan oluşur. Hedef IP adresi hedef aralık içinde olan trafik, teslim için sonraki atlamaya gönderilir. Yönlendirme tablolarındaki değişiklikleri izlemek, tüm VPC trafiğinin beklenen bir yoldan akmasını sağlamaya yardımcı olur.

Önem Derecesi: Düşük

Cloud SQL PostgreSQL örneği için 'log_connections' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun

Açıklama: log_connections ayarının etkinleştirilmesi, sunucuya yapılan her bağlantının günlüğe kaydedilmesine ve istemci kimlik doğrulamasının başarıyla tamamlanmasına neden olur. Oturum başladıktan sonra bu parametre değiştirilemez. PostgreSQL, denenen bağlantıları varsayılan olarak günlüğe kaydetmez. log_connections ayarının etkinleştirilmesi, her bağlantı girişimi için günlük girdilerinin yanı sıra istemci kimlik doğrulamasının başarıyla tamamlanmasını sağlar. Bu, sorunları gidermede ve sunucuya olağan dışı bağlantı girişimlerini belirlemede yararlı olabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

Cloud SQL PostgreSQL örneği için 'log_disconnections' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun

Açıklama: log_disconnections ayarının etkinleştirilmesi, oturum süresi de dahil olmak üzere her oturumun sonunu günlüğe kaydeder. PostgreSQL, süre ve oturum sonu gibi oturum ayrıntılarını varsayılan olarak günlüğe kaydetmez. log_disconnections ayarının etkinleştirilmesi, her oturumun sonunda günlük girişleri oluşturur. Bu, sorunları gidermede ve bir zaman aralığındaki olağan dışı etkinlikleri belirlemede yararlı olabilir. log_disconnections ve log_connections birlikte çalışır ve genellikle çift birlikte etkinleştirilir/devre dışı bırakılır. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.

Önem Derecesi: Orta

VPC Ağı'ndaki her alt ağ için VPC Akış Günlüklerinin etkinleştirildiğinden emin olun

Açıklama: Akış Günlükleri, kullanıcıların kuruluşun VPC Alt Ağlarındaki ağ arabirimlerine giden ve ağ arabirimlerinden giden IP trafiği hakkında bilgi yakalamasına olanak tanıyan bir özelliktir. Akış günlüğü oluşturulduktan sonra kullanıcı Stackdriver Günlüğü'nde verilerini görüntüleyebilir ve alabilir. İş açısından kritik vpc alt ağlarının her biri için Akış Günlüklerinin etkinleştirilmesi önerilir. VPC ağları ve alt ağlar, GCP kaynaklarının başlatılabildiği mantıksal olarak yalıtılmış ve güvenli ağ bölümleri sağlar. Bir alt ağ için Akış Günlükleri etkinleştirildiğinde, bu alt ağın içindeki VM'ler tüm İletim Denetimi Protokolü (TCP) ve Kullanıcı Veri Birimi Protokolü (UDP) akışlarında raporlamaya başlar. Her VM, akışın başka bir VM'ye veya başka bir VM'den, şirket içi veri merkezinde bulunan bir konaktan, Google hizmetinden veya İnternet'teki bir konaktan gelen ve giden tcp ve UDP akışlarını örneklemektedir. İki GCP VM iletişim kuruyorsa ve her ikisi de VPC Akış Günlükleri etkinleştirilmiş alt ağlardaysa, her iki VM de akışları bildirir. Akış Günlükleri aşağıdaki kullanım örneklerini destekler: 1. Ağ izleme. 2. Ağ kullanımını anlama ve ağ trafiği giderlerini iyileştirme. 3. Ağ adli tıp. 4. Gerçek zamanlı güvenlik analizi Akış Günlükleri, alt ağ içindeki her VM için ağ trafiğine görünürlük sağlar ve güvenlik iş akışları sırasında anormal trafiği veya içgörüleri algılamak için kullanılabilir.

Önem Derecesi: Düşük

Güvenlik duvarı kuralı günlüğü etkinleştirilmelidir

Açıklama: Bu öneri, boş olup olmadığını veya 'enable' anahtar-değer çiftini içerip içermediğini görmek için güvenlik duvarı meta verilerindeki logConfig özelliğini değerlendirir: false.

Önem Derecesi: Orta

Güvenlik duvarı genel erişime açık olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, iki yapılandırmadan biri için sourceRanges ve izin verilen özellikleri değerlendirir:

sourceRanges özelliği 0.0.0.0/0 içerir ve izin verilen özellik aşağıdakiler dışında herhangi bir protokol veya protokol:bağlantı noktası içeren kuralların bir bileşimini içerir:

ıcmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

sourceRanges özelliği, herhangi bir ayrıcalıksız IP adresi içeren IP aralıklarının bir bileşimini içerir ve izin verilen özellik tüm TCP bağlantı noktalarına veya tüm udp bağlantı noktalarına izin veren kuralların bir bileşimini içerir.

Önem Derecesi: Yüksek

Güvenlik duvarı, genel erişime izin veren açık bir CASSANDRA bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir CISCOSECURE_WEBSM bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokol ve bağlantı noktası için değerlendirir: TCP: 9090.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir DIRECTORY_SERVICES bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 445 ve UDP: 445.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir DNS bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 53 ve UDP: 53.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir ELASTICSEARCH bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 9200, 9300.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir FTP bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde aşağıdaki protokol ve bağlantı noktası için izin verilen özelliği değerlendirir: TCP: 21.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir HTTP bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, aşağıdaki protokoller ve bağlantı noktaları için güvenlik duvarı meta verilerinde izin verilen özelliği değerlendirir: TCP: 80.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir LDAP bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 389, 636 ve UDP: 389.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir MEMCACHED bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 11211, 11214-11215 ve UDP: 11211, 11214-11215.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir MONGODB bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 27017-27019.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir MYSQL bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokol ve bağlantı noktası için değerlendirir: TCP: 3306.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir NETBIOS bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 137-139 ve UDP: 137-139.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir ORACLEDB bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 1521, 2483-2484 ve UDP: 2483-2484.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir POP3 bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokol ve bağlantı noktası için değerlendirir: TCP: 110.

Önem Derecesi: Düşük

Güvenlik duvarı, genel erişime izin veren açık bir PostgreSQL bağlantı noktasına sahip olacak şekilde yapılandırılmamalıdır

Açıklama: Bu öneri, güvenlik duvarı meta verilerinde izin verilen özelliği şu protokoller ve bağlantı noktaları için değerlendirir: TCP: 5432 ve UDP: 5432.

Önem Derecesi: Düşük

Aracılığıyla paylaş

Ağ güvenlik önerileri

Azure ağ önerileri

AWS ağ önerileri

GCP ağ önerileri

İlgili içerik

Geri Bildirim

Ek kaynaklar