İşlem güvenliği önerileri
Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm çoklu bulut işlem güvenliği önerileri listelenir.
Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.
Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.
İpucu
Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.
Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.
Azure işlem önerileri
Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir
Açıklama: Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Bulut için Defender, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamaların listesini önerir. (İlgili ilke: Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makinelerinizde etkinleştirilmelidir).
Önem Derecesi: Yüksek
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir
Açıklama: Bulut için Defender uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Bulut için Defender makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. (İlgili ilke: Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir).
Önem Derecesi: Yüksek
Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir
Açıklama: SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi için bkz. Ayrıntılı adımlar: Azure'da Linux VM'sinde kimlik doğrulaması için SSH anahtarları oluşturma ve yönetme. (İlgili ilke: Kimlik doğrulaması için SSH anahtarı kullanmayan Linux makinelerini denetleme).
Önem Derecesi: Orta
Otomasyon hesabı değişkenleri şifrelenmelidir
Açıklama: Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir. (İlgili ilke: Otomasyon hesabı değişkenleri şifrelenmelidir).
Önem Derecesi: Yüksek
Sanal makineler için Azure Backup etkinleştirilmelidir
Açıklama: Azure Backup ile Azure sanal makinelerinizdeki verileri koruyun. Azure Backup, Azure'a özel, uygun maliyetli bir veri koruma çözümüdür. Coğrafi olarak yedekli kurtarma kasalarında depolanan kurtarma noktaları oluşturur. Bir kurtarma noktasından geri yükleme yaptığınızda VM’nin tamamını veya belirli dosyaları geri yükleyebilirsiniz. (İlgili ilke: Azure Backup Sanal Makineler) için etkinleştirilmelidir.
Önem Derecesi: Düşük
(Önizleme) Azure Stack HCI sunucuları Güvenli çekirdek gereksinimlerini karşılamalıdır
Açıklama: Tüm Azure Stack HCI sunucularının Güvenli çekirdek gereksinimlerini karşıladığından emin olun. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).
Önem Derecesi: Düşük
(Önizleme) Azure Stack HCI sunucularının sürekli olarak zorunlu uygulama denetimi ilkeleri olmalıdır
Açıklama: Microsoft WDAC temel ilkesini en azından tüm Azure Stack HCI sunucularında zorunlu modda uygulayın. Uygulanan Windows Defender Uygulama Denetimi (WDAC) ilkeleri aynı kümedeki sunucular arasında tutarlı olmalıdır. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).
Önem Derecesi: Yüksek
(Önizleme) Azure Stack HCI sistemlerinde şifrelenmiş birimler olmalıdır
Açıklama: Azure Stack HCI sistemlerinde işletim sistemini ve veri birimlerini şifrelemek için BitLocker kullanın. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).
Önem Derecesi: Yüksek
Kapsayıcı konakları güvenli bir şekilde yapılandırılmalıdır
Açıklama: Docker'ın yüklü olduğu makinelerde güvenlik yapılandırma ayarlarındaki güvenlik açıklarını düzelterek bunları saldırılara karşı koruyun. (İlgili ilke: Kapsayıcı güvenliği yapılandırmalarındaki güvenlik açıkları düzeltilmelidir).
Önem Derecesi: Yüksek
Azure Stream Analytics'te tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Azure Stream Analytics'teki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Batch hesaplarındaki tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Batch hesaplarındaki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Event Hubs'daki tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Event Hubs'daki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Logic Apps'teki tanılama günlükleri etkinleştirilmelidir
Açıklama: Güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturabildiğinizden emin olmak için günlüğe kaydetmeyi etkinleştirin. Tanılama günlükleriniz log analytics çalışma alanına, Azure Depolama hesabına veya Azure Event Hubs'a gönderilmiyorsa, ilgili hedeflere platform ölçümleri ve platform günlükleri göndermek için tanılama ayarlarını yapılandırdığınızdan emin olun. Platform günlüklerini ve ölçümlerini farklı hedeflere göndermek için tanılama ayarları oluşturma bölümünde daha fazla bilgi edinin. (İlgili ilke: Logic Apps'teki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Service Bus'taki tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Service Bus'taki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Sanal Makine Ölçek Kümeleri tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Sanal Makine Ölçek Kümeleri tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Yüksek
EDR yapılandırma sorunları sanal makinelerde çözülmelidir
Açıklama: Sanal makineleri en son tehditlere ve güvenlik açıklarına karşı korumak için, yüklü Uç Nokta Algılama ve Yanıt (EDR) çözümüyle ilgili tüm tanımlanan yapılandırma sorunlarını çözün. Şu anda bu öneri yalnızca Uç Nokta için Microsoft Defender etkin olan kaynaklar için geçerlidir.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Düşük
EDR çözümü Sanal Makineler yüklenmelidir
Açıklama: Sanal makinelere Uç Nokta Algılama ve Yanıt (EDR) çözümü yüklemek, gelişmiş tehditlere karşı koruma açısından önemlidir. EDR'ler bu tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yardımcı olur. Sunucular için Microsoft Defender, Uç Nokta için Microsoft Defender dağıtmak için kullanılabilir.
- Bir kaynak "İyi durumda değil" olarak sınıflandırılırsa desteklenen bir EDR çözümünün yokluğunu gösterir.
- Bir EDR çözümü yüklüyse ancak bu öneri tarafından bulunamıyorsa, muaf tutulabilir
- EDR çözümü olmadan sanal makineler gelişmiş tehdit riski altındadır.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Yüksek
Sanal makine ölçek kümelerinde uç nokta koruma sistem durumu sorunları çözülmelidir
Açıklama: Sanal makine ölçek kümelerinde, bunları tehditlerden ve güvenlik açıklarından korumak için uç nokta koruma sistem durumu hatalarını düzeltin. (İlgili ilke: Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir).
Önem Derecesi: Düşük
Uç nokta koruması sanal makine ölçek kümelerine yüklenmelidir
Açıklama: Sanal makinelerinizin ölçek kümelerine tehditlerden ve güvenlik açıklarından korumak için bir uç nokta koruma çözümü yükleyin. (İlgili ilke: Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir).
Önem Derecesi: Yüksek
Makinelerde dosya bütünlüğü izleme etkinleştirilmelidir
Açıklama: Bulut için Defender, dosya bütünlüğü izleme çözümü eksik makineleri tanımladı. Sunucularınızdaki kritik dosyalara, kayıt defteri anahtarlarına ve daha fazlasına yapılan değişiklikleri izlemek için dosya bütünlüğü izlemeyi etkinleştirin. Dosya bütünlüğü izleme çözümü etkinleştirildiğinde, izlenecek dosyaları tanımlamak için veri toplama kuralları oluşturun. Kuralları tanımlamak veya mevcut kurallara sahip makinelerde değiştirilen dosyaları görmek için dosya bütünlüğü izleme yönetimi sayfasına gidin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Konuk Kanıtlama uzantısı desteklenen Linux sanal makine ölçek kümelerine yüklenmelidir
Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilir başlatma özellikli Linux sanal makine ölçek kümeleri için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Konuk Kanıtlama uzantısı desteklenen Linux sanal makinelerine yüklenmelidir
Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makinelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilir başlatma özellikli Linux sanal makineleri için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Konuk Kanıtlama uzantısı desteklenen Windows sanal makine ölçek kümelerine yüklenmelidir
Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makine ölçek kümeleri için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Konuk Kanıtlama uzantısı desteklenen Windows sanal makinelerine yüklenmelidir
Açıklama: Bulut için Microsoft Defender önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makinelere Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Konuk Yapılandırma uzantısı makinelere yüklenmelidir
Açıklama: Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, Windows Exploit guard'ın etkinleştirilmesi gerektiği gibi konuk içi ilkeler kullanılabilir. (İlgili ilke: Sanal makineler Konuk Yapılandırması uzantısına sahip olmalıdır).
Önem Derecesi: Orta
(Önizleme) Konak ve VM ağı Azure Stack HCI sistemlerinde korunmalıdır
Açıklama: Azure Stack HCI konağının ağında ve sanal makine ağ bağlantılarında verileri koruyun. (İlgili ilke: Konuk Yapılandırma uzantısı makinelere yüklenmelidir - Microsoft Azure).
Önem Derecesi: Düşük
Sanal makinelere uç nokta koruma çözümü yükleme
Açıklama: Sanal makinelerinizi tehditlere ve güvenlik açıklarına karşı korumak için bir uç nokta koruma çözümü yükleyin. (İlgili ilke: Azure Güvenlik Merkezi) içinde eksik Endpoint Protection'ın izlenmesi.
Önem Derecesi: Yüksek
Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir
Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. (İlgili ilke: [Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost) etkinleştirmelidir.
Sanal makinelerin İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemesi gereken eski önerinin yerini alır. Öneri, VM şifreleme uyumluluğunu denetlemenizi sağlar.
Önem Derecesi: Yüksek
Linux sanal makineleri çekirdek modülü imza doğrulamayı zorunlu kılmalıdır
Açıklama: Çekirdek modunda kötü amaçlı veya yetkisiz kodun yürütülmesine karşı azaltmaya yardımcı olmak için desteklenen Linux sanal makinelerinde çekirdek modülü imza doğrulamasını zorunlu kılın. Çekirdek modülü imza doğrulaması, yalnızca güvenilen çekirdek modüllerinin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)
Önem Derecesi: Düşük
Linux sanal makineleri yalnızca imzalı ve güvenilen önyükleme bileşenlerini kullanmalıdır
Açıklama: Güvenli Önyükleme etkinleştirildiğinde, tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcılar tarafından imzalanmalıdır. Bulut için Defender, bir veya daha fazla Linux makinenizde güvenilmeyen işletim sistemi önyükleme bileşenleri tanımladı. Makinelerinizi kötü amaçlı olabilecek bileşenlerden korumak için izin verilenler listenize ekleyin veya tanımlanan bileşenleri kaldırın. (İlişkili ilke yok)
Önem Derecesi: Düşük
Linux sanal makineleri Güvenli Önyükleme kullanmalıdır
Açıklama: Kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlamak için desteklenen Linux sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)
Önem Derecesi: Düşük
Log Analytics aracısı Linux tabanlı Azure Arc özellikli makinelere yüklenmelidir
Açıklama: Bulut için Defender, Azure Arc makinelerinizden güvenlik olaylarını toplamak için Log Analytics aracısını (OMS olarak da bilinir) kullanır. Aracıyı tüm Azure Arc makinelerinize dağıtmak için düzeltme adımlarını izleyin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Sunucular için Defender'da AMA ve MMA kullanımı aşamalı olarak kaldırıldıkçe, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024
Log Analytics aracısı sanal makine ölçek kümelerine yüklenmelidir
Açıklama: Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olan Log Analytics aracısı kullanılarak toplanır. VM'leriniz Azure Kubernetes Service veya Azure Service Fabric gibi bir Azure yönetilen hizmeti tarafından kullanılıyorsa da bu yordamı izlemeniz gerekir. Azure sanal makine ölçek kümeleri için aracının otomatik sağlamasını yapılandıramazsınız. Aracıyı sanal makine ölçek kümelerine (Azure Kubernetes Service ve Azure Service Fabric gibi Azure yönetilen hizmetleri tarafından kullanılanlar dahil) dağıtmak için düzeltme adımlarındaki yordamı izleyin. (İlgili ilke: Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir).
Sunucular için Defender'da AMA ve MMA kullanımı aşamalı olarak kaldırıldıkçe, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024
Önem Derecesi: Yüksek
Log Analytics aracısı sanal makinelere yüklenmelidir
Açıklama: Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olan Log Analytics aracısı kullanılarak toplanır. Vm'leriniz Azure Kubernetes Service veya Azure Service Fabric gibi bir Azure yönetilen hizmeti tarafından kullanılıyorsa da bu aracı gereklidir. Aracıyı otomatik olarak dağıtmak için otomatik sağlamayı yapılandırmanızı öneririz. Otomatik sağlamayı kullanmamayı seçerseniz, düzeltme adımlarındaki yönergeleri kullanarak aracıyı VM'lerinize el ile dağıtın. (İlgili ilke: Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir).
Sunucular için Defender'da AMA ve MMA kullanımı aşamalı olarak kaldırıldıkçe, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024
Önem Derecesi: Yüksek
Log Analytics aracısı Windows tabanlı Azure Arc özellikli makinelere yüklenmelidir
Açıklama: Bulut için Defender, Azure Arc makinelerinizden güvenlik olaylarını toplamak için Log Analytics aracısını (MMA olarak da bilinir) kullanır. Aracıyı tüm Azure Arc makinelerinize dağıtmak için düzeltme adımlarını izleyin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Sunucular için Defender'da AMA ve MMA kullanımı aşamalı olarak kaldırıldıkçe, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024
Makineler güvenli bir şekilde yapılandırılmalıdır
Açıklama: Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılardan koruyun. (İlgili ilke: Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir).
Bu öneri, sunucu güvenlik duruşunu geliştirmenize yardımcı olur. Bulut için Defender, Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen güvenlik temelleri sağlayarak İnternet Güvenliği Merkezi (CIS) karşılaştırmalarını geliştirir. Daha fazla bilgi edinin.
Önem Derecesi: Düşük
Güvenlik yapılandırma güncelleştirmelerini uygulamak için makineler yeniden başlatılmalıdır
Açıklama: Güvenlik yapılandırma güncelleştirmelerini uygulamak ve güvenlik açıklarına karşı koruma sağlamak için makinelerinizi yeniden başlatın. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. (İlişkili ilke yok)
Önem Derecesi: Düşük
Makinelerin güvenlik açığı değerlendirme çözümü olmalıdır
Açıklama: Bulut için Defender güvenlik açığı değerlendirme araçlarını çalıştırdığından emin olmak için bağlı makinelerinizi düzenli olarak denetler. Bir güvenlik açığı değerlendirme çözümü dağıtmak için bu öneriyi kullanın. (İlgili ilke: Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir).
Önem Derecesi: Orta
Makinelerde güvenlik açığı bulguları çözümlenmelidir
Açıklama: Sanal makinelerinizdeki güvenlik açığı değerlendirme çözümlerinden elde edilen bulguları çözün. (İlgili ilke: Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir).
Önem Derecesi: Düşük
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır
Açıklama: Bulut için Defender, Ağ Güvenlik Grubunuzdaki yönetim bağlantı noktaları için aşırı izinli gelen kuralları tanımladı. VM'nizi İnternet tabanlı deneme yanılma saldırılarına karşı korumak için tam zamanında erişim denetimini etkinleştirin. Tam zamanında (JIT) VM erişimini anlama bölümünde daha fazla bilgi edinin. (İlgili ilke: Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır).
Önem Derecesi: Yüksek
Sunucular için Microsoft Defender etkinleştirilmelidir
Açıklama: Sunucular için Microsoft Defender, sunucu iş yükleriniz için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. Güvenlik sorunlarını hızla düzeltmek ve sunucularınızın güvenliğini geliştirmek için bu bilgileri kullanabilirsiniz.
Bu önerinin düzeltilmesi, sunucularınızın korunmasıyla ilgili ücrete neden olur. Bu abonelikte herhangi bir sunucunuz yoksa ücret alınmaz. Gelecekte bu abonelikte herhangi bir sunucu oluşturursanız, bu sunucular otomatik olarak korunur ve ücretler o zaman başlar. Sunucular için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlgili ilke: Sunucular için Azure Defender etkinleştirilmelidir).
Önem Derecesi: Yüksek
Sunucular için Microsoft Defender çalışma alanlarında etkinleştirilmelidir
Açıklama: Sunucular için Microsoft Defender, Windows ve Linux makineleriniz için tehdit algılama ve gelişmiş savunmalar getirir. Bu Defender planı aboneliklerinizde etkinleştirildiğinde ancak çalışma alanlarınızda etkinleştirilmediğinden, sunucular için Microsoft Defender'ın tüm özellikleri için ödeme yapıyor ancak bazı avantajları kaçırıyorsunuz. Çalışma alanında sunucular için Microsoft Defender'ı etkinleştirdiğinizde, bu çalışma alanına raporlama yapan tüm makineler, Defender planları etkin olmayan aboneliklerde olsalar bile sunucular için Microsoft Defender için faturalandırılır. Abonelikteki sunucular için Microsoft Defender'ı da etkinleştirmediğiniz sürece, bu makineler Azure kaynakları için tam zamanında VM erişiminden, uyarlamalı uygulama denetimlerinden ve ağ algılamalarından yararlanamaz. Sunucular için Microsoft Defender'a giriş bölümünde daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Orta
Desteklenen Windows sanal makinelerinde Güvenli Önyükleme etkinleştirilmelidir
Açıklama: Önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmak için desteklenen Windows sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdeğin ve çekirdek sürücülerinin çalışmasına izin verilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli Windows sanal makineleri için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır
Açıklama: Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın. (İlgili ilke: Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır).
Önem Derecesi: Yüksek
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır
Açıklama: İstemci kimlik doğrulamasını yalnızca Service Fabric'te Azure Active Directory aracılığıyla gerçekleştirin (İlgili ilke: Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır).
Önem Derecesi: Yüksek
Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir
Açıklama: Windows ve Linux sanal makine ölçek kümelerinizin güvenliğini sağlamak için eksik sistem güvenliğini ve kritik güncelleştirmeleri yükleyin. (İlgili ilke: Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir).
Azure İzleyici Aracısı (AMA) ve Log Analytics aracısının (Microsoft Monitoring Agent (MMA) olarak da bilinir) kullanımı Sunucular için Defender'da aşamalı olarak kaldırıldıktan sonra, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024. Bu önerilerin yerini yeni öneriler alır.
Önem Derecesi: Yüksek
Sistem güncelleştirmeleri makinelerinize yüklenmelidir
Açıklama: Windows ve Linux sanal makinelerinizin ve bilgisayarlarınızın güvenliğini sağlamak için eksik sistem güvenliğini ve kritik güncelleştirmeleri yükleyin (İlgili ilke: Sistem güncelleştirmeleri makinelerinize yüklenmelidir).
Azure İzleyici Aracısı (AMA) ve Log Analytics aracısının (Microsoft Monitoring Agent (MMA) olarak da bilinir) kullanımı Sunucular için Defender'da aşamalı olarak kaldırıldıktan sonra, bu aracılara dayanan öneriler (örneğin, bu aracılar) kaldırılır. Bunun yerine, Sunucular için Defender özellikleri MMA veya AMA'ya bağlı olmadan Uç Nokta için Microsoft Defender aracısını veya aracısız taramayı kullanır.
Tahmini kullanımdan kaldırma: Temmuz 2024. Bu önerilerin yerini yeni öneriler alır.
Önem Derecesi: Yüksek
Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir)
Açıklama: Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir
Açıklama: Sanal makinenizin ve sanal makine ölçek kümesi verilerinizin uçtan uca şifrelemesini almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. Konakta şifreleme kullanarak uçtan uca şifrelemeyi etkinleştirmek için Azure portalını kullanma hakkında daha fazla bilgi edinin. (İlgili ilke: Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir).
Önem Derecesi: Orta
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir
Açıklama: Sanal makineler (klasik) kullanım dışıdır ve bu VM'ler Azure Resource Manager'a geçirilmelidir. Azure Resource Manager artık tam IaaS özelliklerine ve diğer ilerlemelere sahip olduğundan, 28 Şubat 2020'de Azure Service Manager (ASM) aracılığıyla IaaS sanal makinelerinin (VM) yönetimini kullanım dışı bırakılmıştır. Bu işlev 1 Mart 2023'te tamamen kullanımdan kaldırılacaktır.
Etkilenen tüm klasik VM'leri görüntülemek için 'dizinler + abonelikler' sekmesi altında tüm Azure aboneliklerinizi seçtiğinizden emin olun.
Bu araç ve geçiş hakkında kullanılabilir kaynaklar ve bilgiler: Sanal makinelerin (klasik) kullanımdan kaldırılmasına genel bakış, geçiş için adım adım işlem ve kullanılabilir Microsoft kaynakları.Azure Resource Manager geçiş aracına geçiş hakkındaki ayrıntılar.PowerShell kullanarak Azure Resource Manager geçiş aracına geçiş. (İlgili ilke: Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir).
Önem Derecesi: Yüksek
Sanal makineler konuk kanıtlama durumu iyi durumda olmalıdır
Açıklama: Konuk kanıtlama, bir kanıtlama sunucusuna güvenilir bir günlük (TCGLog) gönderilerek gerçekleştirilir. Sunucu, önyükleme bileşenlerinin güvenilir olup olmadığını belirlemek için bu günlükleri kullanır. Bu değerlendirme, önyükleme zincirinin risklerini algılamaya yöneliktir ve bu bir bootkit veya rootkit bulaşmanın sonucu olabilir.
Bu değerlendirme yalnızca Konuk Kanıtlama uzantısının yüklü olduğu Güvenilen Başlatma özellikli sanal makineler için geçerlidir.
(İlişkili ilke yok)
Önem Derecesi: Orta
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır
Açıklama: Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi edinin (İlgili ilke: Konuk Yapılandırma uzantısı, sistem tarafından atanan yönetilen kimlikle Azure sanal makinelerine dağıtılmalıdır).
Önem Derecesi: Orta
Sanal makine ölçek kümeleri güvenli bir şekilde yapılandırılmalıdır
Açıklama: Sanal makine ölçek kümelerinde, güvenlik açıklarını saldırılardan korumak için düzeltin. (İlgili ilke: Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir).
Önem Derecesi: Yüksek
Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir
Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Azure'daki farklı disk şifreleme teknolojilerinin karşılaştırması için bkz https://aka.ms/diskencryptioncomparison. . Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi kullanın. Aşağıdakiler durumunda bu öneriyi göz ardı edin:
Konakta şifreleme özelliğini veya güvenlik gereksinimlerinizi karşılayan Yönetilen Diskler sunucu tarafı şifrelemeyi kullanıyorsunuz. Azure Disk Depolama'nın sunucu tarafı şifrelemesi hakkında daha fazla bilgi edinin.
(İlgili ilke: Disk şifrelemesi sanal makinelere uygulanmalıdır)
Önem Derecesi: Yüksek
Desteklenen sanal makinelerde vTPM etkinleştirilmelidir
Açıklama: Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için desteklenen sanal makinelerde sanal TPM cihazını etkinleştirin. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir.
- Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir.
- İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Azure sanal makineleri için güvenilen başlatma hakkında daha fazla bilgi edinin. (İlişkili ilke yok)
Önem Derecesi: Düşük
Linux makinelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (Konuk Yapılandırması tarafından desteklenir)
Açıklama: Linux makinelerinizde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek saldırılara karşı koruyun. (İlgili ilke: Linux makineleri Azure güvenlik temeli gereksinimlerini karşılamalıdır).
Önem Derecesi: Düşük
Windows makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (Konuk Yapılandırması tarafından desteklenir)
Açıklama: Windows makinelerinizde güvenlik yapılandırmasındaki güvenlik açıklarını düzelterek bunları saldırılara karşı koruyun. (İlişkili ilke yok)
Önem Derecesi: Düşük
Windows Defender Exploit Guard makinelerde etkinleştirilmelidir
Açıklama: Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). (İlgili ilke: Windows Defender Exploit Guard'ın etkinleştirilmediği Windows makinelerini denetleme).
Önem Derecesi: Orta
Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir
Açıklama: Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapılırken veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. (İlgili ilke: [Önizleme]: Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost) etkinleştirmelidir.
Sanal makinelerin İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemesi gereken eski önerinin yerini alır. Öneri, VM şifreleme uyumluluğunu denetlemenizi sağlar.
Önem Derecesi: Yüksek
Windows web sunucuları güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır
Açıklama: İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için web sunucularınız endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak ağ üzerinden iletişimin güvenliğini sağlar. (İlgili ilke: Güvenli iletişim protokolleri kullanmayan Windows web sunucularını denetleme).
Önem Derecesi: Yüksek
AWS İşlem önerileri
Systems Manager tarafından yönetilen Amazon EC2 örnekleri, düzeltme eki yüklemesinin ardından UYUMLU düzeltme eki uyumluluk durumuna sahip olmalıdır
Açıklama: Bu denetim, Amazon EC2 Systems Manager yama uyumluluğunun uyumluluk durumunun UYUMLU mu yoksa örnekteki düzeltme eki yüklemesinin ardından NON_COMPLIANT olup olmadığını denetler. Yalnızca AWS Systems Manager Patch Manager tarafından yönetilen örnekleri denetler. Düzeltme ekinin PCI DSS gereksinimi '6.2' tarafından belirlenen 30 günlük sınır içinde uygulanıp uygulanmadığını denetlemez. Ayrıca uygulanan düzeltme eklerinin güvenlik düzeltme ekleri olarak sınıflandırılıp sınıflandırılmadığını doğrulamaz. Uygun temel ayarlarla düzeltme eki uygulama grupları oluşturmalı ve kapsam içi sistemlerin Systems Manager'da bu düzeltme eki grupları tarafından yönetildiğinden emin olmalısınız. Yama grupları hakkında daha fazla bilgi için bkz . AWS Systems Manager Kullanıcı Kılavuzu.
Önem Derecesi: Orta
Amazon EFS, AWS KMS kullanarak bekleyen dosya verilerini şifrelemek için yapılandırılmalıdır
Açıklama: Bu denetim, Amazon Elastic File System'in AWS KMS kullanarak dosya verilerini şifrelemek için yapılandırılıp yapılandırılmadığını denetler. Denetim şu durumlarda başarısız oluyor: *"Encrypted", DescribeFileSystems yanıtında "false" olarak ayarlanır. DescribeFileSystems yanıtında "KmsKeyId" anahtarı, efs-encrypted-check için KmsKeyId parametresiyle eşleşmiyor. Bu denetimin efs-encrypted-check için "KmsKeyId" parametresini kullanmadığını unutmayın. Yalnızca "Encrypted" değerini denetler. Amazon EFS'deki hassas verileriniz için ek bir güvenlik katmanı için şifrelenmiş dosya sistemleri oluşturmanız gerekir. Amazon EFS bekleyen dosya sistemleri için şifrelemeyi destekler. Amazon EFS dosya sistemi oluşturduğunuzda bekleyen verilerin şifrelenmesini etkinleştirebilirsiniz. Amazon EFS şifrelemesi hakkında daha fazla bilgi edinmek için Amazon Elastik Dosya Sistemi Kullanıcı Kılavuzu'nda Amazon EFS'de veri şifreleme bölümüne bakın.
Önem Derecesi: Orta
Amazon EFS birimleri yedekleme planlarında olmalıdır
Açıklama: Bu denetim, Amazon Elastic File System (Amazon EFS) dosya sistemlerinin AWS Backup'taki yedekleme planlarına eklenip eklenmediğini denetler. Amazon EFS dosya sistemleri yedekleme planlarına dahil değilse denetim başarısız olur. Yedekleme planlarına EFS dosya sistemlerini dahil etmek, verilerinizi silme ve veri kaybına karşı korumanıza yardımcı olur.
Önem Derecesi: Orta
Uygulama Load Balancer silme koruması etkinleştirilmelidir
Açıklama: Bu denetim, Bir Uygulama Yük Dengeleyici'nin silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Silme koruması yapılandırılmamışsa denetim başarısız olur. Uygulama Yük Dengeleyicinizi silmeye karşı korumak için silme korumasını etkinleştirin.
Önem Derecesi: Orta
Yük dengeleyiciyle ilişkili otomatik ölçeklendirme grupları sistem durumu denetimlerini kullanmalıdır
Açıklama: Yük dengeleyiciyle ilişkili Otomatik Ölçeklendirme grupları Elastik Yük Dengeleme sistem durumu denetimlerini kullanıyor. PCI DSS için yük dengeleme veya yüksek oranda kullanılabilir yapılandırmalar gerekmez. Bu, AWS en iyi yöntemleri tarafından önerilir.
Önem Derecesi: Düşük
AWS hesaplarında Azure Arc otomatik sağlama etkinleştirilmelidir
Açıklama: Sunucular için Microsoft Defender'dan gelen güvenlik içeriğinin tam görünürlüğü için EC2 örneklerinin Azure Arc'a bağlanması gerekir. Tüm uygun EC2 örneklerinin Azure Arc'ı otomatik olarak aldığından emin olmak için AWS hesabı düzeyinde Bulut için Defender otomatik sağlamayı etkinleştirin. Azure Arc ve Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
CloudFront dağıtımlarında kaynak yük devretme yapılandırılmış olmalıdır
Açıklama: Bu denetim, Amazon CloudFront dağıtımının iki veya daha fazla çıkış noktası olan bir kaynak grubuyla yapılandırılıp yapılandırılmadığını denetler. CloudFront kaynak yük devretmesi kullanılabilirliği artırabilir. Kaynak yük devretme, birincil kaynak kullanılamıyorsa veya belirli HTTP yanıt durum kodları döndürüyorsa trafiği otomatik olarak ikincil bir çıkış noktası olarak yönlendirir.
Önem Derecesi: Orta
CodeBuild GitHub veya Bitbucket kaynak deposu URL'leri OAuth kullanmalıdır
Açıklama: Bu denetim GitHub veya Bitbucket kaynak deposu URL'sinin kişisel erişim belirteçleri mi yoksa kullanıcı adı ve parola mı içerdiğini denetler. Kimlik doğrulama kimlik bilgileri hiçbir zaman düz metinde depolanmamalı veya iletilmemeli ya da depo URL'sinde görüntülenmemelidir. Kişisel erişim belirteçleri veya kullanıcı adı ve parolası yerine, GitHub veya Bitbucket depolarına erişim yetkisi vermek için OAuth kullanmalısınız. Kişisel erişim belirteçleri veya kullanıcı adı ve parola kullanmak, kimlik bilgilerinizi istenmeyen verilerin açığa çıkarılmasına ve yetkisiz erişime açık hale gelebilir.
Önem Derecesi: Yüksek
CodeBuild proje ortamı değişkenleri kimlik bilgileri içermemelidir
Açıklama: Bu denetim, projenin ve AWS_SECRET_ACCESS_KEYortam değişkenlerini AWS_ACCESS_KEY_ID içerip içermediğini denetler.
Kimlik doğrulama kimlik bilgileri AWS_ACCESS_KEY_ID ve AWS_SECRET_ACCESS_KEY hiçbir zaman düz metinde depolanmamalıdır, bu da istenmeyen verilerin açığa çıkmasına ve yetkisiz erişime neden olabilir.
Önem Derecesi: Yüksek
DynamoDB Hızlandırıcısı (DAX) kümeleri bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim, bekleyen bir DAX kümesinin şifrelenip şifrelenmediğini denetler. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Şifreleme, yetkisiz kullanıcıların verilere erişim becerisini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir.
Önem Derecesi: Orta
DynamoDB tabloları kapasiteyi taleple otomatik olarak ölçeklendirmelidir
Açıklama: Bu denetim, Amazon DynamoDB tablosunun okuma ve yazma kapasitesini gerektiği gibi ölçeklendileyip ölçeklendiremeyeceğini denetler. Tabloda otomatik ölçeklendirme yapılandırılmış isteğe bağlı kapasite modu veya sağlanan mod kullanılıyorsa bu denetim geçer. Kapasiteyi taleple ölçeklendirmek, azaltma özel durumlarını önler ve bu da uygulamalarınızın kullanılabilirliğini korumaya yardımcı olur.
Önem Derecesi: Orta
EC2 örnekleri Azure Arc'a bağlanmalıdır
Açıklama: Sunucular için Microsoft Defender güvenlik içeriğine tam görünürlük sağlamak için EC2 örneklerinizi Azure Arc'a bağlayın. Azure Arc ve hibrit bulut ortamındaki Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
EC2 örnekleri AWS Systems Manager tarafından yönetilmelidir
Açıklama: Amazon EC2 Systems Manager yama uyumluluğunun durumu, örnekteki düzeltme eki yüklemesinin ardından 'UYUMLU' veya 'NON_COMPLIANT' şeklindedir. Yalnızca AWS Systems Manager Patch Manager tarafından yönetilen örnekler denetlenebilir. PCI DSS gereksinimi '6' tarafından belirlenen 30 günlük sınır içinde uygulanan düzeltme ekleri denetlenmiyor.
Önem Derecesi: Orta
EDR yapılandırma sorunları EC2'lerde çözülmelidir
Açıklama: Sanal makineleri en son tehditlere ve güvenlik açıklarına karşı korumak için, yüklü Uç Nokta Algılama ve Yanıt (EDR) çözümüyle ilgili tüm tanımlanan yapılandırma sorunlarını çözün. Şu anda bu öneri yalnızca Uç Nokta için Microsoft Defender etkin olan kaynaklar için geçerlidir.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Yüksek
EDR çözümü EC2'lere yüklenmelidir
Açıklama: EC2'leri korumak için bir Uç Nokta Algılama ve Yanıt (EDR) çözümü yükleyin. EDR'ler gelişmiş tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yardımcı olur. Uç Nokta için Microsoft Defender dağıtmak için Sunucular için Microsoft Defender'ı kullanın. Kaynak "İyi durumda değil" olarak sınıflandırılırsa desteklenen bir EDR çözümü yüklü değildir. Bu öneri tarafından bulunamayan bir EDR çözümünüz varsa, çözümü muaf tutabilirsiniz.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Yüksek
Systems Manager tarafından yönetilen örneklerin uyumlu ilişkilendirme uyumluluk durumu olmalıdır
Açıklama: Bu denetim, AWS Systems Manager ilişkilendirme uyumluluğu durumunun UYUMLU mu yoksa ilişkilendirme bir örnekte çalıştırıldıktan sonra NON_COMPLIANT olup olmadığını denetler. İlişkilendirme uyumluluk durumu UYUMLU ise denetim geçer. State Manager ilişkilendirmesi, yönetilen örneklerinize atanan bir yapılandırmadır. Yapılandırma, örneklerinizde korumak istediğiniz durumu tanımlar. Örneğin, bir ilişkilendirme, örneklerinizde virüsten koruma yazılımının yüklenmesi ve çalıştırılması gerektiğini veya belirli bağlantı noktalarının kapatılması gerektiğini belirtebilir. Bir veya daha fazla State Manager ilişkilendirmesi oluşturduktan sonra uyumluluk durumu bilgileri konsolda veya AWS CLI komutlarına veya ilgili Systems Manager API işlemlerine yanıt olarak hemen kullanılabilir. İlişkilendirmeler için "Yapılandırma" Uyumluluğu, Uyumlu veya Uyumsuz durumlarını ve İlişkilendirmeye atanan önem düzeyini (Kritik veya Orta gibi) gösterir. State Manager ilişkilendirme uyumluluğu hakkında daha fazla bilgi edinmek için AWS Systems Manager Kullanıcı Kılavuzu'ndaki State Manager ilişkilendirme uyumluluğu hakkında bölümüne bakın. Systems Manager ilişkilendirmesi için kapsam içi EC2 örneklerinizi yapılandırmanız gerekir. Ayrıca düzeltme eki satıcısının güvenlik derecelendirmesi için düzeltme eki taban çizgisini yapılandırmanız ve otomatik onay tarihini PCI DSS 3.2.1 gereksinimi 6.2'yi karşılayacak şekilde ayarlamanız gerekir. İlişkilendirme oluşturma hakkında daha fazla kılavuz için bkz. AWS Systems Manager Kullanıcı Kılavuzu'nda ilişkilendirme oluşturma. Systems Manager'da düzeltme eki uygulamayla çalışma hakkında daha fazla bilgi için AWS Systems Manager Kullanıcı Kılavuzu'ndaki AWS Systems Manager Patch Manager'a bakın.
Önem Derecesi: Düşük
Lambda işlevlerinde bir teslim edilemeyen ileti kuyruğu yapılandırılmış olmalıdır
Açıklama: Bu denetim, lambda işlevinin teslim edilemeyen bir kuyrukla yapılandırılıp yapılandırılmadığını denetler. Lambda işlevi teslim edilemeyen bir kuyrukla yapılandırılmamışsa denetim başarısız olur. Hata durumundaki hedefe alternatif olarak, atılan olayları daha fazla işlenmek üzere kaydetmek üzere işlevinizi bir teslim edilemeyen ileti kuyruğuyla yapılandırabilirsiniz. Teslim edilemeyen bir kuyruk, hata üzerindeki hedefle aynı işlevi görür. Bir olay tüm işleme girişimlerinde başarısız olduğunda veya işlenmeden sona erdiğinde kullanılır. Teslim edilemeyen bir kuyruk, hata ayıklamak veya olağan dışı davranışları belirlemek için Lambda işlevinize yönelik hatalara veya başarısız isteklere bakmanıza olanak tanır. Güvenlik açısından bakıldığında, işlevinizin neden başarısız olduğunu anlamak ve işlevinizin veri bırakmadığından veya sonuç olarak veri güvenliğini tehlikeye atmadığından emin olmak önemlidir. Örneğin, işleviniz temel alınan bir kaynakla iletişim kuramıyorsa bu, ağdaki başka bir yerde hizmet reddi (DoS) saldırısının belirtisi olabilir.
Önem Derecesi: Orta
Lambda işlevleri desteklenen çalışma zamanlarını kullanmalıdır
Açıklama: Bu denetim, çalışma zamanları için Lambda işlev ayarlarının her dil için desteklenen çalışma zamanları için ayarlanan beklenen değerlerle eşleştiklerini denetler. Bu denetim şu çalışma zamanlarını denetler: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda çalışma zamanları işletim sistemi, programlama dili ve bakım ve güvenlik güncelleştirmelerine tabi yazılım kitaplıklarının bir bileşimi etrafında oluşturulur. Bir çalışma zamanı bileşeni artık güvenlik güncelleştirmeleri için desteklenmediğinde, Lambda çalışma zamanını kullanımdan kaldırıyor. Kullanım dışı bırakılmış çalışma zamanını kullanan işlevler oluşturamasanız da işlev çağırma olaylarını işlemek için kullanılabilir. Lambda işlevlerinizin güncel olduğundan ve güncel olmayan çalışma zamanı ortamlarını kullanmadığından emin olun. Bu denetimin desteklenen dilleri denetlediğini desteklenen çalışma zamanları hakkında daha fazla bilgi edinmek için bkz . AWS Lambda Geliştirici Kılavuzu'nda AWS Lambda çalışma zamanları .
Önem Derecesi: Orta
EC2 örneklerinin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır
Açıklama: Bulut için Microsoft Defender ağınızdaki yönetim bağlantı noktaları için aşırı izinli gelen kuralları tanımladı. Örneklerinizi İnternet tabanlı deneme yanılma saldırılarına karşı korumak için tam zamanında erişim denetimini etkinleştirin. Daha fazla bilgi edinin.
Önem Derecesi: Yüksek
Kullanılmayan EC2 güvenlik grupları kaldırılmalıdır
Açıklama: Güvenlik grupları Amazon EC2 örneklerine veya eni'ye eklenmelidir. Sağlıklı bulma, kullanılmayan Amazon EC2 güvenlik gruplarının olduğunu gösterebilir.
Önem Derecesi: Düşük
GCP İşlem önerileri
İşlem Altyapısı VM'leri Kapsayıcı için İyileştirilmiş işletim sistemini kullanmalıdır
Açıklama: Bu öneri, 'imageType': 'COS' anahtar-değer çifti için düğüm havuzunun yapılandırma özelliğini değerlendirir.
Önem Derecesi: Düşük
EDR yapılandırma sorunları GCP sanal makinelerinde çözülmelidir
Açıklama: Sanal makineleri en son tehditlere ve güvenlik açıklarına karşı korumak için, yüklü Uç Nokta Algılama ve Yanıt (EDR) çözümüyle ilgili tüm tanımlanan yapılandırma sorunlarını çözün. Şu anda bu öneri yalnızca Uç Nokta için Microsoft Defender etkin olan kaynaklar için geçerlidir.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Yüksek
EDR çözümü GCP Sanal Makineler yüklenmelidir
Açıklama: Sanal makineleri korumak için bir Uç Nokta Algılama ve Yanıt (EDR) çözümü yükleyin. EDR'ler gelişmiş tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yardımcı olur. Uç Nokta için Microsoft Defender dağıtmak için Sunucular için Microsoft Defender'ı kullanın. Kaynak "İyi durumda değil" olarak sınıflandırılırsa desteklenen bir EDR çözümü yüklü değildir. Bu öneri tarafından bulunamayan bir EDR çözümünüz varsa, çözümü muaf tutabilirsiniz.
Sunucular için Defender Plan 2 veya Defender CSPM planınız varsa bu aracısız uç nokta önerisi kullanılabilir. Aracısız uç nokta koruma önerileri hakkında daha fazla bilgi edinin.
- Bu yeni aracısız uç nokta önerileri Azure ve çoklu bulut makinelerini destekler. Şirket içi sunucular desteklenmez.
- Bu yeni aracısız uç nokta önerileri, mevcut önerilerin yerini alır. Uç nokta koruması makinelerinize yüklenmelidir (önizleme) ve Uç nokta koruma sistem durumu sorunları makinelerinizde (önizleme) çözülmelidir.
- Bu eski öneriler MMA/AMA aracısını kullanır ve sunucular için Defender'da aracılar aşamalı olarak çıkarıldığında değiştirilir.
Önem Derecesi: Yüksek
VM örnekleri için 'Proje genelinde SSH anahtarlarını engelle' seçeneğinin etkinleştirildiğinden emin olun
Açıklama: Örneklere erişmek için ortak/paylaşılan proje genelinde SSH anahtarları kullanmak yerine Örneğe özgü SSH anahtarlarının kullanılması önerilir. Proje genelindeki SSH anahtarları İşlem/Project-meta-verilerinde depolanır. Proje genelindeki SSH anahtarları, proje içindeki tüm örneklerde oturum açmak için kullanılabilir. Proje genelinde SSH anahtarlarının kullanılması SSH anahtar yönetimini kolaylaştırır, ancak güvenliği aşılırsa proje içindeki tüm örnekleri etkileyebilecek güvenlik riski oluşturur. SSH anahtarlarının güvenliği ihlal edilirse saldırı yüzeyini sınırlayan Örneğe özgü SSH anahtarlarının kullanılması önerilir.
Önem Derecesi: Orta
Korumalı VM etkinken İşlem örneklerinin başlatıldığından emin olun
Açıklama: Gelişmiş tehditlere karşı savunmak ve VM'lerinizdeki önyükleme yükleyicisi ve üretici yazılımının imzalandığından ve değiştirilmediğinden emin olmak için İşlem örneklerinin Korumalı VM etkin olarak başlatılması önerilir.
Korumalı VM'ler, Ve'ye karşı rootkits savunmaya yardımcı olan bir dizi güvenlik denetimiyle sağlamlaştırılmış Google Bulut Platformu'nda bulunan VM'lerdir bootkits.
Korumalı VM, İşlem Altyapısı VM örnekleriniz için doğrulanabilir bir bütünlük sunar, böylece örneklerinizin önyükleme veya çekirdek düzeyinde kötü amaçlı yazılım veya rootkit'ler tarafından tehlikeye atılmadığından emin olabilirsiniz.
Korumalı VM'nin doğrulanabilir bütünlüğü, Güvenli Önyükleme, sanal güvenilen platform modülü (vTPM) özellikli Ölçülen Önyükleme ve bütünlük izlemesi ile elde edilir.
Korumalı VM örnekleri, Google Sertifika Yetkilisi kullanılarak imzalanmış ve doğrulanmış bir üretici yazılımı çalıştırarak örneğin üretici yazılımının değiştirilmemesini sağlar ve Güvenli Önyükleme için güven kökünü oluşturur.
Bütünlük izleme, VM örneklerinizin durumunu anlamanıza ve karar vermenize yardımcı olur ve Korumalı VM vTPM, bütünlük ilkesi temeli olarak adlandırılan bilinen iyi bir önyükleme temeli oluşturmak için gereken ölçümleri gerçekleştirerek Ölçülen Önyükleme'yi etkinleştirir.
Bütünlük ilkesi temeli, herhangi bir değişikliğin olup olmadığını belirlemek üzere sonraki VM önyüklemelerinden alınan ölçümlerle karşılaştırmak için kullanılır.
Güvenli Önyükleme, tüm önyükleme bileşenlerinin dijital imzasını doğrulayarak ve imza doğrulaması başarısız olursa önyükleme işlemini durdurarak sistemin yalnızca orijinal yazılım çalıştırmasını sağlamaya yardımcı olur.
Önem Derecesi: Yüksek
VM Örneği için 'Seri bağlantı noktalarına bağlanmayı etkinleştir' seçeneğinin etkinleştirilmediğinden emin olun
Açıklama: Seri bağlantı noktasıyla etkileşime genellikle terminal penceresi kullanmaya benzer seri konsol denir. Bu giriş ve çıkış tamamen metin modundadır ve grafik arabirim veya fare desteği yoktur. Bir örnekte etkileşimli seri konsolu etkinleştirirseniz, istemciler herhangi bir IP adresinden bu örneğe bağlanmayı dener. Bu nedenle etkileşimli seri konsol desteği devre dışı bırakılmalıdır. Sanal makine örneğinde dört sanal seri bağlantı noktası vardır. Seri bağlantı noktasıyla etkileşim kurma, terminal penceresi kullanmaya benzer; bu giriş ve çıkış tamamen metin modundadır ve grafik arabirim veya fare desteği yoktur. Örneğin işletim sistemi, BIOS ve diğer sistem düzeyindeki varlıklar genellikle seri bağlantı noktalarına çıkış yazar ve komutlar veya istemlerin yanıtları gibi girişleri kabul edebilir. Genellikle, bu sistem düzeyindeki varlıklar ilk seri bağlantı noktasını (bağlantı noktası 1) kullanır ve seri bağlantı noktası 1 genellikle seri konsol olarak adlandırılır. Etkileşimli seri konsol, IP izin verilenler listesi gibi IP tabanlı erişim kısıtlamalarını desteklemez. Bir örnekte etkileşimli seri konsolu etkinleştirirseniz, istemciler herhangi bir IP adresinden bu örneğe bağlanmayı dener. Bu, doğru SSH anahtarı, kullanıcı adı, proje kimliği, bölge ve örnek adını bilen herkesin bu örneğe bağlanmasına olanak tanır. Bu nedenle etkileşimli seri konsol desteği devre dışı bırakılmalıdır.
Önem Derecesi: Orta
Cloud SQL PostgreSQL örneği için 'log_duration' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun
Açıklama: log_hostname ayarının etkinleştirilmesi, tamamlanan her deyimin süresinin günlüğe kaydedilmesine neden olur. Bu, sorgu metnini günlüğe kaydetmez ve bu nedenle log_min_duration_statement bayrağından farklı davranır. Bu parametre oturum başladıktan sonra değiştirilemez. Sorguları yürütmek için geçen süreyi izlemek, kaynak hogging sorgularını belirleme ve sunucunun performansını değerlendirme açısından kritik öneme sahip olabilir. Sunucunun performansını ve kararlılığını sağlamak için yük dengeleme ve iyileştirilmiş sorguların kullanımı gibi daha fazla adım gerçekleştirilebilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_executor_stats' veritabanı bayrağının 'off' olarak ayarlandığından emin olun
Açıklama: PostgreSQL yürütücüsü, PostgreSQL planlayıcısı tarafından teslim edilen planı yürütmekle sorumludur. Yürütücü, gerekli satır kümesini ayıklamak için planı özyinelemeli olarak işler. "log_executor_stats" bayrağı, postgreSQL yürütücü performans istatistiklerinin her sorgu için PostgreSQL günlüklerine eklenmesini denetler. "log_executor_stats" bayrağı PostgreSQL yürütücü performans istatistiklerini günlüğe kaydetmek için ham profil oluşturma yöntemini etkinleştirir. Bu yöntem sorun giderme için yararlı olsa da günlük sayısını önemli ölçüde artırabilir ve performans ek yüküne sahip olabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_min_error_statement' veritabanı bayrağının 'Hata' veya daha katı olarak ayarlandığından emin olun
Açıklama: "log_min_error_statement" bayrağı, hata deyimi olarak kabul edilen en düşük ileti önem düzeyini tanımlar. Hata deyimleri için iletiler SQL deyimiyle günlüğe kaydedilir. Geçerli değerler şunlardır: "DEBUG5," "DEBUG4," "DEBUG3," "DEBUG2," "DEBUG1," "BİlGİ," "BİlDİrİm," "UYARI," "HATA," "GÜNLÜK," "ÖNEMLİ" ve "PANİk." Her önem düzeyi, yukarıda belirtilen sonraki düzeyleri içerir. ERROR veya daha katı bir değerin ayarlandığından emin olun. Denetim, operasyonel sorunların giderilmesine yardımcı olur ve adli analize de izin verir. "log_min_error_statement" doğru değere ayarlanmadıysa, iletiler uygun şekilde hata iletileri olarak sınıflandırılmayabilir. Hata iletilerinin gerçek hataları bulmasını zorlaştıracak genel günlük iletilerini göz önünde bulundurmak ve sql deyimlerini günlüğe kaydetmek için gerçek hataları atlayabileceğinden yalnızca daha katı önem düzeylerini göz önünde bulundurmak gerekir. "log_min_error_statement" bayrağı "ERROR" veya daha katı olarak ayarlanmalıdır. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_parser_stats' veritabanı bayrağının 'off' olarak ayarlandığından emin olun
Açıklama: PostgreSQL planlayıcısı/iyileştiricisi, sunucu tarafından alınan her sorgunun söz dizimini ayrıştırmak ve doğrulamakla sorumludur. Söz dizimi doğruysa bir "ayrıştırma ağacı" başka bir hata oluşturulur. "log_parser_stats" bayrağı, ayrıştırıcı performans istatistiklerinin her sorgu için PostgreSQL günlüklerine eklenmesini denetler. "log_parser_stats" bayrağı, ayrıştırıcı performans istatistiklerini günlüğe kaydetmek için ham profil oluşturma yöntemini etkinleştirir. Bu yöntem sorun giderme için yararlı olsa da günlük sayısını önemli ölçüde artırabilir ve performans ek yüküne sahip olabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_planner_stats' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun
Açıklama: Aynı SQL sorgusu birden çok şekilde yürütülebilir ve yine de farklı sonuçlar üretilebilir. PostgreSQL planlayıcısı/iyileştiricisi her sorgu için en uygun yürütme planını oluşturmakla sorumludur. "log_planner_stats" bayrağı, postgreSQL planlayıcısı performans istatistiklerinin her sorgu için PostgreSQL günlüklerine eklenmesini denetler. "log_planner_stats" bayrağı PostgreSQL planlayıcısı performans istatistiklerini günlüğe kaydetmek için ham bir profil oluşturma yöntemi sağlar. Bu yöntem sorun giderme için yararlı olsa da günlük sayısını önemli ölçüde artırabilir ve performans ek yüküne sahip olabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_statement_stats' veritabanı bayrağının 'kapalı' olarak ayarlandığından emin olun
Açıklama: "log_statement_stats" bayrağı, her sorgu için PostgreSQL günlüklerine bir SQL sorgusunun uçtan uca performans istatistiklerinin eklenmesini denetler. Bu, diğer modül istatistikleriyle (log_parser_stats, log_planner_stats, log_executor_stats) etkinleştirilemiyor. "log_statement_stats" bayrağı, SQL sorgusunun uçtan uca performans istatistiklerini günlüğe kaydetmek için ham profil oluşturma yöntemini etkinleştirir. Bu sorun giderme için yararlı olabilir, ancak günlük sayısını önemli ölçüde artırabilir ve performans ek yüküne sahip olabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
İşlem örneklerinin genel IP adresleri olmadığından emin olun
Açıklama: İşlem örneklerinin dış IP adresleri olacak şekilde yapılandırılmaması gerekir.
Saldırı yüzeyinizi azaltmak için İşlem örneklerinde genel IP adresleri olmamalıdır. Bunun yerine, örneklerin İnternet'e maruz kalmasını en aza indirmek için yük dengeleyicilerin arkasında yapılandırılması gerekir.
Bazılarında dış IP adresleri olduğundan ve örnek ayarları düzenlenerek değiştirilemediğinden GKE tarafından oluşturulan örneklerin dışlanması gerekir.
Bu VM'ler ile gke- başlayan ve etiketlenmiş goog-gke-nodeadlara sahiptir.
Önem Derecesi: Yüksek
Örneklerin varsayılan hizmet hesabını kullanacak şekilde yapılandırılmadığından emin olun
Açıklama: Projede Düzenleyici rolüne sahip olduğundan örneğinizi varsayılan İşlem Altyapısı hizmet hesabını kullanmayacak şekilde yapılandırmanız önerilir.
Varsayılan İşlem Altyapısı hizmet hesabı, projede Düzenleyici rolüne sahiptir ve bu da çoğu Google Cloud Services'a okuma ve yazma erişimi sağlar.
VM'nizin güvenliği ihlal edilirse ayrıcalık yükseltmelerine karşı savunmak ve bir saldırganın tüm projelerinize erişim kazanmasını önlemek için varsayılan İşlem Altyapısı hizmet hesabını kullanmamanızı öneririz.
Bunun yerine, yeni bir hizmet hesabı oluşturmanız ve yalnızca örneğinizin ihtiyaç duyduğu izinleri atamanız gerekir.
Varsayılan İşlem Altyapısı hizmet hesabı olarak adlandırılır [PROJECT_NUMBER]- compute@developer.gserviceaccount.com.
GKE tarafından oluşturulan VM'ler dışlanmalıdır. Bu VM'ler ile gke- başlayan ve etiketlenmiş goog-gke-nodeadlara sahiptir.
Önem Derecesi: Yüksek
Örneklerin tüm Bulut API'lerine tam erişimle varsayılan hizmet hesabını kullanacak şekilde yapılandırılmadığından emin olun
Açıklama: En az ayrıcalık ilkesini desteklemek ve olası ayrıcalık yükseltmesini önlemek için, örneklerin "Tüm Bulut API'lerine tam erişime izin ver" Kapsamına sahip "İşlem Altyapısı varsayılan hizmet hesabı" varsayılan hizmet hesabına atanmaması önerilir. Google Compute Engine, kullanıcı tarafından yönetilen özel hizmet hesaplarını isteğe bağlı olarak oluşturma, yönetme ve kullanma olanağının yanı sıra, bir örneğin gerekli bulut hizmetlerine erişmesi için varsayılan hizmet hesabı "İşlem Altyapısı varsayılan hizmet hesabı" sağlar.
"Proje Düzenleyicisi" rolü "İşlem Altyapısı varsayılan hizmet hesabına" atandığından, bu hizmet hesabı faturalama dışındaki tüm bulut hizmetlerinde neredeyse tüm özelliklere sahiptir. Ancak, bir örneğe "İşlem Altyapısı varsayılan hizmet hesabı" atandığında üç kapsamda çalışabilir.
- Varsayılan erişime izin ver: Bir Örneği çalıştırmak için gereken en düşük erişime izin verir (En Az Ayrıcalıklar).
- Tüm Bulut API'lerine tam erişime izin ver: Tüm bulut API'lerine/Hizmetlerine tam erişime izin verin (Çok fazla erişim).
- Her API için erişimi ayarlama: Örnek yöneticisinin yalnızca örnek tarafından beklenen belirli iş işlevlerini gerçekleştirmek için gereken API'leri seçmesine izin verir.
Örnek, Örneğe erişen kullanıcılara atanan IAM rollerini temel alarak "Tüm Bulut API'lerine tam erişime izin ver" Kapsamına sahip "İşlem Altyapısı varsayılan hizmet hesabı" ile yapılandırıldığında, kullanıcının başarılı ayrıcalık yükseltmesine neden olması için gerçekleştirmemesi gereken bulut işlemleri/API çağrıları gerçekleştirmesine izin verebilir.
GKE tarafından oluşturulan VM'ler dışlanmalıdır. Bu VM'ler ile gke- başlayan ve etiketlenmiş goog-gke-nodeadlara sahiptir.
Önem Derecesi: Orta
Örneklerde IP iletmenin etkinleştirilmediğinden emin olun
Açıklama: Paketin kaynak IP adresi örneğin IP adresiyle eşleşmediği sürece İşlem Altyapısı örneği bir paketi iletemez. Benzer şekilde GCP, hedef IP adresi paketi alan örneğin IP adresinden farklı olan bir paket teslim etmez. Ancak paketleri yönlendirmeye yardımcı olmak için örnekleri kullanmak istiyorsanız her iki özellik de gereklidir. Veri kaybını veya bilgilerin açığa çıkmasını önlemek için veri paketlerinin iletilmesi devre dışı bırakılmalıdır. İşlem Altyapısı örneği, paketin kaynak IP adresi örneğin IP adresiyle eşleşmediği sürece paketi iletemez. Benzer şekilde GCP, hedef IP adresi paketi alan örneğin IP adresinden farklı olan bir paket teslim etmez. Ancak paketleri yönlendirmeye yardımcı olmak için örnekleri kullanmak istiyorsanız her iki özellik de gereklidir. Bu kaynak ve hedef IP denetimini etkinleştirmek için, bir örneğin eşleşmeyen hedef veya kaynak IP'leri olan paketleri gönderip almasını sağlayan canIpForward alanını devre dışı bırakın.
Önem Derecesi: Orta
Cloud SQL PostgreSQL örneği için 'log_checkpoints' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun
Açıklama: Cloud SQL PostgreSQL örneği için log_checkpoints veritabanı bayrağının açık olarak ayarlandığından emin olun. log_checkpoints etkinleştirilmesi, denetim noktalarının ve yeniden başlatma noktalarının sunucu günlüğüne kaydedilmesine neden olur. Yazılan arabellek sayısı ve bunları yazmak için harcanan süre de dahil olmak üzere bazı istatistikler günlük iletilerine dahil edilir. Bu parametre yalnızca postgresql.conf dosyasında veya sunucu komut satırında ayarlanabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_lock_waits' veritabanı bayrağının 'açık' olarak ayarlandığından emin olun
Açıklama: PostgreSQL örneği için "log_lock_waits" bayrağının etkinleştirilmesi, bir kilit elde etmek için ayrılan "deadlock_timeout" süreden daha uzun olan tüm oturum beklemeleri için bir günlük oluşturur. Kilitlenme zaman aşımı, herhangi bir koşulu denetlemeden önce kilitte beklenmesi gereken süreyi tanımlar. Kilitlenme zaman aşımında sık sık yapılan çalıştırmalar, temel alınan bir sorunun göstergesi olabilir. Log_lock_waits bayrağı etkinleştirilerek kilitlerde bu tür beklemelerin günlüğe kaydedilmesi, kilit gecikmeleri nedeniyle düşük performansı belirlemek için veya özel olarak hazırlanmış bir SQL'in aşırı miktarda kilit tutarak kaynakları aç bırakma girişiminde bulunduğu durumlarda kullanılabilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_min_duration_statement' veritabanı bayrağının '-1' olarak ayarlandığından emin olun
Açıklama: "log_min_duration_statement" bayrağı, deyimin toplam süresinin günlüğe kaydedildiği milisaniye cinsinden en düşük yürütme süresini tanımlar. "log_min_duration_statement" seçeneğinin devre dışı bırakıldığından, yani -1 değerinin ayarlandığından emin olun. GÜNLÜK SQL deyimleri, günlüklere kaydedilmemesi gereken hassas bilgiler içerebilir. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_min_messages' veritabanı bayrağının uygun şekilde ayarlandığından emin olun
Açıklama: "log_min_error_statement" bayrağı, hata deyimi olarak kabul edilen en düşük ileti önem düzeyini tanımlar. Hata deyimleri için iletiler SQL deyimiyle günlüğe kaydedilir. Geçerli değerler şunlardır: "DEBUG5," "DEBUG4," "DEBUG3," "DEBUG2," "DEBUG1," "BİlGİ," "BİlDİrİm," "UYARI," "HATA," "GÜNLÜK," "ÖNEMLİ" ve "PANİk." Her önem düzeyi, yukarıda belirtilen sonraki düzeyleri içerir. Başarısız olan deyimlerin günlüğe kaydedilmesini etkili bir şekilde kapatmak için bu parametreyi PANIC olarak ayarlayın. ERROR en iyi yöntem ayarı olarak kabul edilir. Değişiklikler yalnızca kuruluşun günlük ilkesine uygun olarak yapılmalıdır. Denetim, operasyonel sorunların giderilmesine yardımcı olur ve adli analize de izin verir. "log_min_error_statement" doğru değere ayarlanmadıysa, iletiler uygun şekilde hata iletileri olarak sınıflandırılmayabilir. Hata iletileri olarak genel günlük iletilerinin dikkate alınması gerçek hataları bulmayı zor hale getirirken, hata iletileri sql deyimlerini günlüğe kaydetmek için gerçek hataları atlayabilir. "log_min_error_statement" bayrağı, kuruluşun günlük ilkesine uygun olarak ayarlanmalıdır. Bu öneri PostgreSQL veritabanı örnekleri için geçerlidir.
Önem Derecesi: Düşük
Cloud SQL PostgreSQL örneği için 'log_temp_files' veritabanı bayrağının '0' olarak ayarlandığından emin olun
Açıklama: PostgreSQL, bu işlemler "work_mem" değerini aştığında sıralama, karma oluşturma ve geçici sorgu sonuçları gibi eylemler için geçici bir dosya oluşturabilir. "log_temp_files" bayrağı, günlük adlarını ve silindiğinde dosya boyutunu denetler. "log_temp_files" değerinin 0 olarak yapılandırılması tüm geçici dosya bilgilerinin günlüğe kaydedilmesine neden olurken, pozitif değerler yalnızca boyutu belirtilen kilobayt sayısından büyük veya buna eşit dosyaları günlüğe kaydeder. "-1" değeri, geçici dosya bilgileri günlüğünü devre dışı bırakır. Tüm geçici dosyalar günlüğe kaydedilmediyse, kötü uygulama kodlaması veya kasıtlı kaynak yetersizliği denemelerinden kaynaklanan olası performans sorunlarını belirlemek daha zor olabilir.
Önem Derecesi: Düşük
Kritik VM'ler için VM disklerinin Müşteri Tarafından Sağlanan Şifreleme Anahtarı ile şifrelenmesini sağlama
Açıklama: Müşteri Tarafından Sağlanan Şifreleme Anahtarları (CSEK), Google Bulut Depolama ve Google İşlem Altyapısı'ndaki bir özelliktir. Kendi şifreleme anahtarlarınızı sağlarsanız Google, verilerinizi şifrelemek ve şifresini çözmek için kullanılan Google tarafından oluşturulan anahtarları korumak için anahtarınızı kullanır. Varsayılan olarak, Google Compute Engine bekleyen tüm verileri şifreler. İşlem Altyapısı bu şifrelemeyi sizin yerinize sizin yerinize başka bir eylem gerçekleştirmeden işler ve yönetir. Ancak, bu şifrelemeyi kendiniz denetlemek ve yönetmek istiyorsanız, kendi şifreleme anahtarlarınızı sağlayabilirsiniz. Varsayılan olarak, Google Compute Engine bekleyen tüm verileri şifreler. İşlem Altyapısı bu şifrelemeyi sizin yerinize sizin yerinize başka bir eylem gerçekleştirmeden işler ve yönetir. Ancak, bu şifrelemeyi kendiniz denetlemek ve yönetmek istiyorsanız, kendi şifreleme anahtarlarınızı sağlayabilirsiniz. Kendi şifreleme anahtarlarınızı sağlarsanız İşlem Altyapısı, verilerinizi şifrelemek ve şifresini çözmek için kullanılan Google tarafından oluşturulan anahtarları korumak için anahtarınızı kullanır. Yalnızca doğru anahtarı sağlayabilecek kullanıcılar, müşteri tarafından sağlanan şifreleme anahtarıyla korunan kaynakları kullanabilir. Google, anahtarlarınızı sunucularında depolamaz ve anahtarı sağlamadığınız sürece korumalı verilerinize erişemez. Bu aynı zamanda anahtarınızı unutur veya kaybederseniz Google'ın anahtarı kurtarmasının veya kayıp anahtarla şifrelenmiş verileri kurtarmasının hiçbir yolu olmadığı anlamına gelir. En azından iş açısından kritik VM'lerde CSEK ile şifrelenmiş VM diskleri olmalıdır.
Önem Derecesi: Orta
GCP projelerinin Azure Arc otomatik sağlama özelliği etkinleştirilmelidir
Açıklama: Sunucular için Microsoft Defender'dan gelen güvenlik içeriğinin tam görünürlüğü için GCP VM örnekleri Azure Arc'a bağlanmalıdır. Tüm uygun VM örneklerinin Azure Arc'ı otomatik olarak aldığından emin olmak için GCP proje düzeyinde Bulut için Defender otomatik sağlamayı etkinleştirin. Azure Arc ve Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
GCP VM örnekleri Azure Arc'a bağlanmalıdır
Açıklama: Sunucular için Microsoft Defender güvenlik içeriğine tam görünürlük sağlamak için GCP Sanal Makineler Azure Arc'a bağlayın. Azure Arc ve hibrit bulut ortamındaki Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
GCP VM örneklerinde işletim sistemi yapılandırma aracısı yüklü olmalıdır
Açıklama: Azure Arc otomatik sağlamayı kullanarak Sunucular için Defender özelliklerinin tamamını almak için GCP VM'lerinde işletim sistemi yapılandırma aracısı etkinleştirilmelidir.
Önem Derecesi: Yüksek
GKE kümesinin otomatik onarım özelliği etkinleştirilmelidir
Açıklama: Bu öneri, anahtar-değer çifti için düğüm havuzunun yönetim özelliğini değerlendirir: 'key': 'autoRepair,' 'value': true.
Önem Derecesi: Orta
GKE kümesinin otomatik yükseltme özelliği etkinleştirilmelidir
Açıklama: Bu öneri, bir düğüm havuzunun 'key': 'autoUpgrade,' 'value': true anahtar-değer çifti için yönetim özelliğini değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde izleme etkinleştirilmelidir
Açıklama: Bu öneri, bir kümenin monitoringService özelliğinin, Bulut İzleme'nin ölçümleri yazmak için kullanması gereken konumu içerip içermediğini değerlendirir.
Önem Derecesi: Orta
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin