分享方式:


網路安全性建議

本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有網路安全性建議。

您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。

提示

如果建議描述顯示 [沒有相關原則],通常是因為該建議相依於不同的建議。

例如,應該補救端點保護健康情況失敗的建議取決於檢查是否已安裝 Endpoint Protection 解決方案的建議(應安裝 Endpoint Protection 解決方案)。 基礎建議 確實 有原則。 將原則限制為僅限基礎建議可簡化原則管理。

Azure 網路建議

應限制對具有防火牆和虛擬網路組態的記憶體帳戶存取

描述:檢閱記憶體帳戶防火牆設定中的網路存取設定。 建議設定網路規則,讓只有來自允許網路的應用程式才能存取記憶體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍。 (相關原則: 記憶體帳戶應限制網路存取

嚴重性:低

應在網際網路對應的虛擬機器上套用自適性網路強化建議

描述:適用於雲端的 Defender 已分析下列虛擬機的因特網流量通訊模式,並判斷與其相關聯的 NSG 中現有的規則過於寬鬆,導致潛在的攻擊面增加。 此 IP 位址不會定期與此資源通訊時,通常會發生這種情況。 或者,#D7894399B4FB049D3B2ACDF3C94BA7735 的威脅情報來源已將IP位址標示為惡意。 (相關原則: 應在因特網對向虛擬機上套用自適性網路強化建議。

嚴重性:高

所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組

描述:適用於雲端的 Defender 已識別出一些網路安全組的輸入規則太寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 (相關原則: 所有網路埠都應該限制在與虛擬機相關聯的網路安全組上。

嚴重性:高

應啟用 Azure DDoS 保護標準

描述:適用於雲端的 Defender 探索到具有 DDoS 保護服務未保護之 應用程式閘道 資源的虛擬網路。 這些資源包含公用IP。 啟用網路數量和通訊協定攻擊的風險降低。 (相關原則: 應啟用 Azure DDoS 保護標準)。

嚴重性:中

應使用網路安全性群組保護網際網路對應的虛擬機器

描述:使用網路安全組限制 VM 的存取權,以防止潛在的威脅。 NSG 包含一份 存取控制 清單 (ACL) 規則清單,允許或拒絕來自相同子網內或外部其他實例的網路流量。 若要盡可能保護您的電腦安全,必須限制對因特網的 VM 存取,且應在子網上啟用 NSG。 具有「高」嚴重性 VM 的 VM 是因特網對向的 VM。 (相關原則: 因特網對向虛擬機應受到網路安全組的保護。

嚴重性:高

應停用虛擬機上的IP轉送

描述:適用於雲端的 Defender 發現某些虛擬機上已啟用IP轉送。 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 (相關原則: 應停用虛擬機上的IP轉送。

嚴重性:中

機器應該關閉可能會公開攻擊媒介的埠

描述Azure 的使用規定 禁止以可能損害、停用、過度負擔或損害任何Microsoft伺服器或網路的方式使用 Azure 服務。 此建議會列出需要關閉才能繼續安全性的公開埠。 它也說明每個埠的潛在威脅。 (無相關政策)

嚴重性:高

應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠

描述:適用於雲端的 Defender 識別出網路安全組中管理埠的一些過於寬鬆的輸入規則。 啟用 Just-In-Time 訪問控制,以保護您的 VM 免於遭受以因特網為基礎的暴力密碼破解攻擊。 深入了解 瞭解 Just-In-Time (JIT) VM 存取。 (相關原則: 應使用 Just-In-Time 網路存取控制來保護虛擬機的管理埠。

嚴重性:高

應關閉虛擬機器上的管理連接埠

描述:開啟的遠端管理埠會讓您的 VM 暴露在因特網型攻擊的高層級風險。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 (相關原則: 您的虛擬機上應該關閉管理埠。

嚴重性:中

應使用網路安全性群組保護非網際網路對應的虛擬機器

描述:藉由限制網路安全組 (NSG) 的存取,保護您的非因特網對向虛擬機免於潛在威脅。 NSG 包含一份 存取控制 清單 (ACL) 規則清單,可允許或拒絕來自其他實例的網路流量,無論它們是否位於相同的子網上。 請注意,若要盡可能保護您的計算機安全,必須限制 VM 對因特網的存取,且應在子網上啟用 NSG。 (相關原則: 非因特網對向虛擬機應受到網路安全組的保護。

嚴重性:低

應啟用儲存體帳戶的安全傳輸

描述:安全傳輸是一個選項,可強制記憶體帳戶只接受來自安全連線的要求(HTTPS)。 使用 HTTPS 可確保伺服器與服務之間的驗證,並保護傳輸中的數據不受網路層攻擊,例如中間人、竊聽和會話劫持。 (相關原則: 應啟用對記憶體帳戶的安全傳輸。

嚴重性:高

子網應該與網路安全組相關聯

描述:藉由限制網路安全組 (NSG) 的存取,保護您的子網免於潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 當 NSG 與子網相關聯時,ACL 規則會套用至該子網中的所有 VM 實例和整合服務,但不適用於子網內部的內部流量。 若要保護相同子網中的資源,請直接在資源上啟用NSG。 請注意,下列子網類型將列為不適用:GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet。 (相關原則: 子網應該與網路安全組相關聯。

嚴重性:低

虛擬網路應受到 Azure 防火牆保護

描述:某些虛擬網路未受到防火牆保護。 使用 Azure 防火牆 來限制對虛擬網路的存取,並防止潛在的威脅。 (相關原則: 所有因特網流量都應該透過您部署的 Azure 防火牆 路由傳送)。

AWS 網路建議

Amazon EC2 應設定為使用VP 端點

描述:此控件會檢查 Amazon EC2 的服務端點是否針對每個VP 建立。 如果目前沒有針對 Amazon EC2 服務建立的VP 端點,控件就會失敗。 若要改善您的VP的安全性狀態,您可以將 Amazon EC2 設定為使用介面的VP端點。 介面端點是由 AWS PrivateLink 提供技術支援,此技術可讓您私下存取 Amazon EC2 API 作業。 它會限制您於 AMAZON 與 Amazon EC2 之間的所有網路流量至 Amazon 網路。 因為端點僅支援在同一個區域內,因此您無法在不同的區域中建立一個端點與某個服務之間的端點。 這可防止非預期的 Amazon EC2 API 呼叫其他區域。 若要深入瞭解如何建立適用於 Amazon EC2 的VP 端點,請參閱 Amazon EC2 和適用於 Linux 實例的 Amazon EC2 使用者指南中的介面VP 端點

嚴重性:中

Amazon ECS 服務不應該自動指派公用IP位址

描述:公用IP位址是可從因特網連線的IP位址。 如果您使用公用IP位址啟動 Amazon ECS 實例,則您的 Amazon ECS 實例可從因特網連線。 Amazon ECS 服務不應公開存取,因為這可能會允許非預期的容器應用程式伺服器存取。

嚴重性:高

Amazon EMR 叢集主要節點不應該有公用IP位址

描述:此控件會檢查 Amazon EMR 叢集上的主要節點是否有公用 IP 位址。 如果主要節點具有與其任何實例相關聯的公用IP位址,控件就會失敗。 公用IP位址會指定於實例之 NetworkInterfaces 組態的 PublicIp 字段中。 此控件只會檢查處於 RUNNING 或 WAITING 狀態的 Amazon EMR 叢集。

嚴重性:高

Amazon Redshift 叢集應使用增強式的VP 路由

描述:此控件會檢查 Amazon Redshift 叢集是否已啟用 EnhancedVpcRouting。 增強的VP路由會強制叢集和數據存放庫之間的所有 COPY 和 UNLOAD 流量透過您的VP。 然後,您可以使用安全組和網路存取控制清單等VP功能來保護網路流量。 您也可以使用VP流量記錄來監視網路流量。

嚴重性:高

應用程式負載平衡器應設定為將所有 HTTP 要求重新導向至 HTTPS

描述:若要強制執行傳輸中的加密,您應該搭配ApplicationLoad Balancer使用重新導向動作,將用戶端 HTTP 要求重新導向至埠 443 上的 HTTPS 要求。

嚴重性:中

應用程式負載平衡器應設定為卸除 HTTP 標頭

描述:此控件會評估 AWS 應用程式負載平衡器 (ALB),以確保它們已設定為卸除無效的 HTTP 標頭。 如果 routing.http.drop_invalid_header_fields.enabled 的值設定為 false,控件就會失敗。 根據預設,ALB 不會設定為卸除無效的 HTTP 標頭值。 拿掉這些標頭值可防止 HTTP 異步攻擊。

嚴重性:中

將 Lambda 函式設定為一個 LAMBDA

描述:此控件會檢查 Lambda 函式是否在一個VP中。 它不會評估以判斷公用可觸達性之 VM 子網路由組態。 請注意,如果在帳戶中找到Lambda@Edge,則此控件會產生失敗的結果。 若要防止這些結果,您可以停用此控件。

嚴重性:低

EC2 實例不應該有公用IP位址

描述:此控件會檢查 EC2 實例是否有公用 IP 位址。 如果 EC2 實例組態專案中有 「publicIp」 字段,控件就會失敗。 此控制件僅適用於 IPv4 位址。 公用 IPv4 位址是可從因特網連線的 IP 位址。 如果您使用公用IP位址啟動實例,則可以從因特網連線到EC2實例。 私人 IPv4 位址是無法從因特網連線的 IP 位址。 您可以使用私人 IPv4 位址,在相同網或連線專用網中的 EC2 實例之間進行通訊。 IPv6 位址是全域唯一的,因此可從因特網連線。 不過,根據預設,所有子網都會將 IPv6 尋址屬性設定為 false。 如需 IPv6 的詳細資訊,請參閱 AmazonVP 使用者指南中的 IP 位址。 如果您有合法的使用案例來維護具有公用IP位址的EC2實例,則可以隱藏此控件的結果。 如需前端架構選項的詳細資訊,請參閱 AWS 架構部落格此為我的架構系列

嚴重性:高

EC2 實例不應該使用多個 ENIS

描述:此控件會檢查 EC2 實例是否使用多個彈性網路介面 (ENIs) 或彈性網狀架構配接器 (EFA)。 如果使用單一網路適配器,此控件就會通過。 控制項包含選擇性參數清單,以識別允許的 ENIS。 多個 ENIS 可能會造成雙重裝載實例,這表示具有多個子網的實例。 這可增加網路安全性複雜性,並引進非預期的網路路徑和存取。

嚴重性:低

EC2 實例應該使用IMDSv2

描述:此控件會檢查您的 EC2 實例元數據版本是否已設定為實例元數據服務第 2 版(IMDSv2)。 如果 IMDSv2 的 「HttpTokens」 設定為 「required」,控件就會通過。 如果 「HttpTokens」 設定為 「optional」,控件就會失敗。 您可以使用實例元數據來設定或管理執行中的實例。 IMDS 可讓您存取暫時且經常輪替的認證。 這些認證可移除硬式程式碼或以手動或程序設計方式將敏感性認證散發至實例的需求。 IMDS 會附加至每個 EC2 實例的本機。 它會在 169.254.169.254 的特殊「連結本機」IP 位址上執行。 此IP位址只能由實例上執行的軟體存取。 IMDS 第 2 版會為下列類型的弱點新增新的保護。 這些弱點可用來嘗試存取 IMDS。

  • 開啟網站應用程式防火牆
  • 開啟反向 Proxy
  • 伺服器端要求偽造 (SSRF) 弱點
  • 開啟第 3 層防火牆和網路位址轉換 (NAT) 安全性中樞,建議您使用 IMDSv2 設定 EC2 實例。

嚴重性:高

EC2 子網不應該自動指派公用IP位址

描述:此控件會檢查 Amazon Virtual Private Cloud (Amazon AMAZON) 子網中的公用 IP 指派是否將 “MapPublicIpOnLaunch” 設定為 “FALSE”。 如果旗標設定為 「FALSE」,控件就會通過。 所有子網都有一個屬性,可決定在子網中建立的網路介面是否會自動接收公用 IPv4 位址。 啟動至已啟用此屬性之子網的實例已指派給其主要網路介面的公用IP位址。

嚴重性:中

確定 AWS 組態變更有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議您建立計量篩選和警示,以偵測 CloudTrail 設定的變更。 監視 AWS 組態的變更有助於確保 AWS 帳戶內設定專案的持續可見度。

嚴重性:低

確保 AWS 管理主控台驗證失敗的記錄計量篩選和警示存在

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議針對失敗的控制台驗證嘗試建立計量篩選和警示。 監視失敗的主控台登入可能會減少偵測嘗試暴力密碼破解認證的嘗試,這可能提供指標,例如來源IP,可用於其他事件相互關聯。

嚴重性:低

確定記錄計量篩選和警示存在網路 存取控制 清單的變更 (NACL)

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 NACL 會作為無狀態封包篩選條件,以控制在時間內子網的輸入和輸出流量。 建議針對對 NACL 所做的變更建立計量篩選和警示。 監視 NACL 的變更有助於確保 AWS 資源和服務不會意外公開。

嚴重性:低

確保網路閘道的變更存在記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 需要網路閘道,才能將流量傳送/接收到位於VP外部的目的地。 建議您針對網路閘道的變更建立計量篩選和警示。 監視網路閘道的變更可協助確保所有輸入/輸出流量都會透過受控制的路徑周遊於NAT邊界。

嚴重性:低

確定 CloudTrail 設定變更有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議您建立計量篩選和警示,以偵測 CloudTrail 設定的變更。

監視 CloudTrail 設定的變更有助於確保持續能看見 AWS 帳戶中執行的活動。

嚴重性:低

確定記錄計量篩選和警示存在,以停用或排程刪除客戶建立的 CMK

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議為客戶建立的 CMK 建立計量篩選和警示,其已將狀態變更為停用或排程刪除。 已停用或刪除金鑰加密的數據將無法再存取。

嚴重性:低

確保 IAM 原則變更的記錄計量篩選和警示存在

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議對身分識別和存取管理 (IAM) 原則進行計量篩選和警示的變更。 監視 IAM 原則的變更有助於確保驗證和授權控制保持不變。

嚴重性:低

確保沒有 MFA 的 Management Console 登入有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議針對不受多重要素驗證 (MFA) 保護的主控台登入建立計量篩選和警示。 監視單一因素主控台登入會增加對不受 MFA 保護的帳戶的可見度。

嚴重性:低

確定路由表變更有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 路由表可用來路由子網與網路閘道之間的網路流量。 建議針對路由表的變更建立計量篩選和警示。 監視路由表的變更有助於確保所有 TCP 流量都流經預期的路徑。

嚴重性:低

確定 S3 貯體原則變更有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議針對 S3 貯體原則的變更建立計量篩選和警示。 監視 S3 貯體原則的變更可能會縮短偵測和更正敏感性 S3 貯體上寬鬆原則的時間。

嚴重性:低

確定安全組變更有記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 安全組是可設定狀態的封包篩選條件,可控制在一個時間內的輸入和輸出流量。 建議對安全組建立計量篩選和警示變更。 監視安全組的變更有助於確保不會意外公開資源和服務。

嚴重性:低

確保未經授權的 API 呼叫存在記錄計量篩選和警示

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議針對未經授權的 API 呼叫建立計量篩選和警示。 監視未經授權的 API 呼叫有助於顯示應用程式錯誤,並可能縮短偵測惡意活動的時間。

嚴重性:低

確定有記錄計量篩選和警示存在,以使用「根」帳戶

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 建議針對根登入嘗試建立計量篩選和警示。

監視根帳戶登入可讓您查看使用完整特殊許可權帳戶,並有機會減少其使用。

嚴重性:低

請確定有記錄計量篩選條件和警示存在,以用於變更於 2016 年

描述:將 CloudTrail 記錄導向 CloudWatch 記錄,並建立對應的計量篩選和警示,即可即時監視 API 呼叫。 帳戶內可能有多個 VPN,此外,還可以在 2 個 VPN 之間建立對等連線,讓網路流量在 VPC 之間路由。 建議針對對 VPC 所做的變更建立計量篩選和警示。 監視 IAM 原則的變更有助於確保驗證和授權控制保持不變。

嚴重性:低

確定沒有任何安全組允許從 0.0.0.0/0 進入埠 3389

描述:安全組提供對 AWS 資源的輸入/輸出網路流量進行具狀態篩選。 建議沒有任何安全組允許對埠 3389 進行不受限制的輸入存取。 當您移除遠端控制台服務的未限制連線時,例如 RDP,可降低伺服器的風險。

嚴重性:高

RDS 資料庫和叢集不應該使用資料庫引擎預設埠

描述:此控件會檢查 RDS 叢集或實例是否使用資料庫引擎預設埠以外的埠。 如果您使用已知的埠來部署 RDS 叢集或實例,攻擊者可以猜測叢集或實例的相關信息。 攻擊者可以使用此資訊搭配其他資訊來連線到 RDS 叢集或實例,或取得應用程式的其他資訊。 當您變更埠時,也必須更新用來連線到舊埠的現有 連接字串。 您也應該檢查 DB 實例的安全組,以確保它包含允許新埠連線的輸入規則。

嚴重性:低

RDS 實例應該部署在一個VP中

描述:VPC 提供數個網路控制,以保護 RDS 資源的存取。 這些控制件包括「API 端點」、「網路 ACL」和「安全組」。 若要利用這些控件,建議您將EC2-Classic RDS 實例移至EC2-VPN。

嚴重性:低

S3 貯體應要求使用安全套接字層

描述:我們建議要求要求在所有 Amazon S3 貯體上使用安全套接字層 (SSL)。 S3 貯體應具有原則,要求所有要求 ('Action: S3:*') 只接受 S3 資源原則中透過 HTTPS 傳輸數據的原則,以條件索引鍵 'aws:SecureTransport' 表示。

嚴重性:中

安全組不應允許從 0.0.0.0/0 輸入埠 22

描述:若要減少伺服器的曝光率,建議您不要允許不受限制的輸入存取埠 '22'。

嚴重性:高

安全組不應允許對高風險的埠進行不受限制的存取

描述:此控件會檢查是否有安全組不受限制的連入流量可供具有最高風險的指定埠存取。 當安全組中沒有任何規則允許這些埠從 0.0.0.0/0 輸入流量時,此控件就會通過。 不受限制的存取權(0.0.0.0/0)會增加惡意活動的機會,例如駭客攻擊、阻斷服務攻擊,以及數據遺失。 安全組提供對 AWS 資源的輸入和輸出網路流量的具狀態篩選。 安全組不應允許對下列埠進行不受限制的輸入存取:

  • 3389 (RDP)
  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 110 (POP3)
  • 143 (IMAP)
  • 3306 (MySQL)
  • 8080 (proxy)
  • 1433, 1434 (MSSQL)
  • 9200 或 9300 (Elasticsearch)
  • 5601 (基巴納)
  • 25 (SMTP)
  • 445 (CIFS)
  • 135 (RPC)
  • 4333 (阿什普)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)

嚴重性:中

安全組只允許授權埠的不受限制的連入流量

描述:此控件會檢查使用中的安全組是否允許不受限制的連入流量。 選擇性地,規則會檢查埠號碼是否列在 “authorizedTcpPorts” 參數中。

  • 如果安全組規則埠號碼允許不受限制的連入流量,但埠號碼是在 “authorizedTcpPorts” 中指定,則控件會通過。 “authorizedTcpPorts” 的預設值為 80,443
  • 如果安全組規則埠號碼允許不受限制的連入流量,但未在 authorizedTcpPorts 輸入參數中指定埠號碼,則控件會失敗。
  • 如果未使用 參數,則任何具有不受限制輸入規則之安全組的控件會失敗。 安全組提供對 AWS 輸入和輸出網路流量的具狀態篩選。 安全組規則應遵循最低特殊許可權存取原則。 不受限制的存取權(具有 /0 後綴的IP位址)會增加惡意活動的機會,例如駭客攻擊、阻斷服務攻擊,以及數據遺失。 除非特別允許埠,否則埠應該拒絕不受限制的存取。

嚴重性:高

應移除未使用的EC2 EIP

描述:配置給VP 的彈性IP位址應附加至 Amazon EC2 實例或使用中的彈性網路介面(ENIS)。

嚴重性:低

應移除未使用的網路訪問控制清單

描述:此控件會檢查是否有任何未使用的網路訪問控制清單(ACL)。 控件會檢查資源 「AWS::EC2::NetworkAcl」 的項目組態,並判斷網路 ACL 的關聯性。 如果唯一的關聯性是網路 ACL 的VP,則控件會失敗。 如果列出其他關聯性,則控件會通過。

嚴重性:低

預設安全組應限制所有流量

描述:安全組應限制所有流量,以減少資源暴露。

嚴重性:低

GCP 網路建議

叢集主機應設定為只使用私人的內部IP位址來存取Google API

描述:此建議會評估子網的 privateIpGoogleAccess 屬性是否設定為 false。

嚴重性:高

計算實例應該使用設定為使用目標 HTTPS Proxy 的負載平衡器

描述:此建議會評估 targetHttpProxy 資源的 selfLink 屬性是否符合轉送規則中的目標屬性,以及轉送規則是否包含設定為 External 的 loadBalancingScheme 字段。

嚴重性:中

應在 GKE 叢集上啟用控制平面授權網路

描述:此建議會評估叢集的 masterAuthorizedNetworksConfig 屬性,以取得索引鍵/值組的 'enabled': false。

嚴重性:高

應在防火牆上設定輸出拒絕規則,以封鎖不必要的輸出流量

描述:此建議會評估防火牆中的 destinationRanges 屬性是否設定為 0.0.0.0/0,而拒絕的屬性是否包含機碼/值組, 'IPProtocol': 'all.'

嚴重性:低

確保身分識別感知 Proxy (IAP) 後方實例的防火牆規則只允許來自 Google Cloud Loadbalancer (GCLB) 健康情況檢查和 Proxy 位址的流量

描述:存取 VM 應受限於只允許 IAP 流量的防火牆規則,方法是確保只允許 IAP 所代理的連線。 若要確保負載平衡運作正常,也應該允許健康情況檢查。 IAP 可確保透過驗證連入要求來控制對 VM 的存取。 不過,如果 VM 仍可從 IAP 以外的 IP 位址存取,則仍可能會將未經驗證的要求傳送至實例。 請務必小心,以確保不會封鎖負載平衡器健康情況檢查,因為這樣會阻止負載平衡器正確瞭解 VM 的健康情況,並正確地進行負載平衡。

嚴重性:中

確定項目沒有舊版網路

描述:為了避免使用舊版網路,專案不應該設定舊版網路。 舊版網路具有單一網路 IPv4 前置詞範圍,以及整個網路的單一閘道 IP 位址。 網路在範圍中是全域的,而且橫跨所有雲端區域。 子網無法在舊版網路中建立,而且無法從舊版切換到自動或自定義子網網路。 舊版網路可能會對高網路流量專案產生影響,而且受限於單一爭用點或失敗點。

嚴重性:中

請確定已適當地設定 Cloud SQL PostgreSQL 實例的 'log_hostname' 資料庫旗標

描述:P ostgreSQL 只會記錄連線主機的IP位址。 除了記錄的IP位址之外,「log_hostname」旗標也會控制「主機名」的記錄。 效能命中取決於環境的設定和主機名解析設定。 此參數只能在 「postgresql.conf」 檔案或伺服器命令行上設定。 記錄主機名可能會對伺服器效能造成額外負荷,因為每個記錄的語句都需要 DNS 解析,才能將 IP 位址轉換為主機名。 視設定而定,這可能是不可忽略的。 此外,稍後檢閱記錄檔時,記錄的IP位址可以解析為其 DNS 名稱,但不包括使用動態主機名的情況。 這項建議適用於PostgreSQL資料庫實例。

嚴重性:低

確定沒有任何 HTTPS 或 SSL Proxy 負載平衡器允許具有弱式加密套件的 SSL 原則

描述:安全套接字層 (SSL) 原則會決定用戶端在連線到負載平衡器時,允許使用哪些埠傳輸層安全性 (TLS) 功能。 若要防止使用不安全的功能,SSL 原則應至少使用 TLS 1.2 與 MODERN 配置檔;或 (b) RESTRICTED 配置檔,因為它實際上需要用戶端使用 TLS 1.2,而不論選擇的最低 TLS 版本為何;或 (3) 不支援下列任何功能的 CUSTOM 設定檔:TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

負載平衡器可用來有效率地將流量分散到多部伺服器。 SSL Proxy 和 HTTPS 負載平衡器都是外部負載平衡器,這表示會將流量從因特網散發到 GCP 網路。 GCP 客戶可以使用最低 TLS 版本(1.0、1.1 或 1.2)來設定負載平衡器 SSL 原則,讓用戶端可用來建立連線,以及可指定允許加密套件的配置檔(相容、新式、限制或自定義)。 為了符合使用過時通訊協議的使用者,GCP 負載平衡器可以設定為允許不安全的加密套件。 事實上,GCP 預設 SSL 原則會使用最低 TLS 1.0 版和相容配置檔,以允許最廣泛的不安全加密套件。 因此,客戶很容易設定負載平衡器,甚至不知道他們允許過時的加密套件。

嚴重性:中

確定已針對所有網民網路啟用雲端 DNS 記錄

描述:雲端 DNS 記錄會記錄從您適用於您於 HTTP 內的名稱伺服器到 Stackdriver 的查詢。 記錄的查詢可能來自計算引擎 VM、GKE 容器,或布建在 VLAN 內的其他 GCP 資源。 安全性監視和鑑識無法完全取決於來自 HTTP 流量記錄的 IP 位址,尤其是在考慮雲端資源的動態 IP 使用量、HTTP 虛擬主機路由,以及其他技術時,這些技術可能會遮蔽用戶端從 IP 位址使用的 DNS 名稱。 監視雲端 DNS 記錄可讓您查看在 JSON 內用戶端所要求的 DNS 名稱。 這些記錄可以針對異常功能變數名稱進行監視、根據威脅情報進行評估,以及

若要完整擷取 DNS,防火牆必須封鎖輸出 UDP/53 (DNS) 和 TCP/443 (透過 HTTPS 的 DNS),以防止用戶端使用外部 DNS 名稱伺服器進行解析。

嚴重性:高

確定已啟用雲端 DNS 的 DNSSEC

描述:雲端域名系統(DNS)是一種快速、可靠且符合成本效益的域名系統,可在因特網上提供數百萬個網域。 雲端 DNS 中的功能變數名稱系統安全性延伸模組 (DNSSEC) 可讓網域擁有者採取簡單步驟,防止 DNS 劫持和中間人和其他攻擊。 功能變數名稱系統安全性延伸模組 (DNSSEC) 藉由啟用要驗證的 DNS 回應,將安全性新增至 DNS 通訊協定。 擁有可信任的 DNS,將功能變數名稱 www.example.com 轉譯成其相關聯的IP位址,是現今Web應用程式日益重要的建置組塊。 攻擊者可以劫持此網域/IP 查閱程式,並透過 DNS 劫持和中間人攻擊,將使用者重新導向至惡意網站。 DNSSEC 可透過密碼編譯方式簽署 DNS 記錄來協助降低這類攻擊的風險。 因此,它可防止攻擊者發出可能誤導瀏覽器到惡意網站的假 DNS 回應。

嚴重性:中

確定從因特網限制 RDP 存取

描述:GCP 防火牆規則是特定於某一個網路。 每個規則都會在符合流量條件時允許或拒絕流量。 其條件可讓使用者指定流量類型,例如埠和通訊協定,以及流量的來源或目的地,包括IP位址、子網和實例。 防火牆規則會定義於網路層級,且專屬於其定義所在的網路。 規則本身無法在網路之間共用。 防火牆規則僅支援IPv4流量。 當您依位址指定輸入規則的來源或輸出規則的目的地時,可以使用 CIDR 表示法中的 IPv4 位址或 IPv4 區塊。 您可以避免在埠 3389 上使用 RDP 從因特網到使用 RDP 的一般 (0.0.0.0.0/0) 連入流量到 SSL 或 VM 實例。 在VP網路內的 GCP 防火牆規則。 這些規則適用於來自實例的傳出(輸出)流量,以及連入(輸入)流量到網路中的實例。 即使流量停留在網路內(例如實例對實例通訊),輸出和輸入流量仍會受到控制。 若要讓實例具有連出因特網存取權,網路必須具有有效的因特網網關路由或指定目的地 IP 的自定義路由。 此路由只會定義因特網的路徑,以避免使用預設埠 3389 從因特網指定的最一般 (0.0.0.0.0/0) 目的地 IP 範圍。 從因特網到特定IP範圍的一般存取應受到限制。

嚴重性:高

請確定RSASHA1不會用於雲端 DNS DNSSEC 中的密鑰簽署密鑰

描述:此登錄中的 DNSSEC 演算法編號可用於 CERT RR。 區域簽署 (DNSSEC) 和交易安全性機制 (SIG(0) 和 TSIG) 會使用這些演算法的特定子集。 用於密鑰簽署的演算法應該是建議的演算法,而且應該是強式的。 此登錄中的功能變數名稱系統安全性延伸模組 (DNSSEC) 演演算法編號可用於 CERT RR。 區域簽署 (DNSSEC) 和交易安全性機制 (SIG(0) 和 TSIG) 會使用這些演算法的特定子集。 用於密鑰簽署的演算法應該是建議的演算法,而且應該是強式的。 當您為受控區域啟用 DNSSEC,或使用 DNSSEC 建立受控區域時,使用者可以選取 DNSSEC 簽署演算法和拒絕存在類型。 如果尚未啟用 DNSSEC,變更 DNSSEC 設定才對受控區域有效。 如果需要變更已啟用受控區域的設定,請關閉 DNSSEC,然後使用不同的設定重新啟用它。

嚴重性:中

確定RSASHA1不會用於雲端 DNS DNSSEC 中的區域簽署密鑰

描述:此登錄中的 DNSSEC 演算法編號可用於 CERT RR。 區域簽署 (DNSSEC) 和交易安全性機制 (SIG(0) 和 TSIG) 會使用這些演算法的特定子集。 用於密鑰簽署的演算法應該是建議的演算法,而且應該是強式的。 此登錄中的 DNSSEC 演演算法編號可用於 CERT RR。 區域簽署 (DNSSEC) 和交易安全性機制 (SIG(0) 和 TSIG) 會使用這些演算法的特定子集。 用於密鑰簽署的演算法應該是建議的演算法,而且應該是強式的。 當您為受控區域啟用 DNSSEC,或使用 DNSSEC 建立受控區域時,可以選取 DNSSEC 簽署演算法和拒絕存在類型。 如果尚未啟用 DNSSEC,變更 DNSSEC 設定才對受控區域有效。 如果需要變更已啟用受控區域的設定,請關閉 DNSSEC,然後使用不同的設定重新啟用它。

嚴重性:中

確定已從因特網限制 SSH 存取

描述:GCP 防火牆規則是特定於某一個網路。 每個規則都會在符合流量條件時允許或拒絕流量。 其條件可讓使用者指定流量類型,例如埠和通訊協定,以及流量的來源或目的地,包括IP位址、子網和實例。 防火牆規則會定義於網路層級,且專屬於其定義所在的網路。 規則本身無法在網路之間共用。 防火牆規則僅支援IPv4流量。 當您依位址指定輸入規則的來源或輸出規則的目的地時,只能使用 CIDR 表示法中的 IPv4 位址或 IPv4 區塊。 您可以避免在埠 22 上使用 SSH 從因特網到使用 SSH 的傳入流量(0.0.0.0.0/0) 傳入流量。 來自實例和連入(輸入)流量流向網路實例的 GCP 防火牆規則會套用至網路中的實例。 即使流量停留在網路內(例如實例對實例通訊),輸出和輸入流量仍會受到控制。 若要讓實例具有連出因特網存取權,網路必須具有有效的因特網網關路由或指定目的地 IP 的自定義路由。 此路由只會定義因特網的路徑,以避免使用預設埠 '22' 從因特網指定的最一般 (0.0.0.0.0/0) 目的地 IP 範圍。 必須限制從因特網存取特定IP範圍的一般存取。

嚴重性:高

確定預設網路不存在於專案中

描述:若要防止使用「預設」網路,項目不應該有「預設」網路。 預設網路具有預先設定的網路組態,並自動產生下列不安全的防火牆規則:

  • default-allow-internal:允許網路實例之間的所有通訊協定和埠的輸入連線。
  • default-allow-ssh:允許從任何來源到網路中任何實例的 TCP 連接埠 22(SSH) 上的輸入連線。
  • default-allow-rdp:允許從任何來源到網路中任何實例的 TCP 連接埠 3389(RDP) 上的輸入連線。
  • default-allow-icmp:允許從任何來源到網路中任何實例的輸入ICMP流量。

這些自動建立的防火牆規則不會記錄稽核,且無法設定為啟用防火牆規則記錄。 此外,預設網路是自動模式網路,這表示其子網使用相同預先定義的IP位址範圍,因此,無法搭配預設網路使用雲端 VPN 或 VPN 網路對等互連。 根據組織安全性和網路需求,組織應該建立新的網路,並刪除默認網路。

嚴重性:中

請確定有記錄計量篩選條件和警示存在,以便進行對網變更

描述:建議針對虛擬私人雲端 (IMF) 網路變更建立計量篩選和警示。 專案內可能會有一個以上的SSD。 此外,您也可以在兩個 VPN 之間建立對等連線,讓網路流量在 VPC 之間路由。 監視對VP的變更將有助於確保不會受到影響的VP流量。

嚴重性:低

請確定已針對 [VM 網路防火牆] 規則變更而存在記錄計量篩選和警示

描述:建議針對虛擬私人雲端 (IMF) 網路防火牆規則變更建立計量篩選和警示。 監視建立或更新防火牆規則事件可提供網路存取變更的深入解析,並可能會減少偵測可疑活動所需的時間。

嚴重性:低

請確定有記錄計量篩選條件和警示存在,以變更網狀網路路由

描述:建議針對虛擬私人雲端 (IMF) 網路路由變更建立計量篩選和警示。 Google Cloud Platform (GCP) 路由會定義從 VM 實例到另一個目的地的網路流量路徑。 另一個目的地可以位於組織內部的VP網路(例如另一個 VM)或外部。 每個路由都包含目的地和下一個躍點。 目的地 IP 位於目的地範圍內的流量會傳送至下一個躍點以進行傳遞。 監視路由表的變更將有助於確保所有 TCP 流量都流經預期的路徑。

嚴重性:低

確定 Cloud SQL PostgreSQL 實例的 'log_connections' 資料庫旗標已設定為 'on'

描述:啟用log_connections設定會導致每次嘗試連線到伺服器,以及成功完成客戶端驗證。 工作階段啟動之後,無法變更此參數。 PostgreSQL 預設不會記錄嘗試的連線。 啟用log_connections設定會為每個嘗試的連線建立記錄專案,以及成功完成客戶端驗證,這在疑難解答問題時很有用,並判斷伺服器的任何異常連線嘗試。 這項建議適用於PostgreSQL資料庫實例。

嚴重性:中

確定 Cloud SQL PostgreSQL 實例的 'log_disconnections' 資料庫旗標已設定為 'on'

描述:啟用log_disconnections設定會記錄每個會話的結尾,包括會話持續時間。 PostgreSQL 預設不會記錄工作階段詳細數據,例如持續時間和會話結束。 啟用log_disconnections設定會在每個會話結束時建立記錄專案,這在疑難解答問題時很有用,並判斷一段時間內的任何異常活動。 log_disconnections和log_connections工作交手,一般來說,兩人會一起啟用/停用。 這項建議適用於PostgreSQL資料庫實例。

嚴重性:中

請確定已針對每個子網啟用於「VM 網路」中的[VM 流量記錄]

描述:流量記錄是一項功能,可讓使用者擷取組織之[HTTP 子網] 中網路介面來回傳輸IP流量的相關信息。 建立流程記錄之後,用戶可以在 Stackdriver 記錄中檢視和擷取其數據。 建議針對每個業務關鍵性之 SSD 子網啟用流量記錄。 在可以啟動 GCP 資源的邏輯隔離且安全的網路分割區中,使用網路和子網來提供其邏輯隔離且安全的網路分割區。 針對子網啟用流量記錄時,該子網內的 VM 會開始報告所有傳輸控制通訊協定 (TCP) 和使用者數據報通訊協定 (UDP) 流程。 每個 VM 都會取樣其看到的 TCP 和 UDP 流程、輸入和輸出流程,不論流程是往返於另一個 VM、內部部署數據中心的主機、Google 服務,還是因特網上的主機。 如果兩個 GCP VM 正在通訊,而且兩者都位於已啟用 TCP 流量記錄的子網中,這兩部 VM 都會回報流程。 流量記錄支援下列使用案例:1。 網路監視。 2. 了解網路使用量並優化網路流量費用。 3. 網路鑑識。 4. 即時安全性分析流量記錄可讓您查看子網內每個 VM 的網路流量,並可用來偵測安全性工作流程期間的異常流量或深入解析。

嚴重性:低

應啟用防火牆規則記錄

描述:此建議會評估防火牆元數據中的logConfig屬性,以查看其是否為空白,或包含機碼/值組 'enable': false。

嚴重性:中

不應將防火牆設定為開放至公用存取

描述:此建議會評估下列兩個組態之一的 sourceRanges 和允許的屬性:

sourceRanges 屬性包含 0.0.0.0/0,而允許的屬性包含包含任何通訊協定或通訊協定:埠的規則組合,但下列除外:

  • icmp
  • tcp:22
  • tcp: 443
  • tcp:3389
  • udp:3389
  • sctp:22

sourceRanges 屬性包含包含任何非private IP 位址的IP範圍組合,且允許的屬性包含允許所有 tcp 連接埠或所有 udp 連接埠的規則組合。

嚴重性:高

防火牆不應設定為具有允許一般存取的開放式 CASSANDRA 埠

描述:此建議會評估下列通訊協定和埠之防火牆元數據中允許的屬性:TCP:7000-7001、7199、8888、9042、9160、61620-61621。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放CISCOSECURE_WEBSM埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:9090。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式DIRECTORY_SERVICES埠

描述:這項建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:445 和 UDP:445。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放 DNS 埠

描述:這項建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:53 和 UDP:53。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 ELASTICSEARCH 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:9200、9300。

嚴重性:低

防火牆不應設定為具有允許一般存取的開啟 FTP 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:21。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放 HTTP 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:80。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放LDAP埠

描述:這項建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:389、636 和 UDP:389。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 MEMCACHED 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:11211、11214-11215 和 UDP:11211、11214-11215。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 MONGODB 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:27017-27019。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放 MYSQL 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:3306。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放NETBIOS埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:137-139 和 UDP:137-139。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 ORACLEDB 埠

描述:這項建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:1521、2483-2484 和 UDP:2483-2484。

嚴重性:低

防火牆不應設定為具有允許一般存取的開啟 POP3 埠

描述:此建議會評估下列通訊協定和埠之防火牆元數據中允許的屬性:TCP:110。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放 PostgreSQL 埠

描述:此建議會針對下列通訊協定和埠評估防火牆元數據中允許的屬性:TCP:5432 和 UDP:5432。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 REDIS 埠

描述:此建議會評估防火牆元數據中允許的屬性是否包含下列通訊協定和埠:TCP:6379。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 SMTP 埠

描述:此建議會評估防火牆元數據中允許的屬性是否包含下列通訊協定和埠:TCP:25。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放 SSH 埠

描述:此建議會評估防火牆元數據中允許的屬性是否包含下列通訊協定和埠:TCP:22 和 SCTP:22。

嚴重性:低

防火牆不應設定為具有允許一般存取的開放式 TELNET 埠

描述:此建議會評估防火牆元數據中允許的屬性是否包含下列通訊協定和埠:TCP:23。

嚴重性:低

GKE 叢集應該已啟用別名IP範圍

描述:此建議會評估叢集中ipAllocationPolicy的 useIPAliases 字段是否設定為 false。

嚴重性:低

GKE 叢集應該已啟用私人叢集

描述:此建議會評估 privateClusterConfig 屬性的 enablePrivateNodes 字段是否設定為 false。

嚴重性:高

應在 GKE 叢集上啟用網路原則

描述:此建議會評估索引鍵/值組 'disabled':true 之 addonsConfig 屬性的 networkPolicy 字段。

嚴重性:中