この記事では、Microsoft Defender for Cloud に表示されるすべてのネットワーク セキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
ヒント
推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。
たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。
Azure ネットワークに関する推奨事項
ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要がある
説明: ストレージ アカウントのファイアウォール設定のネットワーク アクセスの設定を確認します。 許可されているネットワークからのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成することをお勧めします。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。 (関連ポリシー: ストレージ アカウントでは、ネットワーク アクセス) を制限する必要があります。
重大度: 低
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある
説明: Defender for Cloud は、以下に示す仮想マシンのインターネット トラフィック通信パターンを分析し、それらに関連付けられている NSG 内の既存のルールが過度に制限されていると判断し、潜在的な攻撃対象領域を増やしました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 (関連ポリシー: アダプティブ ネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシン) に適用する必要があります。
重大度: 高
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある
説明: Defender for Cloud では、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎないように特定されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 (関連ポリシー: すべてのネットワーク ポートは、仮想マシン) に関連付けられているネットワーク セキュリティ グループで制限する必要があります。
重大度: 高
Azure DDoS Protection Standard を有効にする必要がある
説明: Defender for Cloud は、DDoS 保護サービスによって保護されていない Application Gateway リソースを持つ仮想ネットワークを検出しました。 これらのリソースには、パブリック IP が含まれています。 ネットワークに対する帯域幅消費型攻撃およびプロトコル攻撃の軽減を有効にします。 (関連ポリシー: Azure DDoS Protection Standard を有効にする必要があります)。
重大度: 中
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用して VM へのアクセスを制限することで、潜在的な脅威から VM を保護します。 NSG には、同じサブネット内外の他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 重大度が "高" の VM は、インターネットに接続する VM です。 (関連ポリシー: インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループ) で保護する必要があります。
重大度: 高
仮想マシンでの IP 転送を無効にする必要がある
説明: Defender for Cloud は、一部の仮想マシンで IP 転送が有効になっていることを検出しました。 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 (関連ポリシー: 仮想マシンでの IP 転送を無効にする必要があります)。
重大度: 中
マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります
説明: Azure の使用条件 、Microsoft サーバーまたはネットワークに損害を与えたり、無効にしたり、過負荷にしたり、損なったりする可能性のある方法で Azure サービスを使用することを禁止します。 この推奨事項には、セキュリティを維持するために閉じる必要がある公開ポートが列挙されます。 また、各ポートに対する潜在的な脅威も示されます。 (関連ポリシーはありません)
重大度: 高
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある
説明: Defender for Cloud は、ネットワーク セキュリティ グループ内の管理ポートに対して、過度に制限の緩い受信規則をいくつか特定しました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。 (関連ポリシー: 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御) で保護する必要があります。
重大度: 高
仮想マシンの管理ポートを閉じておく必要がある
説明: オープン リモート管理ポートは、インターネットベースの攻撃による高レベルのリスクに VM を公開しています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 (関連ポリシー: 管理ポートは、仮想マシンで閉じる必要があります)。
重大度: 中
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG には、同じサブネット上にあるかどうかに関係なく、他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 (関連ポリシー: インターネットに接続していない仮想マシンは、ネットワーク セキュリティ グループ) で保護する必要があります。
重大度: 低
ストレージ アカウントへの安全な転送を有効にする必要がある
説明: セキュリティで保護された転送は、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるようにストレージ アカウントに強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。 (関連ポリシー: ストレージ アカウントへの安全な転送を有効にする必要があります)。
重大度: 高
(必要に応じて有効にする)サブネットをネットワーク セキュリティ グループに関連付ける必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM インスタンスと統合サービスに適用されますが、サブネット内の内部トラフィックには適用されません。 同じサブネット内のリソースを相互にセキュリティで保護するには、リソースでも直接 NSG を有効にします。 適用なしとして表示されるサブネットの種類は、GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet です。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの Effect パラメーターを更新して監査します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 (関連ポリシー: サブネットは、ネットワーク セキュリティ グループ) に関連付ける必要があります。
重大度: 低
仮想ネットワークは、Azure Firewall によって保護する必要がある
説明: 一部の仮想ネットワークはファイアウォールで保護されていません。 Azure Firewall を使用して、仮想ネットワークへのアクセスを制限し、潜在的な脅威を防ぎます。 (関連ポリシー: すべてのインターネット トラフィックは、デプロイされた Azure Firewall) 経由でルーティングする必要があります。
AWS のネットワークに関する推奨事項
AWS ネットワーク ファイアウォールでアクティブな脅威防御を有効にする必要がある
説明: Defender for Cloud は、アクティブな脅威防御が AWS ネットワーク ファイアウォールで有効になっていないことを確認しました。 アクティブな脅威防御は、ネットワーク トラフィックを継続的に監視して、疑わしいパターンと潜在的な脅威を検出します。 そうしないと、ネットワークが標準的なセキュリティ対策をバイパスする高度な攻撃にさらされ、データ侵害やその他の悪意のあるアクティビティのリスクが高まる可能性があります。
重大度: 中
Route53 Hostedzone A レコードのエイリアス ターゲットを構成する必要がある
説明: Defender for Cloud は、エイリアス ターゲットを使用していない Route 53 A レコードを識別しました。 Route 53 A レコードでは、Alias ターゲットを使用して、AWS リソース名を参照して AWS マネージド リソースに直接接続する必要があります。 A レコードで静的 IP アドレスを使用すると、古い DNS エントリ、トラフィックの誤ルーティング、可用性の低下、基になる AWS リソース エンドポイントの変更時のセキュリティ リスクの増加が発生する可能性があります。
重大度: 中
Amazon EC2 は、VPC エンドポイントを使用して構成する必要がある
説明: このコントロールは、Amazon EC2 のサービスエンドポイントが VPC ごとに作成されているかどうかを確認します。 VPC に Amazon EC2 サービス用に作成された VPC エンドポイントがない場合、コントロールは失敗します。 VPC のセキュリティ体制を改善するには、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を構成します。 インターフェイス エンドポイントには、Amazon EC2 API 操作にプライベートに接続できるテクノロジである AWS PrivateLink が活用されています。 これにより、VPC と Amazon EC2 の間のネットワーク トラフィックが Amazon ネットワークに制限されます。 エンドポイントは同じリージョン内でのみサポートされるため、VPC と別のリージョンのサービスの間にエンドポイントを作成することはできません。 これにより、他のリージョンへの意図しない Amazon EC2 API 呼び出しを防ぐことができます。 Amazon EC2 の VPC エンドポイントの作成に関する詳細については、Linux インスタンス用 Amazon EC2 ユーザー ガイドの「Amazon EC2 and interface VPC endpoints」 (Amazon EC2 とインターフェイス VPC エンドポイント) を参照してください。
重大度: 中
Amazon ECS サービスには、パブリック IP アドレスを自動的に割り当てないようにする必要がある
説明: パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。 パブリック IP アドレスを使用して Amazon ECS インスタンスを起動すると、Amazon ECS インスタンスは、インターネットから到達可能となります。 Amazon ECS サービスには、コンテナー アプリケーション サーバーへの意図しないアクセスが許可される可能性があるため、パブリックにアクセスできないようにする必要があります。
重大度: 高
Amazon EMR クラスター マスター ノードには、パブリック IP アドレスを指定しないようにする必要がある
説明: このコントロールは、Amazon EMR クラスターのマスター ノードにパブリック IP アドレスがあるかどうかを確認します。 このコントロールは、マスター ノードに、そのいずれかのインスタンスに関連付けられているパブリック IP アドレスが指定されている場合に失敗します。 パブリック IP アドレスは、インスタンスの NetworkInterfaces 構成の PublicIp フィールドに指定されます。 このコントロールを使用すると、RUNNING または WAITING 状態の Amazon EMR クラスターのみ、チェックできます。
重大度: 高
Amazon Redshift クラスターでは、拡張 VPC ルーティングを使用する必要がある
説明: このコントロールは、Amazon Redshift クラスターで EnhancedVpcRouting が有効になっているかどうかを確認します。 拡張 VPC ルーティングにより、クラスターとデータ リポジトリの間のすべての COPY トラフィックと UNLOAD トラフィックが、強制的に VPC を通過します。 その後は、セキュリティ グループやネットワーク アクセス コントロール リストなどの VPC 機能を使用して、ネットワーク トラフィックをセキュリティで保護することができます。 また、ネットワーク トラフィックの監視には、VPC Flow ログも使用することができます。
重大度: 高
Application Load Balancer は、すべての HTTP 要求を HTTPS にリダイレクトするように構成する必要がある
説明: 転送中に暗号化を適用するには、アプリケーション ロード バランサーでリダイレクト アクションを使用して、クライアント HTTP 要求をポート 443 の HTTPS 要求にリダイレクトする必要があります。
重大度: 中
Application Load Balancer は、HTTP ヘッダーを削除するように構成する必要がある
説明: このコントロールは、AWS Application Load Balancer (ALB) を評価して、無効な HTTP ヘッダーを削除するように構成されていることを確認します。 このコントロールは、routing.http.drop_invalid_header_fields.enabled の値が false に設定されている場合に失敗します。 既定では、ALB は無効な HTTP ヘッダー値を削除するように構成されていません。 これらのヘッダー値を削除すると、HTTP 非同期攻撃を防ぐことができます。
重大度: 中
AWS トランジットゲートウェイでは、共有添付ファイルの自動受け入れを無効にする必要がある
説明: Defender for Cloud は、AWS Transit Gateway が共有 VPC 添付ファイルを自動的に承認することを確認しました。 これにより、未承認のクロスアカウント接続または VPC 間接続が許可される可能性があり、内部ネットワークの横移動と露出の可能性が高まります。 クロスアカウント共有を無効にして、このリスクを修復します。
重大度: 中
CodePipeline でカスタマー マネージド キーを使用して成果物の暗号化を構築する
説明: Defender for Cloud は、CodePipeline がビルド成果物の暗号化にカスタマー マネージド AWS KMS キーを使用しないことを確認しました。 CodePipeline では、カスタマー マネージド キーを使用して、暗号化、キーのローテーション、アクセス許可をきめ細かく制御できます。 これにより、保存されている成果物の機密性と整合性にリスクが生じ、不正アクセスやデータの侵害につながる可能性があります。
重大度: 低
Lambda 関数を VPC に構成する
説明: このコントロールは、Lambda 関数が VPC 内にあるかどうかをチェックします。 パブリック到達可能性を判断するために VPC サブネットルーティング構成は評価されません。 アカウントに Lambda@Edge がある場合は、このコントロールによって失敗の結果が生成されます。 このような結果を回避するには、このコントロールを無効にしてください。
重大度: 低
EC2 インスタンスには、パブリック IP アドレスを指定しないようにする必要がある
説明: このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかを確認します。 このコントロールは、EC2 インスタンス構成アイテムに "publicIp" フィールドが存在する場合に失敗します。 このコントロールは、IPv4 アドレスにのみ適用されます。 パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。 パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスは、インターネットから到達可能となります。 プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。 同じ VPC 内または接続されたプライベート ネットワーク内の EC2 インスタンス間の通信には、プライベート IPv4 アドレスを使用できます。 IPv6 アドレスは、グローバルに一意であるため、インターネットから到達可能です。 ただし、既定では、すべてのサブネットで、IPv6 アドレス属性が false に設定されています。 IPv6 の詳細については、Amazon VPC ユーザー ガイドの「IP addressing in your VPC」 (VPC の IP アドレス指定) を参照してください。 パブリック IP アドレスが指定されている EC2 インスタンスを維持するための正当なユース ケースがある場合は、このコントロールの結果を抑制することができます。 フロントエンド アーキテクチャのオプションの詳細については、AWS アーキテクチャのブログ、または「This Is My Architecture」シリーズを参照してください。
重大度: 高
EC2 インスタンスでは、複数の ENI を使用しないようにする必要がある
説明: このコントロールは、EC2 インスタンスが複数の Elastic Network Interfaces (ISI) または Elastic Fabric Adapter (EFA) を使用しているかどうかを確認します。 このコントロールは、1 つのネットワーク アダプターが使用される場合に渡されます。 このコントロールには、許可されている ENI を識別するための、省略可能なパラメーター リストが含まれています。 複数の ENI があると、デュアルホームのインスタンス、つまり複数のサブネットを持つインスタンスが生成される場合があります。 これにより、ネットワーク セキュリティがさらに複雑になり、意図しないネットワーク パスやアクセスが発生する可能性があります。
重大度: 低
EC2 インスタンスでは、IMDSv2 を使用する必要がある
説明: このコントロールは、EC2 インスタンス メタデータ バージョンがインスタンス メタデータ サービス バージョン 2 (IMDSv2) で構成されているかどうかを確認します。 このコントロールは、'HttpTokens' が IMDSv2 に対して 'required' に設定されている場合に合格します。 このコントロールは、'HttpTokens' が 'optional' に設定されている場合に失敗します。 実行中のインスタンスを構成または管理するには、インスタンスのメタデータを使用します。 IMDS を使用すると、頻繁にローテーションされる一時的な資格情報にアクセスできます。 このような資格情報により、機密である資格情報を、ハードコーディングしたり、手動またはプログラムによってインスタンスに配布したりする必要がなくなります。 IMDS は、すべての EC2 インスタンスにローカルにアタッチされます。 特別な 'リンク ローカル' IP アドレスである 169.254.169.254 で実行されます。 この IP アドレスへは、インスタンスで実行されているソフトウェアによってのみアクセスできます。 IMDS のバージョン 2 では、次の種類の脆弱性に対する新たな保護が追加されています。 これらの脆弱性は、IMDS へのアクセスを試みるために使用される場合があります。
- Web サイト アプリケーション ファイアウォールを開く
- リバース プロキシを開く
- サーバー側要求フォージェリ (SSRF) の脆弱性
- レイヤー 3 のファイアウォールとネットワーク アドレス変換 (NAT) Security Hub を開くには、IMDSv2 を使用して EC2 インスタンスを構成することをお勧めします。
重大度: 高
EC2 サブネットでは、パブリック IP アドレスを自動的に割り当てないようにする必要がある
説明: このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットでのパブリック IP の割り当てに "MapPublicIpOnLaunch" が "FALSE" に設定されているかどうかを確認します。 このコントロールは、フラグが 'FALSE' に設定されている場合に合格します。 すべてのサブネットには、そのサブネットに作成されたネットワーク インターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを決定する属性があります。 この属性が有効になっているサブネットに起動されるインスタンスには、プライマリ ネットワーク インターフェイスに割り当てられたパブリック IP アドレスが指定されます。
重大度: 中
AWS トランジット ゲートウェイで既定のルート テーブルの関連付けを無効にする必要がある
説明: Defender for Cloud によって、既定のルート テーブルの関連付けが有効になっている AWS トランジット ゲートウェイが識別されました。 この設定を有効にすると、新しくアタッチされた VPC、VPN、またはピアリング接続が、メイントランジットゲートウェイルートテーブルに自動的にマップされます。 これにより、意図しない横移動、未承認のルート伝達、内部ネットワークの露出のリスクが生じます。
重大度: 低
AWS トランジット ゲートウェイで既定のルート テーブルの伝達を無効にする必要がある
説明: Defender for Cloud は、既定のルート テーブル伝達が有効になっている AWS トランジット ゲートウェイを識別しました。 この機能を有効にすると、アタッチされた VPC、VPN、またはピアリングの添付ファイルが自動的にルートをトランジット ゲートウェイのメイン ルート テーブルに伝達でき、承認されていないルーティング パスが許可される可能性があります。
重大度: 低
AWS ネットワークファイアウォールに対して削除保護を有効にする必要がある
説明: Defender for Cloud は、AWS ネットワーク ファイアウォールに対して削除保護が有効になっていないことを確認しました。 削除保護は、ファイアウォールの使用中にファイアウォールが誤って削除されたり、承認されたりするのを防ぐセーフガードです。 この制御がないと、不注意による削除によって、ネットワークの脅威検出のギャップが生じ、セキュリティ ポリシーに準拠しなくなっている可能性があり、潜在的なリスクにさらされる可能性が高まります。
重大度: 中
パブリック Route 53 ホスト ゾーンで DNSSEC 署名を有効にする必要がある
説明: Defender for Cloud は、DNSSEC 署名が有効になっていないパブリック DNS ホスト ゾーンを識別しました。 DNSSEC は、暗号化手法を使用して DNS 応答を検証する一連のプロトコルです。 DNSSEC がないと、パブリック ドメインは DNS スプーフィング、キャッシュポイズニング、および未承認のレコード改ざんに対して脆弱になり、クライアントの誤った方向のリスクが高まり、データの整合性が損なわれます。
重大度: 中
AWS Transit Gateway で ECMP サポートを有効にする必要がある
説明: Defender for Cloud は、AWS トランジット ゲートウェイで ECMP サポートが無効になっていることを確認しました。 ECMP (等コストマルチ パス) を使用すると、複数の VPN トンネルまたは BGP パスを同時に使用できるため、スループット、冗長性、およびフェールオーバーの安定性が向上します。 ECMP がないと、ルーティングは 1 つのアクティブ パスに制限され、トラフィック管理の回復性とパフォーマンスが低下するリスクがあります。
重大度: 低
AWS Config 構成の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリック フィルターとアラームを確立することをお勧めします。 AWS Config 構成の変更を監視することで、AWS アカウント内の構成項目を持続的に可視化できます。
重大度: 低
AWS マネジメント コンソールの認証エラーに対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 失敗したコンソール認証の試行に対してメトリック フィルターとアラームを確立することをお勧めします。 コンソール ログインの失敗を監視すると、資格情報をブルート フォースする試みを検出するリード タイムが短縮される可能性があります。これにより、他のイベント相関関係で使用できるインジケーター (ソース IP など) が提供される可能性があります。
重大度: 低
ネットワーク アクセス コントロール リスト (NACL) の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 NACL は、VPC 内のサブネットのイングレスおよびエグレス トラフィックを制御するためのステートレス パケット フィルターとして使用されます。 NACL に加えられた変更に対して、メトリック フィルターとアラームを設定することをお勧めします。 NACL に対する変更を監視することで、AWS のリソースとサービスが意図せずに公開されないようにすることができます。
重大度: 低
ネットワーク ゲートウェイの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ネットワーク ゲートウェイは、VPC の外側にある宛先とのトラフィックのを送信/受信に必要です。 ネットワーク ゲートウェイへの変更については、メトリック フィルターとアラームを確立することをお勧めします。 ネットワークゲートウェイに対する変更を監視することで、すべてのイングレス/エグレストラフィックが制御されたパスを介して VPC ボーダーを通過することを保証できます。
重大度: 低
CloudTrail 構成の変更に対して、ログ メトリック フィルターとアラームが存在することを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリック フィルターとアラームを確立することをお勧めします。
CloudTrail の構成に対する変更を監視することで、AWS アカウントで実行されたアクティビティを継続的に可視化できます。
重大度: 低
顧客が作成した CMK の無効化またはスケジュールされた削除に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 状態が無効またはスケジュールされた削除に変更された、顧客が作成した CMK に対してメトリック フィルターとアラームを確立することをお勧めします。 無効化または削除されたキーで暗号化されたデータには、アクセスできなくなります。
重大度: 低
IAM ポリシーの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ID およびアクセス管理 (IAM) ポリシーに対するメトリック フィルターとアラームの変更を確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。
重大度: 低
MFA を使用しないマネジメント コンソール サインインに対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 多要素認証 (MFA) によって保護されていないコンソール ログインには、メトリック フィルターとアラームを確立することをお勧めします。 単一要素のコンソール ログインを監視すると、MFA によって保護されていないアカウントの可視性が向上します。
重大度: 低
ルート テーブルの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ルーティング テーブルは、サブネット間およびネットワーク ゲートウェイへ向かうネットワーク トラフィックをルーティングするために使用されます。 ルート テーブルの変更については、メトリック フィルターとアラームを確立することをお勧めします。 ルートテーブルに対する変更を監視すると、すべての VPC トラフィックが予想されるパスを通過することが保証されます。
重大度: 低
S3 バケット ポリシーの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 S3 バケット ポリシーの変更に対して、メトリック フィルターとアラームを設定することをお勧めします。 S3 バケット ポリシーに対する変更を監視すると、機密性の高い S3 バケットの許容ポリシーを検出して修正する時間が短縮される場合があります。
重大度: 低
セキュリティ グループの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 Security Groups は、VPC 内のサブネットのイングレス/エグレス トラフィックを制御するためのステートレス パケット フィルターとして使用されます。 セキュリティ グループに対するメトリック フィルターとアラームの変更を確立することをお勧めします。 セキュリティ グループに対する変更を監視すると、リソースとサービスが意図せずに公開されないようにすることができます。
重大度: 低
未承認の API 呼び出しに対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 承認されていない API 呼び出しに対してメトリック フィルターとアラームを確立することをお勧めします。 承認されていない API 呼び出しを監視すると、アプリケーション エラーが明らかになり、悪意のあるアクティビティを検出する時間が短縮される可能性があります。
重大度: 低
'root' アカウントの使用に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ルート ログインの試行に対してメトリック フィルターとアラームを確立することをお勧めします。
ルート アカウント ログインの監視により、完全な特権を持つアカウントの使用が可視化され、その使用を減らすことができます。
重大度: 低
VPC の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する
説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 アカウント内に複数の VPC を含めることもできます。さらに、2 つの VPC 間にピア接続を作成して、ネットワーク トラフィックを VPC 間でルーティングすることもできます。 VPN に加えられた変更については、メトリック フィルターとアラームを確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。
重大度: 低
0.0.0.0/0 からポート 3389 へのイングレスを許可するセキュリティ グループが存在しないことを確認する
説明: セキュリティ グループは、AWS リソースへのイングレス/エグレス ネットワーク トラフィックのステートフル フィルター処理を提供します。 ポート 3389 への無制限のイングレス アクセスを許可するセキュリティ グループはないことをお勧めします。 RDP などのリモート コンソール サービスへの接続を解除すると、サーバーのリスクにさらされるリスクが軽減されます。
重大度: 高
RDS のデータベースとクラスターでは、データベース エンジンの既定のポートを使用しないようにする必要がある
説明: このコントロールは、RDS クラスターまたはインスタンスがデータベース エンジンの既定のポート以外のポートを使用しているかどうかを確認します。 既知のポートを使用して RDS クラスターまたはインスタンスをデプロイすると、攻撃者は、クラスターまたはインスタンスに関する情報を推測できます。 攻撃者は、この情報を他の情報と併せて使用することで、RDS クラスターやインスタンスに接続したり、アプリケーションに関する追加情報を取得したりすることができます。 ポートを変更する場合は、古いポートへの接続に使用されていた既存の接続文字列も更新する必要があります。 また、DB インスタンスのセキュリティ グループを確認して、新しいポートでの接続を許可するイングレス規則が含まれていることを確認する必要があります。
重大度: 低
RDS インスタンスは、VPC にデプロイする必要がある
説明: VPN には、RDS リソースへのアクセスをセキュリティで保護するための多数のネットワーク制御が用意されています。 これらのコントロールには、VPC エンドポイント、ネットワーク ACL、セキュリティグループが含まれます。 これらのコントロールを活用するには、EC2-Classic RDS インスタンスを EC2-VPC に移動することをお勧めします。
重大度: 低
S3 バケットでは、要求に Secure Socket Layer を使用する必要がある
説明: すべての Amazon S3 バケットで Secure Socket Layer (SSL) を使用する要求を要求することをお勧めします。 S3 バケットには、条件キー 'aws:SecureTransport' によって示されているように、S3 リソース ポリシーで HTTPS 経由のデータ転送のみを許可することをすべての要求 ('Action: S3:*') に求めるポリシーが必要です。
重大度: 中
セキュリティ グループでは、0.0.0.0/0 からポート 22 へのイングレスを許可しないようにする必要がある
説明: サーバーの露出を減らすために、ポート '22' への無制限のイングレス アクセスを許可しないことをお勧めします。
重大度: 高
セキュリティ グループでは、リスクの高いポートに対して無制限のアクセスを許可しないようにする必要がある
説明: このコントロールは、セキュリティ グループの無制限の着信トラフィックが、リスクが最も高い指定されたポートからアクセスできるかどうかを確認します。 このコントロールは、セキュリティ グループ内に、このようなポートに対して 0.0.0.0/0 からのイングレス トラフィックを許可する規則が存在しない場合に合格します。 無制限のアクセス (0.0.0.0/0) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。 セキュリティ グループでは、AWS リソースへのイングレスおよびエグレス ネットワーク トラフィックのステートフル フィルタリングを実行することができます。 いかなるセキュリティ グループにおいても、次のポートへの無制限のイングレス アクセスは許可されていません。
- 3389 (RDP)
- 20、21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (プロキシ)
- 1433、1434 (MSSQL)
- 9200 または 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
重大度: 中
セキュリティ グループでは、承認済みポートに対する無制限の受信トラフィックのみを許可する必要がある
説明: このコントロールは、使用中のセキュリティ グループが無制限の着信トラフィックを許可するかどうかを確認します。 必要に応じて、この規則に従い、"authorizedTcpPorts" パラメーターにポート番号が表示されているかどうかをチェックします。
- セキュリティ グループ規則のポート番号で無制限の着信トラフィックが許可されているが、ポート番号が "authorizedTcpPorts" で指定されている場合、コントロールは渡されます。 "authorizedTcpPorts" の既定値は、80、443 です。
- セキュリティ グループ規則のポート番号で無制限の受信トラフィックが許可されているが、ポート番号が authorizedTcpPorts 入力パラメーターに指定されていない場合、コントロールは失敗します。
- パラメーターが使用されていない場合、無制限の受信規則を持つセキュリティ グループのコントロールは失敗します。 セキュリティ グループでは、AWS へのイングレスおよびエグレス ネットワーク トラフィックのステートフル フィルタリングを実行することができます。 セキュリティ グループの規則は、最小限の特権アクセスの原則に従う必要があります。 無制限のアクセス (サフィックスが a /0 の IP アドレス) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。 ポートが明示的に許可されていない限り、そのポートに対しては、無制限のアクセスを拒否する必要があります。
重大度: 高
使用されていない EC2 EIP は、削除する必要がある
説明: VPC に割り当てられたエラスティック IP アドレスは、Amazon EC2 インスタンスまたは使用中のエラスティック ネットワーク インターフェイス (ISI) にアタッチする必要があります。
重大度: 低
Route53 ホストゾーンのプライマリ レコードに対して正常性チェックを有効にする必要がある
説明: Defender for Cloud では、正常性チェックが有効になっていない Route 53 フェールオーバー PRIMARY レコードが識別されました。 フェールオーバー中にエンドポイントの可用性を検証するには、正常性チェックが必要です。 これらのチェックを行わないと、応答しないエンドポイントや侵害されたエンドポイントにトラフィックが誤ってルーティングされ、サービスの中断のリスクが高まり、信頼性が低下する可能性があります。
重大度: 中
不足している VPC セキュリティグループを Redshift クラスターで構成する必要がある
説明: Defender for Cloud は、Amazon Redshift クラスターに存在しない VPC セキュリティ グループを特定しました。 VPC セキュリティグループは、ネットワークトラフィックを制御するために使用される仮想ファイアウォールです。 これらのグループがないと、クラスターは未承認のアクセスと潜在的なデータ侵害にさらされ、機密情報とデータの整合性が危険にさらされます。 適切なセキュリティ グループを構成することは、承認された IP アドレス、インスタンス、またはポートのみにアクセスを制限するために不可欠です。
重大度: 中
AWS SageMaker モデルでネットワーク分離を有効にする必要がある
説明: Defender for Cloud では、AWS SageMaker モデルでネットワーク分離が使用されていないことが確認されました。 ネットワーク分離は、モデルをプライベート ネットワーク環境に限定し、パブリック インターネット リソースとの直接通信を防ぎます。 この分離がなければ、モデルは、トレーニングおよび推論アクティビティ中に未承認のアクセスや潜在的なデータ傍受にさらされるリスクがあります。
重大度: 中
AWS SageMaker エンドポイントでネットワーク分離を有効にする必要がある
説明: Defender for Cloud は、AWS SageMaker エンドポイントで無効なネットワーク分離を識別しました。 ネットワーク分離により、エンドポイント通信はパブリック ネットワークではなく、承認されたプライベート チャネルに限定されます。 これを行わないと、エンドポイントは未承認のアクセスとデータ漏えいのリスクにさらされ、機密性の高い機械学習操作が損なわれる可能性があります。 ネットワーク分離を有効にすると、通信がセキュリティで保護され、規制された状態を維持するのに役立ちます。
重大度: 中
孤立した VPN ゲートウェイを AWS VPC から削除する必要がある
説明: Defender for Cloud は、AWS VPC で孤立した VPN ゲートウェイを識別しました。 孤立した VPN ゲートウェイは、VPC に接続されていない AWS VPN Gateway (VGW) です。つまり、機能上の目的は提供されません。 これにより、攻撃対象領域が増加し、意図せずにルーティングの詳細が公開される可能性があります。 孤立した VGW を削除すると、クリーンで安全なネットワーク体制を確保できます。
重大度: 低
AWS SageMaker エンドポイントで適切な VPC 構成を有効にする必要がある
説明: Defender for Cloud は、AWS SageMaker エンドポイントに存在しない VpcConfig を特定しました。 VpcConfig は、内部ネットワークへのアクセスを制限するために使用され、AWS リソースとの安全な通信が保証されます。 これを使用しないと、エンドポイントがパブリック アクセスにさらされる可能性があり、不正アクセスやデータ侵害のリスクにさらされる可能性があります。 エンドポイントのセキュリティ保護の詳細については、ガイダンスを参照してください。 詳細については、こちらを参照してください。
重大度: 中
VPC セキュリティグループで制限付きアクセスを設定する必要がある
説明: Defender for Cloud は、VPC セキュリティ グループ内の過度に制限の緩いイングレス ルールを識別しました。 VPC セキュリティグループは、受信接続のルールを適用することによってネットワークトラフィックを制御する仮想ファイアウォールです。 評価では、最小特権の原則をバイパスする 0.0.0.0/0 からのトラフィックを許可するルールが検出されました。 これにより、未承認のアクセスとブルート フォース攻撃のリスクが生じ、脆弱性の悪用につながる可能性があります。
重大度: 高
AWS Transit Gateway でセキュリティ グループの参照を有効にする必要がある
説明: Defender for Cloud は、AWS トランジット ゲートウェイでセキュリティ グループ参照機能が無効になっていることを確認しました。 セキュリティグループ参照により、アタッチされた VPC が VPC 境界を越えてセキュリティグループを参照でき、信頼関係が拡張される可能性があります。 この構成は、横攻撃や不注意によるアクセス許可リークの対象領域を増やし、マルチ VPC 環境でのネットワークセグメント化を損なうことで、リスクを伴います。
重大度: 中
サーバー名インジケーター (SNI) で Route 53 正常性チェックを有効にする必要がある
説明: Defender for Cloud では、AWS Route 53 でサーバー名インジケーター (SNI) がサポートされていない HTTPS Route 53 の正常性チェックが特定されました。 HTTPS 正常性チェックでは、TLS を使用してサーバーの証明書を予期されるホスト名と照合して検証します。SNI は、TLS ハンドシェイク中にこのホスト名を通信するメカニズムです。 SNI がない場合、正常性チェックの対象が意図しないホストであるか、証明書の検証が失敗し、監視が不正確になり、フェールオーバーの問題が発生する可能性があります。
重大度: 中
未承認のインターネットゲートウェイとエグレスのみのインターネットゲートウェイルートは、VPC ルートテーブルでブロックする必要があります
説明: Defender for Cloud は、VPC ルート テーブル内の未承認のインターネット ゲートウェイ (IGW) ルートと Egress-Only Internet Gateway (Egress-Only IGW) ルートを特定しました。 VPC ルート テーブルによってネットワーク内のトラフィック フローが決定され、これらのルートによって意図しないパブリックで安全な IPv6 アクセスが許可され、内部リソースがデータ流出や未承認のアクセスなどのリスクにさらされる可能性があります。
重大度: 高
使用されていないネットワーク アクセス コントロール リストは、削除する必要がある
説明: このコントロールは、未使用のネットワーク アクセス制御リスト (ACL) があるかどうかを確認します。 このコントロールを使用すると、リソース "AWS::EC2::NetworkAcl" のアイテム構成をチェックできることに加え、ネットワーク ACL のリレーションシップを判別することができます。 リレーションシップがネットワーク ACL の VPC のみである場合、このコントロールは失敗します。 他のリレーションシップが表示されている場合、このコントロールは合格します。
重大度: 低
VPC フローログで有効な宛先を設定する必要がある
説明: Defender for Cloud は、AWS VPC フローログに有効な LogDestination 構成が見つからないと特定しました。 VPC フローログには、セキュリティ調査と異常検出に不可欠なネットワークトラフィックデータが記録されます。 CloudWatch ログや S3 などの指定された宛先にこれらのログを送信しないと、環境が悪意のあるアクティビティの検出を逃し、コンプライアンスの問題に直面する可能性があります。
重大度: 高
アクセス ポイントで VPC 設定を有効にする必要がある
説明: Defender for Cloud は、環境内の仮想プライベートクラウド (VPC) で構成されていないアクセス ポイントを識別しました。 VPC は、パブリックインターネットの露出を制限し、機密データの安全性を確保する分離されたプライベートネットワークを提供します。 この構成がないと、アクセス ポイントは不正アクセスやデータ侵害に対して脆弱になり、ネットワーク全体のセキュリティが損なわれる可能性があります。
重大度: 中
AWS SageMaker ドメインで VPC 専用ネットワーク アクセスを構成する必要がある
説明: Defender for Cloud は、AWS SageMaker ドメインが VPC 専用ネットワーク アクセス用に構成されていないことを確認しました。 この評価では、ドメイン通信が Virtual Private Cloud (VPC) に制限されているかどうかを確認し、直接パブリック インターネット アクセスが許可されていないことを確認します。 この構成がないと、機密データが潜在的な脅威にさらされ、厳格なセキュリティ標準への準拠が損なわれ、リスクが生じます。 詳細については、こちらを参照してください。
重大度: 中
AWS SageMaker モデル用に VpcConfig を構成する必要がある
説明: Defender for Cloud では、VpcConfig が構成されていない AWS SageMaker モデルが識別されました。 VpcConfig (Virtual Private Cloud 構成) を使用すると、SageMaker モデルと他の AWS リソース間のネットワーク トラフィックが、セキュリティで保護されたプライベート環境に限定されます。 この分離がなければ、モデルはパブリック インターネットに公開されるリスクがあり、不正アクセスや潜在的なデータ侵害の可能性が高まります。
重大度: 中
VPC の既定のセキュリティ グループでは、トラフィックを制限する必要がある
説明: セキュリティ グループでは、リソースの露出を減らすためにすべてのトラフィックを制限する必要があります。
重大度: 低
GCP ネットワークに関する推奨事項
クラスター ホストは、Google API にアクセスするためにプライベートの内部 IP アドレスのみを使用するように構成する必要があります
説明: この推奨事項では、サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを評価します。
重大度: 高
コンピューティング インスタンスでは、ターゲット HTTPS プロキシを使用するように構成されているロード バランサーを使用する必要があります
説明: この推奨事項は、targetHttpProxy リソースの selfLink プロパティが転送ルールのターゲット属性と一致するかどうか、および転送ルールに外部に設定された loadBalancingScheme フィールドが含まれているかどうかを評価します。
重大度: 中
コントロール プレーン承認済みネットワークが GKE クラスターで有効になっている必要がある
説明: この推奨事項では、クラスターの masterAuthorizedNetworksConfig プロパティのキーと値のペア 'enabled': false が評価されます。
重大度: 高
望ましくない送信トラフィックをブロックするには、Egress 拒否ルールをファイアウォールに設定する必要があります
説明: この推奨事項は、ファイアウォールの destinationRanges プロパティが 0.0.0.0/0 に設定され、拒否されたプロパティにキーと値のペアが含まれているかどうかを評価します。 'IPProtocol': 'all.'
重大度: 低
Identity Aware Proxy (IAP) の背後にあるインスタンスのファイアウォール規則で、Google Cloud Loadbalancer (GCLB) の正常性チェックおよびプロキシ アドレスからのトラフィックのみが許可されていることを確認する
説明: IAP によってプロキシされた接続のみが許可されるようにすることで、IAP トラフィックのみを許可するファイアウォール規則によって VM へのアクセスを制限する必要があります。 負荷分散が正しく機能することを確認するには、正常性チェックも許可する必要があります。 IAP では、受信要求を認証することで、VM へのアクセスが制御されます。 ただし、VM に IAP 以外の IP アドレスから引き続きアクセスできる場合は、認証されていない要求をインスタンスに送信できる可能性があります。 ロード バランサーが VM の正常性と負荷分散を正しく認識するのを防ぎ、ロード ブランカーの正常性チェックがブロックされないように注意する必要があります。
重大度: 中
プロジェクトでレガシ ネットワークが存在しないことを確認する
説明: レガシ ネットワークの使用を防ぐために、プロジェクトにレガシ ネットワークを構成する必要はありません。 レガシ ネットワークには、ネットワーク全体で単一のネットワーク IPv4 プレフィックス範囲と単一のゲートウェイ IP アドレスがあります。 ネットワークの範囲はグローバルで、すべてのクラウド リージョンに配置されます。 サブネットワークはレガシ ネットワークに作成できず、レガシ から自動またはカスタムのサブネット ネットワークに切り替えることはできません。 レガシ ネットワークは、ネットワーク トラフィックの多いプロジェクトに影響を与え、単一競合点または障害点を引き起こす可能性があります。
重大度: 中
Cloud SQL PostgreSQL インスタンスの 'log_hostname' データベース フラグが適切に設定されていることを確認する
説明: PostgreSQL は、接続しているホストの IP アドレスのみをログに記録します。 "log_hostname" フラグは、ログに記録される IP アドレスに加えて、"ホスト名" のログ記録を制御します。 パフォーマンスの低下は、環境の構成とホスト名解決の設定に依存します。 このパラメーターは、"postgresql.conf" ファイルまたはサーバーのコマンド ラインでのみ設定できます。 ホスト名のログ記録によって、サーバーのパフォーマンスにオーバーヘッドが発生する可能性があります。これはログに記録される各ステートメントに対して、IP アドレスをホスト名に変換する DNS 解決が必要になるためです。 セットアップによっては、無視できない場合があります。 さらに、動的ホスト名が使用されている場合を除き、ログに記録される IP アドレスは、後でログを確認するときに DNS 名に解決することができます。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。
重大度: 低
暗号スイートの脆弱な SSL ポリシーを許可している HTTPS または SSL プロキシ ロード バランサーがないことを確認する
説明: Secure Sockets Layer (SSL) ポリシーによって、ロード バランサーへの接続時にクライアントが使用できるポートトランスポート層セキュリティ (TLS) 機能が決まります。 セキュリティで保護されていない機能の使用を防ぐために、SSL ポリシーでは、少なくとも MODERN プロファイルで TLS 1.2 を使用する必要があります。(b) RESTRICTED プロファイルは、選択した最小 TLS バージョンに関係なく、クライアントが TLS 1.2 を使用する必要があるためです。または (3) 次の機能をサポートしていない CUSTOM プロファイル: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
ロード バランサーは、複数のサーバー間でトラフィックを効率的に分散するために使用されます。 SSL プロキシと HTTPS ロード バランサーはどちらも外部ロード バランサーです。つまり、インターネットから GCP ネットワークへのトラフィックを分散します。 GCP のお客様は、クライアントが接続の確立に使用できる最小の TLS バージョン (1.0、1.1、または 1.2) と、許容される暗号スイートを指定するプロファイル (Compatible、Modern、Restricted、または Custom) を使用して、ロード バランサー SSL ポリシーを構成できます。 古いプロトコルを使用するユーザーに対応して、セキュリティで保護されていない暗号スイートを許可するように GCP ロード バランサーを構成できます。 実際、GCP の既定の SSL ポリシーでは、最小 TLS バージョン 1.0 と Compatible プロファイルが使用されます。これにより、最も広い範囲の安全でない暗号スイートを使用できます。 その結果、古い暗号スイートが許可されていることを知らなくても、お客様はロード バランサーを簡単に構成できます。
重大度: 中
すべての VPC ネットワークで Cloud DNS ログが有効になっていることを確認する
説明: クラウド DNS ログは、VPC 内のネームサーバーから Stackdriver へのクエリを記録します。 ログに記録されるクエリは、Compute Engine VM、GKE コンテナー、または VPC 内でプロビジョニングされた他の GCP リソースから取得できます。 セキュリティの監視とフォレンジックは、特にクラウド リソースの動的 IP 使用率、HTTP 仮想ホスト ルーティング、およびクライアントが使用する DNS 名を IP アドレスから隠すことができるその他のテクノロジを考慮する場合に、VPC フロー ログからの IP アドレスのみに依存することはできません。 クラウド DNS ログの監視により、VPC 内のクライアントによって要求された DNS 名が可視化されます。 これらのログは、異常なドメイン名がないか監視でき、脅威インテリジェンスに対して評価されます。
DNS を完全にキャプチャするには、クライアントが解決のために外部 DNS ネーム サーバーを使用できないように、ファイアウォールでエグレス UDP/53 (DNS) と TCP/443 (DNS over HTTPS) をブロックする必要があります。
重大度: 高
クラウド DNS に対して DNSSEC が有効になっていることを確認する
説明: クラウド ドメイン ネーム システム (DNS) は、インターネット上の何百万ものドメインを強化する、高速で信頼性が高く、コスト効率の高いドメイン ネーム システムです。
クラウド DNS のドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) を使用すると、ドメイン所有者は簡単な手順を実行して、DNS ハイジャックや中間者攻撃、およびその他の攻撃からドメインを保護することができます。
ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) は、DNS 応答の検証を有効にすることで DNS プロトコルのセキュリティを向上させます。
www.example.comなどのドメイン名を関連する IP アドレスに変換する信頼できる DNS を持つことは、今日の Web ベースのアプリケーションのますます重要な構成要素です。
攻撃者は、このドメイン/IP 検索のプロセスを乗っ取り、DNS ハイジャックと中間者攻撃を通じてユーザーを悪意のあるサイトにリダイレクトすることができます。
DNSSEC は、DNS レコードに暗号で署名することで、このような攻撃のリスクを軽減するのに役立ちます。
その結果、攻撃者が偽の DNS 応答を発行するのを防ぎ、ブラウザーを悪質な Web サイトに誤ってリダイレクトする可能性があります。
重大度: 中
インターネットからの RDP アクセスが制限されていることを確認する
説明: GCP ファイアウォール規則は VPC ネットワークに固有です。 各規則の条件が満たされるとトラフィックが許可または拒否されます。 その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。 ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。 ルール自体をネットワーク間で共有することはできません。 ファイアウォール規則は IPv4 トラフィックのみをサポートします。 アドレスでイングレス ルールの送信元またはエグレス ルールの宛先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックを使用できます。 ポート 3389 で RDP を使用してインターネットから VPC または VM インスタンスへの汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則。 これらの規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。 トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレス トラフィック フローは制御されます。 インスタンスが送信インターネット アクセスを得るには、ネットワークに有効なインターネット ゲートウェイ ルートまたは宛先 IP が指定されているカスタム ルートが必要です。 このルートは、既定のポート 3389 を使用して RDP を介して指定された最も汎用的な (0.0.0.0/0) 宛先 IP 範囲を避けるため、インターネットへのパスを単純に定義します。 インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。
重大度: 高
クラウド DNS DNSSEC でキーを署名するキーに RSASHA1 が使用されていないことを確認する
説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 このレジストリのドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) アルゴリズム番号は、CERT R で使用される場合があります。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 マネージド ゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージド ゾーンを作成すると、ユーザーは DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージド ゾーンに対して有効になります。 有効になっているマネージド ゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。
重大度: 中
クラウド DNS DNSSEC でゾーンを署名するキーに RSASHA1 が使用されていないことを確認する
説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 マネージド ゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージド ゾーンを作成すると、DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージド ゾーンに対して有効になります。 有効になっているマネージド ゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。
重大度: 中
インターネットからの SSH アクセスが制限されていることを確認する
説明: GCP ファイアウォール規則は VPC ネットワークに固有です。 各規則の条件が満たされるとトラフィックが許可または拒否されます。 その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。 ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。 ルール自体をネットワーク間で共有することはできません。 ファイアウォール規則は IPv4 トラフィックのみをサポートします。 アドレスでイングレス ルールの送信元またはエグレス ルールの送信先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックのみを使用できます。 インターネットから VPC または VM インスタンスへの、SSH を使用したポート 22 の汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。 トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレス トラフィック フローは制御されます。 インスタンスが送信インターネット アクセスを得るには、ネットワークに有効なインターネット ゲートウェイ ルートまたは宛先 IP が指定されているカスタム ルートが必要です。 このルートでは、インターネットから既定のポート '22' を使用して SSH 経由で指定された最も一般的な (0.0.0.0/0) 宛先 IP 範囲を回避するために、インターネットへのパスを定義するだけです。 インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。
重大度: 高
既定のネットワークがプロジェクトに存在しないことを確認する
説明: "既定" のネットワークを使用しないようにするには、プロジェクトに "既定" のネットワークを含めることはできません。 既定のネットワークには事前構成済みのネットワーク構成があり、安全でない次のファイアウォール規則を自動的に生成します。
- default-allow-internal: ネットワーク内のインスタンス間のすべてのプロトコルとポートにイングレス通信を許可します。
- default-allow-ssh: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 22 (SSH) でのイングレス通信を許可します。
- default-allow-rdp: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 3389 (RDP) でのイングレス通信を許可します。
- default-allow-icmp: ネットワーク内の任意のソースから任意のインスタンスへのイングレス ICMP トラフィックを許可します。
これらの自動的に作成されたファイアウォール規則は監査ログに記録されないため、ファイアウォール規則のログ記録を有効にするように構成することはできません。 さらに、既定のネットワークは "Auto" モードのネットワークです。そのため、サブネットが IP アドレスの同じ事前定義済みの範囲を使用するため、既定のネットワークとクラウド VPN または VPC ネットワーク ピアリングを使用することができません。 組織は、組織のセキュリティとネットワーク要件に基づいて、新しいネットワークを作成して既定のネットワークを削除する必要があります。
重大度: 中
VPC ネットワークの変更のためのログ メトリック フィルターとアラートが存在することを確認する
説明: Virtual Private Cloud (VPC) ネットワークの変更に対してメトリック フィルターとアラームを確立することをお勧めします。 プロジェクト内に複数の VPC を含めることもできます。 さらに、2 つの VPC 間にピア接続を作成して、ネットワーク トラフィックが VPC 間でルーティングできるようにすることもできます。 VPC に対する変更を監視すると、VPC トラフィック フローが影響を受けないようにするのに役立ちます。
重大度: 低
VPC ネットワーク ファイアウォール規則の変更のためのログ メトリック フィルターとアラートが存在することを確認する
説明: Virtual Private Cloud (VPC) ネットワーク ファイアウォール規則の変更に対してメトリック フィルターとアラームを確立することをお勧めします。 ファイアウォール規則の作成または更新のイベントを監視すると、ネットワーク アクセスの変更に関する分析情報が得られ、疑わしいアクティビティの検出にかかる時間が短縮される可能性があります。
重大度: 低
VPC ネットワーク ルートの変更のためのログ メトリック フィルターとアラートが存在することを確認する
説明: Virtual Private Cloud (VPC) ネットワーク ルートの変更に対してメトリック フィルターとアラームを確立することをお勧めします。 Google Cloud Platform (GCP) のルートでは、VM インスタンスから別の宛先までのネットワーク トラフィックがたどるパスが定義されます。 別の宛先は、組織の VPC ネットワーク内 (別の VM など) であるか、その外部である場合があります。 すべてのルートは、宛先とネクスト ホップで構成されます。 宛先 IP が宛先範囲内にあるトラフィックは、配信のためにネクスト ホップに送信されます。 ルート テーブルの変更を監視することで、すべての VPC トラフィックが、想定されたパスを通過することを確認できます。
重大度: 低
Cloud SQL PostgreSQL インスタンスの 'log_connections' データベース フラグが 'on' に設定されていることを確認する
説明: log_connections設定を有効にすると、サーバーへの接続が試行されるたびにログに記録され、クライアント認証が正常に完了します。 このパラメーターは、セッションの開始後に変更することはできません。 PostgreSQL では、試行された接続は既定ではログに記録されません。 log_connections設定を有効にすると、試行された接続ごとにログ エントリが作成され、クライアント認証が正常に完了します。これは、問題のトラブルシューティングやサーバーへの異常な接続試行の特定に役立ちます。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。
重大度: 中
Cloud SQL PostgreSQL インスタンスの 'log_disconnections' データベース フラグが 'on' に設定されていることを確認する
説明: log_disconnections設定を有効にすると、セッション期間を含め、各セッションの終了がログに記録されます。 PostgreSQL では、期間やセッションの終了などのセッションの詳細は既定ではログに記録されません。 log_disconnections設定を有効にすると、各セッションの最後にログ エントリが作成されます。これは、問題のトラブルシューティングや、一定期間にわたる異常なアクティビティの特定に役立ちます。 log_disconnections と log_connections は連携して動作し、一般的に、これらのペアは一緒に有効または無効になります。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。
重大度: 中
VPC フロー ログが VPC ネットワーク内のすべてのサブネットで有効になっていることを確認する
説明: フロー ログは、組織の VPC サブネット内のネットワーク インターフェイスとの間で送受信される IP トラフィックに関する情報をユーザーがキャプチャできるようにする機能です。 フロー ログが作成されると、ユーザーは Stackdriver ログでデータを表示および取得できます。 ビジネスクリティカルな VPC サブネットごとにフローログを有効にすることをお勧めします。 VPC ネットワークとサブネットワークにより、GCP リソースを配置できる、論理的に分離されセキュリティで保護されたネットワーク パーティションが提供されます。 サブネットに対してフロー ログが有効になっている場合、そのサブネット内の VM では、すべての伝送制御プロトコル (TCP) フローとユーザー データグラム プロトコル (UDP) フローに関するレポートが開始されます。 各 VM では、フローが別の VM、オンプレミスのデータセンター内のホスト、Google サービス、またはインターネット上のホストなどのいずれとの間のフローであるかに関係なく、観察される受信と送信の TCP フローと UDP フローがサンプリングされます。 2 つの GCP VM が通信していて、これらの両方が、VPC フロー ログが有効になっているサブネット内にある場合、両方の VM でフローが報告されます。 フロー ログでは、次のユース ケースがサポートされています。1. ネットワーク監視。 2. ネットワークの使用状況の理解とネットワーク トラフィックのコストの最適化。 3. ネットワーク フォレンジクス。 4. リアルタイムセキュリティ分析フロー ログは、サブネット内の各 VM のネットワーク トラフィックを可視化し、セキュリティ ワークフロー中に異常なトラフィックや分析情報を検出するために使用できます。
重大度: 低
ファイアウォール規則のログ記録を有効にする必要がある
説明: この推奨事項では、ファイアウォール メタデータの logConfig プロパティを評価して、空であるか、キーと値のペア 'enable' が含まれているかどうかを確認します。
重大度: 中
ファイアウォールをパブリック アクセスに対してオープンに構成しないでください
説明: この推奨事項では、次の 2 つの構成のいずれかで sourceRanges と許可されるプロパティを評価します。
sourceRanges プロパティに 0.0.0.0/0 が含まれています。許可されたプロパティには、以下を除く、任意のプロトコルまたは protocol:port を含む規則の組み合わせが含まれています。
- icmp
- tcp: 22
- tcp: 443
- tcp: 3389
- udp: 3389
- sctp: 22
sourceRanges プロパティには、非プライベート IP アドレスを含む IP 範囲の組み合わせが含まれており、許可されるプロパティには、すべての tcp ポートまたはすべての udp ポートを許可する規則の組み合わせが含まれています。
重大度: 高
ファイアウォールは、汎用アクセスを許可する開かれた CASSANDRA ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。TCP: 7000-7001、7199、8888、9042、9160、61620-61621。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた CISCOSECURE_WEBSM ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 9090。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれたDIRECTORY_SERVICES ポートを持つように構成しないでください
説明: この推奨事項では、TCP: 445 と UDP: 445 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた DNS ポートを持つように構成しないでください
説明: この推奨事項では、TCP: 53 と UDP: 53 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた ELASTICSEARCH ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 9200、9300。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた FTP ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 21。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた HTTP ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 80。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた LDAP ポートを持つように構成しないでください
説明: この推奨事項では、TCP: 389、636、UDP: 389 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた MEMCACHED ポートを持つように構成しないでください
説明: この推奨事項では、TCP: 11211、11214-11215、UDP: 11211、11214-11215 の各プロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた MONGODB ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 27017-27019。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた MYSQL ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 3306。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた NETBIOS ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。TCP: 137-139 および UDP: 137-139。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた ORACLEDB ポートを持つように構成しないでください
説明: この推奨事項は、ファイアウォール メタデータで許可されているプロパティを、TCP: 1521、2483-2484、UDP: 2483-2484 のプロトコルとポートで評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた POP3 ポートを持つように構成しないでください
説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 110。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた PostgreSQL ポートを持つように構成しないでください
説明: この推奨事項では、TCP: 5432 および UDP: 5432 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた REDIS ポートを持つように構成しないでください
説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 6379 のプロトコルとポートが含まれているかどうかを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた SMTP ポートを持つように構成しないでください
説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 25 のプロトコルとポートが含まれているかどうかを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた SSH ポートを持つように構成しないでください
説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 22 と SCTP: 22 のプロトコルとポートが含まれているかどうかを評価します。
重大度: 低
ファイアウォールは、汎用アクセスを許可する開かれた TELNET ポートを持つように構成しないでください
説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 23 のプロトコルとポートが含まれているかどうかを評価します。
重大度: 低
GKE クラスターではエイリアス IP 範囲を有効にする必要があります
説明: この推奨事項では、クラスター内の ipAllocationPolicy の useIPAliases フィールドが false に設定されているかどうかを評価します。
重大度: 低
Memcached インスタンスの Memorystore 用にカスタム VPC ネットワークを構成する必要がある
説明: Defender for Cloud は、Memcached インスタンスのメモリストアに対する承認されたネットワークとして、グローバルデフォルト VPC ネットワークの使用を識別しました。 デフォルトの VPC ネットワークは、多くの場合、制限の少ないファイアウォール規則で広く構成されており、システム間での意図しない内部アクセスや横移動のリスクが高まります。 専用または厳密に制御された VPC ネットワークを使用すると、明示的に承認されたワークロードのみがキャッシュされたデータにアクセスできるため、攻撃対象領域が減少します。
重大度: 中
Redis インスタンスの Memorystore 用にカスタム VPC ネットワークを構成する必要がある
説明: Defender for Cloud は、Redis インスタンスの Memorystore に対するグローバルデフォルト VPC ネットワークの使用を特定しました。 デフォルトの VPC ネットワークは広くスコープが広く、通常は制限の緩いファイアウォール規則を持ち、承認されていない内部サービスがキャッシュされたデータにアクセスしてシステム間で横方向に移動するリスクが高まります。 専用または厳密に制御された VPC ネットワークを構成すると、承認されたワークロードにのみアクセスを制限できます。
重大度: 中
Filestore インスタンスでカスタム VPC ネットワークを構成する必要がある
説明: Defender for Cloud によって、既定の VPC ネットワークで実行されている Filestore インスタンスが特定されました。 既定のネットワークは共有環境であり、通常、機密データ ストレージに必要な厳密なセグメント化と分離されたファイアウォール境界がありません。 この構成により、横移動や不正アクセスのリスクが高まります。 カスタム VPC ネットワークに Filestore をデプロイすると、より厳密な分離と強化されたネットワーク制御を提供できます。 詳細については、こちらを参照してください。
重大度: 中
VPC ネットワークピアリングでカスタムルートのエクスポートを無効にする必要がある
説明: Defender for Cloud によって、VPC ネットワーク ピアリング構成で有効になっているカスタム ルートのエクスポートが識別されました。 カスタム ルートエクスポートを使用すると、ピアリングされたネットワーク間で非ネイティブ ルートを交換できます。これにより、1 つのネットワークが侵害された場合に、分離された環境が承認されていない横移動にさらされる可能性があります。
重大度: 低
新しいデータベースの既定のバックアップ スケジュールを有効にする必要がある
説明: Defender for Cloud は、AlloyDB インスタンスでパブリック IP が有効になっていることを確認しました。 パブリック IP を有効にすると、インスタンスは外部 IP アドレスを受け取り、インターネットに直接公開できます。 これにより、露出が増加し、ブルート フォース攻撃や脆弱性の悪用につながる可能性があります。 パブリック IP を無効にし、プライベート接続を使用すると、セキュリティで保護された制限付きアクセス環境を維持できます。
重大度: 高
許可される過剰なポートは、GCP 転送ルールの重要なサービスに制限する必要があります
説明: Defender for Cloud は、GCP 転送ルールでの過剰なポート露出を特定しました。 評価では、内部 TCP/UDP ロード バランサーで allPorts プロパティが有効になっている場合、すべてのポート (1 から 65535) でトラフィックを許可し、レイヤー 4 のセキュリティ制御をバイパスすることが判明しました。 これにより、VPC 内で意図しない横移動が発生するリスクが高まります。 重要なサービスに必要なポートに制限すると、この悪用リスクが軽減されます。
重大度: 中
GKE クラスターではプライベート クラスターを有効にする必要があります
説明: この推奨事項では、privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを評価します。
重大度: 高
GCP プライベート サービス接続エンドポイントに対してグローバル アクセスを無効にする必要がある
説明: Defender for Cloud は、GCP プライベート サービス接続エンドポイントで有効になっているグローバル アクセスを特定しました。 このコンテキストでは、allowPscGlobalAccess プロパティは、リージョン エンドポイントが他のリージョンからの接続を受け入れることを許可します。これにより、機密性の高いサービス添付ファイルが承認されていないリージョン間接続に誤って公開される可能性があります。 これにより、データ侵害のリスクが高くなり、トラフィックの分離が損なわれる可能性があるため、エンドポイントをローカル リージョンに制限することをお勧めします。
重大度: 中
Load Balancer バックエンド サービスで不足しているクラウド ログ記録を有効にする必要がある
説明: Defender for Cloud は、Load Balancer バックエンド サービスで無効なログ記録を識別しました。 これらのサービスは、バックエンド サーバー間でネットワーク トラフィックを分散し、要求と接続のメタデータをキャプチャするために詳細なログ記録に依存します。 ログを記録しないと、トラフィック パターンを分析し、潜在的なセキュリティ インシデントを検出することが困難になり、フォレンジック調査と全体的な脅威検出機能が妨げられます。 詳細については、 https://cloud.google.com/load-balancing/docs/https/https-logging-monitoringを参照してください。
重大度: 低
VPC に deny-all ネットワーク ACL がありません
説明: Defender for Cloud は、VPC が既定のネットワーク ACL を使用していることを確認しました。 ネットワーク ACL は、受信トラフィックと送信トラフィックの両方を制御するサブネット レベルのファイアウォールです。 既定の allow-all 構成を使用すると、明示的に許可されるまでトラフィックが制限されないため、リソースにリスクが生じ、未承認のアクセスやデータ侵害が可能になります。
重大度: 高
GKE クラスターでネットワーク ポリシーを有効にする必要がある
説明: この推奨事項では、キーと値のペア 'disabled' の addonsConfig プロパティの networkPolicy フィールドを評価します。true。
重大度: 中
AlloyDB クラスターでプライベート サービス接続を有効にする必要がある
説明: プライベート サービス接続 (PSC) が有効になっていない、Defender for Cloud によって識別された AlloyDB クラスター。 PSC を使用すると、従来の VPC ピアリングではなく、専用エンドポイント経由でクラスターにアクセスできます。 PSC がないと、クラスターは、IP アドレスの重複や、ピアリングされたネットワーク間での横移動の可能性の増加などのネットワーク リスクにさらされたままです。 PSC を有効にすると、分離が向上し、エンドポイント管理をより制御できるため、これらのリスクが軽減されます。
重大度: 低
CodeArtifact ドメインに対してパブリック アクセス制限を構成する必要がある
説明: Defender for Cloud は、ワイルドカード プリンシパルを許可するアクセス ポリシーを持つ AWS CodeArtifact ドメインを特定しました。 これらのポリシーにより、外部アカウントの ID を含むすべての AWS ID がドメインと対話できるようになります。 これにより、承認されていない承認トークンの発行、承認されていないリポジトリの作成、および管理上の変更のリスクが生じます。 セキュリティで保護された境界を維持し、露出を減らすには、明示的に信頼されたプリンシパルへのアクセスを制限することが不可欠です。
重大度: 高
CodeArtifact リポジトリで推移的な外部パッケージ インジェストの制限を有効にする必要がある
説明: Defender for Cloud は、CodeArtifact リポジトリ内の推移的な外部パッケージ インジェストを識別しました。 直接的で明示的な構成を使用するのではなく、アップストリーム ソースから外部接続を継承する評価フラグ付きリポジトリ。 この推移的な信頼パスにより、パブリック ソースからのパッケージを適切な審査なしで内部システムに流し込むことができます。これにより、依存関係チェーンやダウンストリーム ビルド システムに脆弱または未検証のパッケージが導入されるリスクが高まります。
重大度: 高
CodePipeline Webhook 構成で強力な認証を有効にする必要がある
説明: Defender for Cloud は、CodePipeline Webhook 構成で脆弱な認証を識別しました。 CodePipeline Webhook は、信頼されたソースと検証済みのソースからのみアクションをトリガーするように設計されています。 強力な認証がないと、承認されていないパーティが Webhook をトリガーし、望ましくないアクション、過剰なリソースの使用、またはサービス拒否 (DoS) 状態につながる可能性があります。
重大度: 高
サブネット グループは、プライベート サブネットを持つ DAX クラスターで構成する必要があります
説明: Defender for Cloud は、DAX クラスターが既定のサブネット グループを使用しているか、サブネット グループが構成されていないことを確認しました。 既定のサブネット グループには、直接インターネット ルーティングと自動パブリック IP 割り当てを持つパブリック サブネットが含まれており、クラスターに不要なセキュリティ リスクが発生します。 未承認のネットワーク アクセスから DAX クラスターを分離して保護するには、プライベート サブネットを含む適切に構成されたサブネット グループが不可欠です。 プライベート サブネットは、データベース キャッシュへの直接インターネット アクセスを防ぐことで、多層防御のセキュリティを確保します。
重大度: 中
GCP 内部転送ルールに対して無制限のグローバル アクセスを無効にする必要がある
説明: Defender for Cloud は、GCP 内部転送規則で無制限のグローバル アクセスを識別しました。 allowGlobalAccess フラグが有効になっているため、内部ロード バランサーは、特定のリージョンに限定されるのではなく、同じ VPC 内の任意のリージョンからのトラフィックを受け入れることが可能になります。 これにより、地域のデータ所在地の要件に違反するリスクが高くなり、セキュリティ侵害の潜在的な爆発半径が拡大します。
重大度: 低