Aanbevelingen voor gegevensbeveiliging

Dit artikel bevat alle aanbevelingen voor gegevensbeveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt uitvoeren als reactie op deze aanbevelingen.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Azure aanbevelingen voor gegevens

Azure Cosmos DB moet openbare netwerktoegang uitschakelen

Beschrijving: Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Cosmos DB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Cosmos DB-account beperken. Meer informatie. (Gerelateerd beleid: Azure Cosmos DB moet openbare netwerktoegang uitschakelen).

Ernst: gemiddeld

(Inschakelen indien nodig) Azure Cosmos DB accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met CMK's kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/cosmosdb-cmk. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Versleuteling at rest van uw Azure Machine Learning werkruimtegegevens beheren met door de klant beheerde sleutels (CMK). Standaard worden de klantgegevens versleuteld met door service beheerde sleutels, maar CMK‘s zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met CMK's kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/azureml-workspaces-cmk. (Gerelateerd beleid: Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)).

Ernst: Laag

Azure SQL Database TLS-versie 1.2 of hoger moet worden uitgevoerd

Description: TLS-versie instellen op 1.2 of hoger verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients die TLS 1.2 of hoger gebruiken. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. (Gerelateerd beleid: Azure SQL Database moet TLS-versie 1.2 of hoger worden uitgevoerd).

Ernst: gemiddeld

Azure SQL Beheerde exemplaren moeten openbare netwerktoegang uitschakelen

Description: het uitschakelen van openbare netwerktoegang (openbaar eindpunt) op Azure SQL Beheerde exemplaren verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Meer informatie over openbare netwerktoegang. (Gerelateerd beleid: Azure SQL Beheerde exemplaren moeten openbare netwerktoegang uitschakelen).

Ernst: gemiddeld

Cosmos DB-accounts moeten private link gebruiken

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Wanneer privé-eindpunten worden toegewezen aan uw Cosmos DB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen. (Gerelateerd beleid: Cosmos DB-accounts moeten gebruikmaken van private link).

Ernst: gemiddeld

(Inschakelen indien nodig) MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met CMK's kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor MySQL-servers).

Ernst: Laag

(Inschakelen indien nodig) PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met CMK's kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor PostgreSQL-servers).

Ernst: Laag

(Inschakelen indien nodig) Met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Het implementeren van Transparent Data Encryption (TDE) met uw eigen sleutel biedt u meer transparantie en controle over de TDE-protector, verbeterde beveiliging met een externe service met HSM-ondersteuning en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: Beheerde SQL-exemplaren moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Het implementeren van Transparent Data Encryption (TDE) met uw eigen sleutel biedt meer transparantie en controle over de TDE-protector, verbeterde beveiliging met een externe service met HSM-ondersteuning en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).

Ernst: Laag

(Inschakelen indien nodig) Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling

Beschrijving: Aanbevelingen voor het gebruik van door de klant beheerde sleutels voor versleuteling van data-at-rest worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Beveilig uw opslagaccount met meer flexibiliteit met behulp van door klant beheerde sleutels (CMK's). Wanneer u een CMK opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van CMK's biedt extra mogelijkheden voor het beheren van de rotatie van de sleutelversleutelingssleutel of het cryptografisch wissen van gegevens. (Gerelateerd beleid: Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling.

Ernst: Laag

Openbare toegang tot een opslagaccount moet niet worden toegestaan

Description: Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Als u gegevensschendingen wilt voorkomen die worden veroorzaakt door ongewenste anonieme toegang, raadt Microsoft aan om openbare toegang tot een opslagaccount te voorkomen, tenzij dit in uw scenario is vereist.

Gerelateerd beleid: openbare toegang tot opslagaccounts moet niet zijn toegestaan

Ernst: gemiddeld

Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van het beheerde SQL-exemplaar

Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging in te schakelen op uw beheerde SQL-exemplaren. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)

Ernst: gemiddeld

Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van SQL-servers

Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging op uw SQL-servers in te schakelen. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)

Ernst: gemiddeld

API Management-services moeten een virtueel netwerk gebruiken

Description: Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en kunt u uw API Management-service in een niet-internetrouteerbaar netwerk plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. (Gerelateerd beleid: API Management-services moeten gebruikmaken van een virtueel netwerk).

Ernst: gemiddeld

Voor App Configuration moeten privékoppelingen worden gebruikt

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. (Gerelateerd beleid: App Configuration moet gebruikmaken van private link).

Ernst: gemiddeld

Retentie voor controle voor SQL-servers moet op ten minste 90 dagen worden ingesteld

Beschrijving: SQL-servers controleren die zijn geconfigureerd met een bewaarperiode voor controle van minder dan 90 dagen. (Gerelateerd beleid: SQL-servers moeten worden geconfigureerd met 90 dagen controleretentie of hoger.)

Ernst: Laag

Controle op SQL-servers moet zijn ingeschakeld

Description: Schakel controle in op uw SQL Server om databaseactiviteiten in alle databases op de server bij te houden en op te slaan in een auditlogboek. (Gerelateerd beleid: Controle op SQL Server moet zijn ingeschakeld).

Ernst: Laag

Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen

Description: Om te controleren op beveiligingsproblemen en bedreigingen, verzamelt Microsoft Defender voor Cloud gegevens van uw Azure virtuele machines. Gegevens worden verzameld door de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende beveiligingsconfiguraties en gebeurtenislogboeken van de computer leest en de gegevens kopieert naar uw Log Analytics werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure VM's en nieuwe vm's die worden gemaakt. (Gerelateerd beleid: Auto-inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement).

Ernst: Laag

Azure Cache voor Redis zich in een virtueel netwerk moet bevinden

Description: Azure Virtual Network (VNet)-implementatie biedt verbeterde beveiliging en isolatie voor uw Azure Cache voor Redis, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een Azure Cache voor Redis exemplaar is geconfigureerd met een VNet, is het niet openbaar adresseerbaar en kan het alleen worden geopend vanuit virtuele machines en toepassingen binnen het VNet. (Gerelateerd beleid: Azure Cache voor Redis moet zich in een virtueel netwerk bevinden).

Ernst: gemiddeld

Azure Database for MySQL moet een Microsoft Entra beheerder hebben ingericht

Description: richt een Microsoft Entra beheerder in voor uw Azure Database for MySQL om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer mogelijk voor databasegebruikers en andere Microsoft-services (gerelateerd beleid: a Microsoft Entra beheerder moet worden ingericht voor MySQL-servers).

Ernst: gemiddeld

Azure Database for PostgreSQL moet een Microsoft Entra-beheerder hebben ingericht

Description: richt een Microsoft Entra beheerder in voor uw Azure Database for PostgreSQL om Microsoft Entra-verificatie in te schakelen. Microsoft Entra verificatie zorgt voor vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services
(Gerelateerd beleid: a Microsoft Entra-beheerder moet worden ingericht voor PostgreSQL-servers).

Ernst: gemiddeld

Azure Database for PostgreSQL flexibele server moet alleen Microsoft Entra verificatie hebben ingeschakeld

Description: Het uitschakelen van lokale verificatiemethoden en het vereisen van Microsoft Entra verificatie verbetert de beveiliging door ervoor te zorgen dat Azure Database for PostgreSQL flexibele server alleen toegankelijk is voor Microsoft Entra identiteiten (gerelateerd beleid: Azure De flexibele PostgreSQL-server moet Microsoft Entra Alleen verificatie zijn ingeschakeld).

Ernst: gemiddeld

Azure Cosmos DB accounts moeten firewallregels hebben

Description: Firewallregels moeten worden gedefinieerd voor uw Azure Cosmos DB-accounts om te voorkomen dat verkeer niet-geautoriseerde bronnen bevat. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten firewallregels hebben).

Ernst: gemiddeld

Azure Event Grid domeinen moeten private link gebruiken

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw Event Grid-domeinen in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid domeinen moeten gebruikmaken van private link).

Ernst: gemiddeld

Azure Event Grid onderwerpen moeten private link gebruiken

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Als u privé-eindpunten toewijst aan uw onderwerpen in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid onderwerpen moeten gebruikmaken van private link).

Ernst: gemiddeld

Azure Machine Learning werkruimten moeten private link gebruiken

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw Azure Machine Learning werkruimten in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/azureml-workspaces-privatelink. (Gerelateerd beleid: Azure Machine Learning werkruimten moeten gebruikmaken van private link).

Ernst: gemiddeld

Azure SignalR Service moet private link gebruiken

Description: met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te wijzen aan uw SignalR-resources in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/asrs/privatelink. (Gerelateerd beleid: Azure SignalR Service moet private link gebruiken).

Ernst: gemiddeld

Azure Spring Cloud moet netwerkinjectie gebruiken

Description: Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Isoleer Azure Spring Cloud van internet. 2. Schakel Azure Spring Cloud in om te communiceren met systemen in on-premises datacenters of Azure service in andere virtuele netwerken. 3. Klanten in staat stellen binnenkomende en uitgaande netwerkcommunicatie te beheren voor Azure Spring Cloud. (Gerelateerd beleid: Azure Spring Cloud moet netwerkinjectie gebruiken).

Ernst: gemiddeld

SQL-servers moeten een Microsoft Entra-beheerder hebben ingericht

Description: richt een Microsoft Entra beheerder in voor uw SQL-server om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk. (Gerelateerd beleid: a Microsoft Entra-beheerder moet worden ingericht voor SQL-servers).

Ernst: Hoog

Azure Synapse werkruimteverificatiemodus moet alleen worden Microsoft Entra ID

Description: Azure Synapse werkruimteverificatiemodus moet Microsoft Entra ID Alleen Microsoft Entra ID alleen verificatiemethoden de beveiliging verbeteren door ervoor te zorgen dat Synapse-werkruimten uitsluitend Microsoft Entra ID identiteiten vereisen voor Verificatie. Meer informatie. (Gerelateerd beleid: Synapse-werkruimten mogen alleen Microsoft Entra ID identiteiten gebruiken voor verificatie).

Ernst: gemiddeld

In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost

Description: Defender voor DevOps heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)

Ernst: gemiddeld

De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost

Ernst: gemiddeld

Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost

Description: Defender voor DevOps heeft infrastructuur gevonden als problemen met de configuratie van codebeveiliging in opslagplaatsen. De onderstaande problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen. (Geen gerelateerd beleid)

Ernst: gemiddeld

Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost

Description: Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Beveiliging DevOps CredScan alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen. (Geen gerelateerd beleid)

Ernst: Hoog

Voor Cognitive Services-accounts moet gegevensversleuteling zijn ingeschakeld

Beschrijving: Dit beleid controleert alle Cognitive Services-accounts die geen gegevensversleuteling gebruiken. Voor elk account met opslag moet u gegevensversleuteling inschakelen met door de klant beheerde of Microsoft beheerde sleutel. (Gerelateerd beleid: Cognitive Services-accounts moeten gegevensversleuteling inschakelen).

Ernst: Laag

Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen

Beschrijving: Met dit beleid worden alle Cognitive Services-accounts gecontroleerd die geen gebruik maken van opslag in eigendom van de klant of gegevensversleuteling. Voor alle Cognitive Services-accounts met opslag gebruikt u opslag van de klant of schakelt u gegevensversleuteling in. Wordt uitgelijnd met Microsoft Cloud Security Benchmark. (Gerelateerd beleid: Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen.)

Ernst: Laag

Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld

Ernst: Laag

E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld

Description: Schakel e-mailmeldingen in voor waarschuwingen met hoge ernst in Defender voor Cloud om ervoor te zorgen dat de relevante personen in uw organisatie op de hoogte worden gesteld van een mogelijke beveiligingsschending in een van uw abonnementen. (Gerelateerd beleid: E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).

Ernst: Laag

E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld

Description: Stel e-mailmeldingen in op abonnementseigenaren voor waarschuwingen met een hoge ernst in Defender voor Cloud om ervoor te zorgen dat uw abonnementseigenaren op de hoogte worden gesteld wanneer er sprake is van een mogelijke beveiligingsschending in hun abonnement. (Gerelateerd beleid: E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).

Ernst: gemiddeld

SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers

Description: Azure Database for MySQL ondersteunt het verbinden van uw Azure Database for MySQL-server met clienttoepassingen met behulp van SSL (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers).

Ernst: gemiddeld

SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers

Description: Azure Database for PostgreSQL ondersteunt het verbinden van uw Azure Database for PostgreSQL-server met clienttoepassingen met ssl (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers).

Ernst: gemiddeld

Functie-apps moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Het scannen van runtimeproblemen op functies scant uw functie-apps op beveiligingsproblemen en toont gedetailleerde bevindingen. Het oplossen van de beveiligingsproblemen kan de beveiligingsstatus van uw serverloze toepassingen aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Geen gerelateerd beleid)

Ernst: Hoog

Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL

Description: met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geo-redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL).

Ernst: Laag

Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL

Description: Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geo-redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL).

Ernst: Laag

GitHub opslagplaatsen moeten codescans hebben ingeschakeld

Description: GitHub maakt gebruik van codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, GitHub een waarschuwing in de opslagplaats weergeven. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid)

Ernst: gemiddeld

GitHub opslagplaatsen moeten het scannen van Dependabot hebben ingeschakeld

Description: GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid)

Ernst: gemiddeld

GitHub opslagplaatsen moeten het scannen van geheimen zijn ingeschakeld

Description: GitHub scant opslagplaatsen op bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor Azure SQL Database servers moet zijn ingeschakeld

Description: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database en het detecteren en classificeren van gevoelige gegevens.

Beveiligingen van dit abonnement worden in rekening gebracht zoals weergegeven op de pagina Defender-abonnementen. Als u geen Azure SQL Database servers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure SQL Database servers in dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio.

Meer informatie vindt u in Inleiding tot Microsoft Defender voor SQL. (Gerelateerd beleid: Azure Defender voor Azure SQL Database servers moet zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor DNS moet zijn ingeschakeld

Description: Microsoft Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Defender voor DNS-waarschuwingen over verdachte activiteiten op de DNS-laag. Meer informatie vindt u in Inleiding tot Microsoft Defender voor DNS. Als u dit Defender plan inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor opensource-relationele databases moet zijn ingeschakeld

Description: Microsoft Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om databases te openen of misbruiken. Meer informatie vindt u in Inleiding tot Microsoft Defender voor opensource-relationele databases.

Als u dit plan inschakelt, worden er kosten in rekening gebracht voor het beveiligen van uw opensource-relationele databases. Als u geen opensource-relationele databases in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst opensource-relationele databases voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor Resource Manager moet zijn ingeschakeld

Description: Microsoft Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie. Defender voor Cloud bedreigingen detecteert en waarschuwt u voor verdachte activiteiten. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Resource Manager. Als u dit Defender plan inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)

Ernst: Hoog

Microsoft Defender voor SQL op computers moet zijn ingeschakeld voor werkruimten

Description: Microsoft Defender voor servers brengt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender inschakelt voor servers in een werkruimte, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender abonnementen ingeschakeld. Tenzij u ook Microsoft Defender inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)

Ernst: gemiddeld

Microsoft Defender voor SQL-servers op computers moet zijn ingeschakeld

Als u deze aanbeveling verhelpt, worden kosten in rekening gebracht voor het beveiligen van uw SQL-servers op computers. Als u geen SQL-servers op computers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst SQL-servers op computers maakt voor dit abonnement, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie over Microsoft Defender voor SQL-servers op computers. (Gerelateerd beleid: Azure Defender voor SQL-servers op computers moet zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers

Description: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven op pricing details per regio. (Gerelateerd beleid: Geavanceerde gegevensbeveiliging moet zijn ingeschakeld op uw SQL-servers).

Ernst: Hoog

Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances

Description: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven op pricing details per regio. (Gerelateerd beleid: Aangede gegevensbeveiliging moet zijn ingeschakeld op SQL Managed Instance).

Ernst: Hoog

Microsoft Defender voor Opslag moet zijn ingeschakeld

Description: Microsoft Defender voor opslag detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts.

Beveiligingen van dit abonnement worden in rekening gebracht zoals weergegeven op de pagina Defender-abonnementen. Als u geen Azure Storage accounts in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure Storage accounts voor dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Storage. (Gerelateerd beleid: Azure Defender voor Opslag moet zijn ingeschakeld).

Ernst: Hoog

Network Watcher moet zijn ingeschakeld

Description: Network Watcher is een regionale service waarmee u voorwaarden kunt bewaken en diagnosticeren op netwerkscenarioniveau in, van en naar Azure. Met bewaking op scenarioniveau kunt u problemen vaststellen in een end-to-end netwerkniveauweergave. Hulpprogramma's voor netwerkdiagnose en visualisaties die beschikbaar zijn met Network Watcher helpen u inzicht te krijgen in uw netwerk in Azure. (Gerelateerd beleid: Network Watcher moet zijn ingeschakeld).

Ernst: Laag

Privé-eindpuntverbindingen op Azure SQL Database moeten zijn ingeschakeld

Description: Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door privéconnectiviteit met Azure SQL Database in te schakelen. (Gerelateerd beleid: Private-eindpuntverbindingen op Azure SQL Database moeten zijn ingeschakeld).

Ernst: gemiddeld

Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers

Description: met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door privéconnectiviteit met Azure Database for MySQL in te schakelen. Configureer een privé-eindpuntverbinding om toegang tot verkeer dat alleen afkomstig is van bekende netwerken in te schakelen en toegang te voorkomen vanaf alle andere IP-adressen, inclusief binnen Azure. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor MySQL-servers).

Ernst: gemiddeld

Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers

Description: Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door privéconnectiviteit met Azure Database for PostgreSQL in te schakelen. Configureer een privé-eindpuntverbinding om toegang tot verkeer dat alleen afkomstig is van bekende netwerken in te schakelen en toegang te voorkomen vanaf alle andere IP-adressen, inclusief binnen Azure. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers).

Ernst: gemiddeld

Openbare netwerktoegang op Azure SQL Database moet worden uitgeschakeld

Description: als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. (Gerelateerd beleid: Toegang tot openbare netwerken op Azure SQL Database moet worden uitgeschakeld).

Ernst: gemiddeld

Openbare netwerktoegang moet zijn uitgeschakeld voor Cognitive Services-accounts

Beschrijving: Met dit beleid worden alle Cognitive Services-accounts in uw omgeving gecontroleerd waarvoor openbare netwerktoegang is ingeschakeld. De toegang tot openbare netwerken moet zijn uitgeschakeld zodat alleen verbindingen van privé-eindpunten zijn toegestaan. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor Cognitive Services-accounts).

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers

Description: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie schakelt de toegang strikt uit vanuit elke openbare adresruimte buiten Azure IP-bereik en weigert alle aanmeldingen die overeenkomen met ip- of virtuele netwerkfirewallregels. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers).

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers

Description: schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk zijn vanaf een privé-eindpunt. Met deze configuratie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met ip- of virtuele netwerkfirewallregels. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers).

Ernst: gemiddeld

Redis Cache mag alleen toegang via SSL toestaan

Beschrijving: Schakel alleen verbindingen in via SSL naar Redis Cache. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking. (Gerelateerd beleid: Only beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld).

Ernst: Hoog

SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost

Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (gerelateerd beleid: Beveiligingsproblemen in uw SQL-databases moeten worden hersteld).

Ernst: Hoog

Voor BEHEERDE SQL-exemplaren moet evaluatie van beveiligingsproblemen zijn geconfigureerd

Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: evaluatie van Vulnerability moet zijn ingeschakeld op SQL Managed Instance).

Ernst: Hoog

SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost

Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (Gerelateerd beleid: Beveiligingsproblemen op uw SQL-servers op de computer moeten worden hersteld).

Ernst: Hoog

SQL-servers moeten een Microsoft Entra-beheerder hebben ingericht

Ernst: Hoog

SQL-servers moeten evaluatie van beveiligingsproblemen hebben geconfigureerd

Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op uw SQL-servers).

Ernst: Hoog

Voor een opslagaccount moet een verbinding via een privékoppeling worden gebruikt

Beschrijving: Privékoppelingen dwingen beveiligde communicatie af door privéconnectiviteit met het opslagaccount te bieden (gerelateerd beleid: Opslagaccount moet een private link-verbinding gebruiken).

Ernst: gemiddeld

Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources

Description: Als u wilt profiteren van nieuwe mogelijkheden in Azure Resource Manager, kunt u bestaande implementaties migreren vanuit het klassieke implementatiemodel. Resource Manager maakt beveiligingsverbeteringen mogelijk, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van ARM, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure AD-verificatie en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer. Meer informatie (gerelateerd beleid: Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager resources).

Ernst: Laag

Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen

Description: Controlevereiste van Microsoft Entra ID (Microsoft Entra ID) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Microsoft Entra ID referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Microsoft Entra ID superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. (Gerelateerd beleid: beleid)

Opmerking

Voor sommige Azure-services is nog steeds gedeelde sleuteltoegang tot de functie vereist. Microsoft Configuration Manager (SCCM) Cloud Management Gateway (CMG) maakt bijvoorbeeld gebruik van op gedeelde sleutels gebaseerde autorisatie voor de onderliggende opslagaccounts. Als u toegang tot gedeelde sleutels uitschakelt voor opslagaccounts die worden gebruikt door CMG, wordt de CMG-functionaliteit verbroken. Als u CMG of andere services gebruikt die afhankelijk zijn van toegang tot gedeelde sleutels, moet u deze opslagaccounts uitsluiten van deze aanbeveling in plaats van het toepassen van het herstel. Houd de gerelateerde Azure Policy in Audit modus in plaats van Deny voor deze accounts en documenteer de zakelijke reden voor de uitzondering.

Ernst: gemiddeld

Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken

Beschrijving: Bescherm uw opslagaccounts tegen mogelijke bedreigingen met behulp van regels voor virtuele netwerken als voorkeursmethode in plaats van filteren op basis van IP. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. (Gerelateerd beleid: Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken).

Ernst: gemiddeld

Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten

Description: Als u ervoor wilt zorgen dat de relevante personen in uw organisatie op de hoogte worden gesteld wanneer er sprake is van een mogelijke beveiligingsschending in een van uw abonnementen, stelt u een beveiligingscontactpersoon in om e-mailmeldingen van Defender voor Cloud te ontvangen. (Gerelateerd beleid: Abonnementen moeten een e-mailadres voor contactpersonen hebben voor beveiligingsproblemen)

Ernst: Laag

Transparent Data Encryption in SQL-databases moet zijn ingeschakeld

Description: Schakel transparent data encryption in om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten (gerelateerd beleid: Transparent Data Encryption op SQL-databases moet zijn ingeschakeld).

Ernst: Laag

VM Image Builder-sjablonen moeten een private link gebruiken

Beschrijving: Vm Image Builder-sjablonen controleren waarvoor geen virtueel netwerk is geconfigureerd. Wanneer een virtueel netwerk niet is geconfigureerd, wordt er een openbaar IP-adres gemaakt en gebruikt, waardoor resources mogelijk rechtstreeks beschikbaar worden gemaakt op internet en de potentiële kwetsbaarheid voor aanvallen kan toenemen. (Gerelateerd beleid: VM Image Builder-sjablonen moeten gebruikmaken van private link).

Ernst: gemiddeld

Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway

Description: Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals SQL-injecties, cross-site scripting, lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels. (Gerelateerd beleid: Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway).

Ernst: Laag

Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service-service

Ernst: Laag

Aanbevelingen voor AWS-gegevens

Instelling Verwijderen bij beëindiging moet zijn ingeschakeld voor aan EBS-volumes gekoppelde instantie

Description: Defender voor Cloud een ontbrekend ebS-volumebijlagende instantie geïdentificeerd. Met deze instelling wordt de primaire opslag van het exemplaar automatisch verwijderd na beëindiging. Zonder dit kunnen zwevende volumes gevoelige gegevens bewaren, waardoor het risico op onbevoegde toegang en nalevingsproblemen toeneemt.

Ernst: Laag

AWS Key Management Service-versleuteling moet worden geconfigureerd voor EventBridge Pipe

Beschrijving: Het configureren van KMS-versleuteling (AWS Key Management Service) voor EventBridge Pipe zorgt ervoor dat data-at-rest wordt versleuteld met behulp van door de klant beheerde sleutels, met verbeterde beveiligings- en nalevingsmogelijkheden. Met deze meting kunt u versleutelingssleutels beter beheren en roteren op basis van interne beleidsregels of wettelijke vereisten. Als dit niet is geïmplementeerd, worden de gegevens versleuteld met behulp van door AWS beheerde sleutels, die mogelijk niet voldoen aan strenge beveiligings- of nalevingsstandaarden. Deze aanbeveling is met name belangrijk voor organisaties die gevoelige of gereglementeerde gegevens verwerken, zoals persoonlijk identificeerbare informatie (PII), financiële records of intellectueel eigendom. Als u dit wilt implementeren, configureert u de EventBridge Pipe voor het gebruik van een door de klant beheerde KMS-sleutel in de AWS-beheerconsole of via de AWS CLI.

Ernst: Laag

AWS Key Management Service-versleuteling moet zijn ingeschakeld voor SageMaker-domein

Description: Defender voor Cloud geïdentificeerd dat uw SageMaker-domein gebruikmaakt van door AWS beheerde KMS-sleutels in plaats van door de klant beheerde sleutels. AWS KMS-versleuteling beschermt data-at-rest door u toe te staan sleutelbeheer te beheren, inclusief rotatie en toegang, zodat u voldoet aan strenge beveiligingsvereisten. Zonder door de klant beheerde sleutels kunnen gevoelige gegevens een hoger risico lopen op onbevoegde toegang en niet-naleving. Meer informatie.

Ernst: Laag

AWS Key Management Service-versleuteling moet zijn ingeschakeld op SageMaker-eindpunten

Description: Defender voor Cloud een gebrek aan KMS-versleuteling (AWS Key Management Service) geïdentificeerd op Sagemaker-eindpunten. KMS-versleuteling beveiligt gevoelige gegevens door versleutelingssleutels te beheren, inclusief hun levenscyclusactiviteiten, zoals genereren, rouleren en verwijderen. Zonder KMS ingeschakeld, lopen eindpunten risico's op blootstelling aan gegevensschendingen en onbevoegde toegang. Meer informatie.

Ernst: gemiddeld

Logboekregistratie van toegang moet zijn ingeschakeld voor LightSail-buckets

Description: Defender voor Cloud vastgesteld dat de toegangslogboekregistratie niet is geconfigureerd voor uw LightSail-bucket. Toegang tot activiteiten voor logboekregistratie die worden uitgevoerd in de bucket en helpt te controleren of alleen geautoriseerde acties plaatsvinden. Zonder dit kan onbevoegde toegang onopgemerkt worden, waardoor de zichtbaarheid van de beveiliging wordt verminderd en forensische onderzoeken en incidentrespons worden samengevoegd.

Ernst: Laag

Export van auditlogboeken moet zijn ingeschakeld op Amazon DocumentDB-clusters

Description: Defender voor Cloud vastgesteld dat het exporteren van auditlogboeken naar CloudWatch is uitgeschakeld in Amazon DocumentDB-clusters. Auditlogboeken leggen kritieke informatie vast over gebruikers- en systeemactiviteiten die forensische analyse ondersteunen tijdens beveiligingsincidenten. Zonder deze informatie is er een verhoogd risico dat niet-geautoriseerde acties onopgemerkt kunnen gaan, waardoor het reageren op incidenten en herstel mogelijk wordt vertraagd.

Ernst: Laag

Upgrades van automatische secundaire versies moeten zijn ingeschakeld op MemoryDB-clusters

Description: Defender voor Cloud geïdentificeerd MemoryDB-cluster zonder automatische upgrades van secundaire versies ingeschakeld. MemoryDB-clusters zijn afhankelijk van deze upgrades om essentiële beveiligingspatches en kleine softwareverbeteringen automatisch te installeren. Zonder deze automatisering kunnen clusters kwetsbaar blijven voor beveiligingsproblemen. Door het upgradeproces in te schakelen, blijft een robuust beveiligingspostuur behouden.

Ernst: Laag

Geautomatiseerd back-upbeleid moet zijn ingeschakeld op AlloyDB-clusters

Description: Defender voor Cloud vastgesteld dat het geautomatiseerde back-upbeleid is uitgeschakeld voor het AlloyDB-cluster, wat betekent dat dagelijkse momentopnamen voor herstel niet automatisch worden gemaakt. Zonder deze back-ups worden uw clusters blootgesteld aan risico's zoals gegevensverlies tegen onbedoeld verwijderen of ransomware, waardoor herstel na noodgevallen en nalevingsvereisten kunnen worden aangetast.

Ernst: gemiddeld

Automatische retentie van momentopnamen moet zijn ingeschakeld voor Redshift-clusters

Description: Defender voor Cloud vastgesteld dat automatische retentie van momentopnamen niet is ingeschakeld voor uw Amazon Redshift-cluster. Geautomatiseerde momentopnamen bieden herstelmogelijkheden voor een bepaald tijdstip voor uw datawarehouse. Zonder de juiste retentie kunnen kritieke herstelgegevens verloren gaan, waardoor het risico op gegevensverlies door onbedoelde verwijdering, beschadiging of ransomware-aanvallen wordt verhoogd en mogelijk nalevingsvereisten schendt.

Ernst: Laag

Automatische back-ups moeten zijn ingeschakeld voor Elasticache-clusters

Description: Defender voor Cloud vastgesteld dat automatische back-ups niet zijn ingeschakeld voor uw Elasticache-clusters. Elasticache-clusters zijn kritieke cacheresources die, zonder regelmatige back-ups, kwetsbaar zijn voor gegevensverlies door onbedoelde of schadelijke verwijderingen. Dit vormt een risico op uitgebreide downtime en gecompromitteerde gegevensintegriteit, wat mogelijk van invloed is op de algehele betrouwbaarheid van de service. Het is raadzaam om automatische back-ups in te schakelen om uw gegevens te beschermen en operationele continuïteit te behouden.

Ernst: gemiddeld

Automatische back-ups moeten zijn ingeschakeld voor serverloze Elasticache

Description: Defender voor Cloud vastgesteld dat automatische back-ups niet zijn ingeschakeld voor uw serverloze ElastiCache. Zonder periodieke momentopnamen ontbreekt uw ElastiCache aan een herstelpunt om gegevens te herstellen in gevallen van onbedoelde of schadelijke verwijdering, waardoor het risico op onherstelbaar gegevensverlies toeneemt. Als u automatische back-ups inschakelt, worden mogelijke onderbrekingen geminimaliseerd en wordt de integriteit van uw in de cache opgeslagen gegevens beschermd.

Ernst: gemiddeld

Automatische beveiligingsupdates moeten zijn ingeschakeld op RedisOSS ElastiCache-clusters

Description: Defender voor Cloud vastgesteld dat automatische upgrade is uitgeschakeld in uw RedisOSS ElastiCache-clusters. Automatisch upgraden installeert automatisch de nieuwste beveiligingspatches en software-updates om clusterknooppunten te beschermen tegen bekende beveiligingsproblemen. Dit vormt een risico door uw clusters open te laten voor cyberaanvallen die gebruikmaken van verouderde software. Meer informatie.

Ernst: Laag

Automatische momentopnamen moeten zijn ingeschakeld voor MemoryDB-clusters

Description: Defender voor Cloud geïdentificeerd MemoryDB-cluster zonder automatische momentopnameconfiguratie. Met geautomatiseerde momentopnamen blijven resourcemomentopnamen automatisch gedurende een opgegeven duur behouden, zodat kritieke herstelgegevens beschikbaar zijn na incidenten. Zonder dit risico loopt u een verhoogd risico op gegevensverlies door onbedoelde verwijdering of beschadiging.

Ernst: gemiddeld

Back-upretentie moet zijn ingeschakeld voor LightSail Relational Database Service

Description: Defender voor Cloud vastgesteld dat back-upretentie is uitgeschakeld voor uw LightSail Relational Database Service. Met back-upretentie worden back-ups van uw database in de loop van de tijd automatisch opgeslagen, zodat u gegevens kunt herstellen in geval van onbedoelde verwijdering of schadelijke beschadiging. Zonder dit wordt herstel moeilijker en loopt u risico op verlies van up-to-datumgegevens als een aanvaller inbreuk maakt op uw database.

Ernst: gemiddeld

Brede rol eigenaar of editor moet worden verwijderd uit serviceaccounts in BigQuery-gegevenssets

Description: Defender voor Cloud geïdentificeerde serviceaccounts met overmatige machtigingen voor BigQuery-gegevenssets. Aan de evaluatie gedetecteerde serviceaccounts zijn brede rollen toegewezen, zoals OWNER, WRITER of roles/bigquery.admin die meer toegang bieden dan nodig is. Dit vormt een risico op laterale verplaatsing en exfiltratie van gegevens als deze referenties worden aangetast. Het is essentieel om machtigingen te beperken voor rollen die zijn afgestemd op de functionele vereisten van het serviceaccount, zoals BigQuery Data Viewer of BigQuery Data Editor

Ernst: Hoog

Clustereindpuntversleuteling moet zijn ingeschakeld voor DAX-clusters

Description: Defender voor Cloud vastgesteld dat versleuteling van clustereindpunten niet is ingeschakeld in clusters. Met clustereindpuntversleuteling worden gegevens beveiligd tijdens de overdracht tussen clients en het cluster. Zonder deze informatie kan gevoelige informatie worden onderschept of geopend door onbevoegde partijen, waardoor de vertrouwelijkheid en integriteit van gegevens mogelijk in gevaar worden gebracht. Versleuteling inschakelen om gegevens tijdens overdracht te beveiligen en het risico op cyberaanvallen te verminderen.

Ernst: gemiddeld

Description: Defender voor Cloud vastgesteld dat uw Amazon SNS-onderwerp is geconfigureerd voor toegang tussen accounts, zodat externe AWS-accounts ermee kunnen communiceren. Toegang tussen accounts betekent dat gebruikers buiten uw vertrouwde omgeving uw onderwerpen kunnen publiceren of erop kunnen abonneren. Dit vormt een risico doordat gevoelige meldingen mogelijk worden blootgesteld aan onbevoegde partijen en misbruik. Als u dergelijke toegang beperkt, kunt u uw onderwerp beveiligen tegen externe bedreigingen.

Ernst: gemiddeld

Door de klant beheerde KMS-versleuteling moet zijn ingeschakeld op Amazon Bedrock Agents

Description: Defender voor Cloud vastgesteld dat Amazon Bedrock Custom Models worden geïmplementeerd zonder door de klant beheerde KMS-versleuteling. Amazon Bedrock Custom Models kan worden gemaakt of geïmporteerd zonder expliciet een door de klant beheerde sleutel te selecteren, waardoor modelartefacten worden versleuteld met door AWS beheerde sleutels. Dit vormt een risico door de controle over sleutelrotatie, strikt toegangsbeleid en transparantie te controleren, wat mogelijk leidt tot naleving en beveiligingsproblemen.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor CodeArtifact-domeinen

Description: Defender voor Cloud vastgesteld dat door de klant beheerde sleutels (CMK's) niet zijn ingeschakeld voor uw domeinen. CMK's zijn versleutelingssleutels die u bepaalt, inclusief hun levenscyclus, rotatie en toegangsbeleid. Zonder CMK-configuratie zijn uw domeinen alleen afhankelijk van door de provider beheerde sleutels, waardoor het toezicht wordt verminderd en gevoelige gegevens mogelijk kwetsbaarder worden voor onbevoegde toegang.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor Datastream-streams

Description: Defender voor Cloud geïdentificeerde Datastream-streams die geen gebruikmaken van Customer-Managed-versleutelingssleutels (CMEK). Deze evaluatie evalueert of cmek is ingeschakeld voor uw Datastream-streams, een besturingselement waarmee directe sleutelrotatie en toegangsbeleidsbeheer mogelijk zijn. Zonder CMEK voldoet de automatische versleuteling van Google Cloud mogelijk niet aan de strenge vereisten voor gevoelige gegevens, waardoor uw werkbelasting meer bloot staat aan potentiële inbreuk op de sleutel of onbevoegde toegang. Meer informatie: https://cloud.google.com/datastream/docs

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor ElastiCache-clusters

Description: Defender voor Cloud geïdentificeerde ElastiCache-clusters waarvoor CMK-versleuteling (Customer Managed Key) ontbreekt. CMK-versleuteling maakt gebruik van aangepaste sleutels die een gecontroleerde rotatie en verbeterde beveiliging mogelijk maken in vergelijking met standaardsleutels. Dit vormt een risico door uw clusters mogelijk bloot te stellen aan onbevoegde problemen met gegevenstoegang en naleving. Meer informatie.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor GCP Spanner-databases

Description: Defender voor Cloud geïdentificeerde databases die niet zijn geconfigureerd met door de klant beheerde versleutelingssleutels (CMEK). CMEK verwijst naar versleutelingssleutels die zijn gemaakt en beheerd door uw organisatie, in plaats van door platform beheerde sleutels. Zonder CMEK voldoen databases mogelijk niet aan wettelijke of beleidsvereisten, waardoor uw gegevens mogelijk worden blootgesteld aan problemen met onbevoegde toegang of naleving vanwege verminderde controle over het levenscyclusbeheer van sleutels.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor MemoryStore voor Redis-exemplaren

Description: Defender voor Cloud vastgesteld dat door de klant beheerde versleutelingssleutels niet zijn ingeschakeld voor MemoryStore voor Redis-exemplaren. Met deze evaluatie wordt gecontroleerd of versleutelingsbewerkingen alleen worden beheerd door Google beheerde sleutels, waardoor sleutelrotatie, controlelogboekregistratie en verbeteringen van het toegangsbeheer worden beperkt. Dergelijke beperkingen vormen een risico door mogelijk afbreuk te doen aan de inspanningen voor gegevensbescherming en naleving, omdat organisaties geen expliciet eigendom en beheer over hun versleutelingssleutels hebben.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor pub-/subonderwerpen

Description: Defender voor Cloud geïdentificeerde Pub/Sub-onderwerpen met behulp van standaard door Google beheerde versleutelingssleutels in plaats van door de klant beheerde versleutelingssleutels (CMEK). Met CMEK kunt u sleutelrotatie en toegangsbeleid beheren, terwijl het vertrouwen op standaardsleutels het beheer beperkt en het risico op problemen met onbevoegde toegang en naleving kan verhogen. Meer informatie.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor Vertex AI Datastore

Description: Defender voor Cloud vastgesteld dat Vertex AI-gegevensarchief niet is geconfigureerd met door de klant beheerde versleutelingssleutels (CMK), wat betekent dat deze afhankelijk is van de standaardversleuteling die door Google wordt beheerd. Dit vormt een risico omdat met GCP beheerde sleutels u niet toestaan om rotatiebeleid te beheren, gedetailleerde toegangsmachtigingen in te stellen of sleutelgebruik te controleren, mogelijk niet voldoen aan strikte nalevings- en gegevenssoevereinevereisten in gereglementeerde branches.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor vertex AI Engine

Description: Defender voor Cloud vastgesteld dat het Vertex AI Engine-exemplaar niet is geconfigureerd met door de klant beheerde versleutelingssleutels (CMK), wat betekent dat deze afhankelijk is van de standaardversleuteling die door Google wordt beheerd. Dit vormt een risico omdat met GCP beheerde sleutels u niet toestaan om rotatiebeleid te beheren, gedetailleerde toegangsmachtigingen in te stellen of sleutelgebruik te controleren, mogelijk niet voldoen aan strikte nalevings- en gegevenssoevereinevereisten in gereglementeerde branches.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld op AlloyDB-clusters

Description: Defender voor Cloud vastgesteld dat het AlloyDB-cluster niet is geconfigureerd met door de klant beheerde versleutelingssleutels (CMK), wat betekent dat het afhankelijk is van de standaardversleuteling die door Google wordt beheerd. Dit vormt een risico omdat met GCP beheerde sleutels u niet toestaan om rotatiebeleid te beheren, gedetailleerde toegangsmachtigingen in te stellen of sleutelgebruik te controleren, mogelijk niet voldoen aan strikte nalevings- en gegevenssoevereinevereisten in gereglementeerde branches.

Ernst: Laag

Description: Defender voor Cloud vastgesteld dat uw AWS SNS-onderwerpen standaardversleuteling gebruiken in plaats van door de klant beheerde sleutels (CMK). Met CMK-versleuteling kunt u sleutelbeleid beheren en het sleutelgebruik controleren, waardoor u betere bescherming biedt tegen onbevoegde toegang en ondersteuning voor naleving van interne en wettelijke beveiligingsstandaarden. Deze configuratietoezicht kan gevoelige gegevens blootstellen aan verhoogde risico's.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor artefactregisteropslagplaatsen

Description: Defender voor Cloud vastgesteld dat opslagplaatsen zijn beveiligd met behulp van door platform beheerde versleutelingssleutels in plaats van door de klant beheerde versleutelingssleutels (CMEK). CMEK zijn sleutels die u kunt beheren, met geavanceerde levenscyclusbeheer en strenger toegangsbeheer. Het gebruik van door het platform beheerde sleutels verhoogt het risico op beveiligingsproblemen in gegevensbescherming en voldoet mogelijk niet aan de nalevingsvereisten. U wordt aangeraden CMEK te configureren om de versleutelingsbeveiliging en -controle te verbeteren.

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld voor Filestore-exemplaren

Description: Defender voor Cloud geïdentificeerde Filestore-exemplaren zonder Customer-Managed CMEK (Encryption Keys). Dit vormt een risico op verminderde controle over rotatie van versleutelingssleutels en toegangsbeleid in Cloud KMS, waardoor de naleving van regelgevings- en organisatiestandaarden kan worden aangetast. Meer informatie: https://cloud.google.com/filestore/docs/cmek

Ernst: Laag

Door de klant beheerde versleutelingssleutels moeten zijn ingeschakeld op MemoryDB-clusters

Description: Defender voor Cloud vastgesteld dat het MemoryDB-cluster geen CMK (Customer Managed Keys) gebruikt voor versleuteling. Door CMK (Customer Managed Keys) te gebruiken, kunt u uitgebreide controle over de levenscyclus van sleutels en gedetailleerde controle toestaan, zodat versleutelingsprocedures voldoen aan de nalevingsvereisten.

Ernst: Laag

Data encryption at rest moet zijn ingeschakeld op ElastiCache-clusters

Description: Defender voor Cloud vastgesteld dat versleuteling-at-rest niet is ingeschakeld op uw ElastiCache-cluster. Met versleuteling-at-rest worden opgeslagen gegevens geconverteerd naar een cryptografisch veilige indeling, zodat u informatie kunt beveiligen, zelfs als de onderliggende opslag wordt geschonden. Zonder deze beveiliging kunnen onbevoegde toegang of manipulatie van gegevens optreden, risico lopend op naleving en algehele systeemintegriteit.

Ernst: gemiddeld

Beveiliging tegen neerzetten van databases voor databases met GCP Spanner moet zijn ingeschakeld

Description: Defender voor Cloud vastgesteld dat de beveiliging voor het verwijderen van de database is uitgeschakeld voor uw databases. Beveiliging tegen het verwijderen van databases voorkomt onbedoelde of niet-geautoriseerde verwijdering door aanvullende bevestiging te vereisen voordat u een database verwijdert. Zonder deze beveiliging worden uw kritieke gegevens blootgesteld aan mogelijk verlies van menselijke fouten of onjuist geconfigureerde automatisering.

Ernst: gemiddeld

Standaardback-upschema voor nieuwe databases moet zijn ingeschakeld

Beschrijving: Het inschakelen van een standaardback-upschema voor het nieuwe spanner-exemplaar zorgt ervoor dat automatische gegevensbeveiliging wordt gegarandeerd vanaf het maken van de databases. Dit helpt bij het onderhouden van consistente back-ups zonder handmatige tussenkomst en vermindert het risico op menselijke fouten. Regelmatige back-ups bieden herstelopties in geval van onbedoelde verwijdering, beschadiging of systeemfouten. Als het standaardback-upschema niet is ingeschakeld, blijven nieuwe databases mogelijk onbeveiligd en kwetsbaar, waardoor het risico op permanent gegevensverlies toeneemt. Het wordt aanbevolen om deze instelling in te schakelen om de tolerantie en bedrijfscontinuïteit van de database te verbeteren.

Ernst: gemiddeld

Gedefinieerde retentieperioden voor momentopnamen moeten worden afgedwongen voor Redshift-clusters

Description: Defender voor Cloud geïdentificeerd voor onbepaalde retentie in Amazon Redshift-momentopnamen, waarbij momentopnamen zo zijn geconfigureerd dat ze nooit verlopen (bewaarperiode ingesteld op -1). Dit vormt een risico op het accumuleren van onnodige opslagkosten en langdurige blootstelling van mogelijk gevoelige gegevens. Het definiëren van een bewaarperiode zorgt ervoor dat verouderde momentopnamen automatisch worden verwijderd, waardoor zowel financiële gevolgen als beveiligingsproblemen worden verminderd.

Ernst: Laag

Verwijderingsbeveiliging moet zijn ingeschakeld op Amazon DocumentDB-clusters

Description: Defender voor Cloud vastgesteld dat verwijderingsbeveiliging niet is ingeschakeld op uw Amazon DocumentDB-clusters. Verwijderingsbeveiliging is een beveiliging die onbedoeld of schadelijk verwijderen van databaseclusters voorkomt. Zonder dit zijn uw DocumentDB-clusters blootgesteld aan risico's van onbevoegde verwijderingen die leiden tot aanzienlijke downtime en operationele onderbrekingen. Activeer verwijderingsbeveiliging om de beveiliging en beschikbaarheid van uw gegevens te behouden.

Ernst: gemiddeld

Verwijderingsbeveiliging moet zijn ingeschakeld voor Firestore-databases

Description: Defender voor Cloud geïdentificeerde Firestore-databases met verwijderingsbeveiliging uitgeschakeld in Firestore. Verwijderingsbeveiliging voorkomt dat databases worden verwijderd, tenzij deze expliciet zijn uitgeschakeld. Zonder deze beveiliging kunnen onbedoelde of schadelijke verwijderingen leiden tot onherstelbaar gegevensverlies en operationele onderbrekingen in productieomgevingen.

Ernst: gemiddeld

Versleuteling in transit moet zijn ingeschakeld op MemoryDB-clusters

Description: Defender voor Cloud vastgesteld dat TLS-versleuteling (Transport Layer Security) niet is ingeschakeld op uw MemoryDB-cluster. TLS beveiligt gegevens en clientcommunicatie door verzonden informatie te versleutelen. Zonder TLS ingeschakeld, zijn gegevens tijdens overdracht vatbaar voor onderschepping en wijziging door onbevoegde partijen.

Ernst: gemiddeld

Versleuteling tijdens overdracht moet zijn ingeschakeld op de cache op basis van clusters

Description: Defender voor Cloud vastgesteld dat versleuteling tijdens overdracht niet is ingeschakeld in de clustercache die door ElastiCache wordt gebruikt. Met versleuteling in transit worden gegevens beveiligd terwijl deze worden verplaatst tussen cacheknooppunten en clienttoepassingen. Zonder dit kan gevoelige informatie worden blootgesteld aan onderschepping of manipulatie tijdens de verzending, waardoor er een risico ontstaat op gegevensschendingen en niet-naleving van aanbevolen beveiligingsprocedures.

Ernst: gemiddeld

Versleuteling met AWS Key Management Service moet zijn ingeschakeld op EventBridge Event Bus

Description: Defender voor Cloud vastgesteld dat uw EventBridge Event Bus geen door de klant beheerde AWS Key Management Service-sleutel gebruikt voor gegevensversleuteling. Door de klant beheerde KMS-sleutels bieden verbeterde controle over belangrijke rotatiefuncties, die essentieel zijn voor het beveiligen van gevoelige gegevens. Zonder deze configuratie is uw Event Bus afhankelijk van door AWS beheerde sleutels die mogelijk niet voldoen aan strikte nalevings- en beveiligingsstandaarden.

Ernst: Laag

Zorg ervoor dat AWS-back-upplannen acties bevatten voor meerdere regio's of kopieeracties voor meerdere accounts

Beschrijving: AWS-back-upplannen zonder kopieeracties voor meerdere regio's of meerdere accounts slaan herstelpunten op één locatie op, waardoor het risico op gegevensverlies toeneemt vanwege regionale storingen, inbreuk op accounts of ransomware. Het configureren van kopieeracties verbetert de back-uptolerantie door ervoor te zorgen dat herstelpunten behouden blijven in een onafhankelijke beveiligings- en beschikbaarheidsgrens.

Ernst: Laag

Expliciet besturingselement voor het overschrijven van prompts moet worden geconfigureerd voor Amazon Bedrock Agents

Description: Defender voor Cloud geïdentificeerde instellingen voor het overschrijven van niet-gecontroleerde prompts in Amazon Bedrock Agents. Deze agents, die generatieve AI-taken uitvoeren, lopen risico wanneer prompt-onderdrukkingscontroles onjuist zijn geconfigureerd, waardoor onveilige instructies kunnen worden overgeslagen om vastgestelde veiligheidsmechanismen te omzeilen. Deze onjuiste configuratie kan leiden tot onvoorspelbaar AI-gedrag en mogelijke schendingen van beveiliging of naleving, waardoor de vertrouwde werking van uw services wordt onderbroken.

Ernst: gemiddeld

In-transit-versleuteling moet zijn ingeschakeld voor MemoryStore voor Redis-exemplaren

Description: Defender voor Cloud geïdentificeerd dat in-transit-versleuteling is uitgeschakeld voor MemoryStore voor Redis-exemplaren. In transit-versleuteling, meestal geleverd via TLS, beschermt gegevens tijdens het reizen via het netwerk. Zonder deze gegevens worden gevoelige gegevens in de cache verzonden in tekst zonder opmaak, waardoor deze worden blootgesteld aan onderschepping, verkeersinspectie en man-in-the-middle-aanvallen, waardoor de vertrouwelijkheid en integriteit van gegevens kan worden aangetast.

Ernst: gemiddeld

Configuratie van beheerde KMS-sleutels moet zijn ingeschakeld voor SQS-versleuteling aan de serverzijde

Description: Defender voor Cloud vastgesteld dat uw SQS-wachtrij niet is geconfigureerd voor het gebruik van door KMS beheerde sleutels voor versleuteling aan de serverzijde. Door KMS beheerde sleutels worden volledig beheerd door de Key Management-service en bieden een verbeterd toezicht op de levenscyclus van de sleutel en controle van toegang. Zonder deze besturingselementen loopt uw wachtrij een verhoogd risico op niet-geautoriseerd sleutelgebruik en verminderde beveiliging van gevoelige data-at-rest.

Ernst: gemiddeld

Toewijzing van Knowledge Base-velden moet veilig worden geconfigureerd op Amazon Bedrock

Description: Defender voor Cloud geïdentificeerde onjuist geconfigureerde veldtoewijzingen in Amazon Bedrock Knowledge Bases. Dit vormt een risico op het beschadigen van insluitingen en het ophalen van onnauwkeurige documenten, wat mogelijk leidt tot onveilige of misleidende uitvoer bij het ophalen van augmented generation-pijplijnen (RAG) wanneer toewijzingen voor vector-, tekst- en metagegevensvelden onvolledig of onjuist zijn.

Ernst: Hoog

LockConfiguration moet zijn ingeschakeld voor Backup Vault

Description: Defender voor Cloud vastgesteld dat LockConfiguration niet is ingeschakeld in uw Backup Vault. Met LockConfiguration voorkomt u niet-geautoriseerde wijzigingen of verwijderingen van kritieke back-upinstellingen, zodat herstelpunten veilig blijven. Zonder dit besturingselement loopt de Backup Vault een verhoogd risico op onbedoelde of schadelijke wijzigingen die de tolerantie en back-upintegriteit van gegevens kunnen in gevaar brengen. Meer informatie.

Ernst: gemiddeld

Beheerde beheerdersreferenties moeten zijn ingeschakeld voor Amazon Redshift-clusters

Description: Defender voor Cloud vastgesteld dat uw Amazon Redshift-clusters geen beheerde beheerdersreferenties gebruiken. Beheerde beheerdersreferenties omvatten het veilig opslaan van beheerdersreferenties in AWS Secrets Manager met automatische rotatie, waardoor het risico op blootstelling aan referenties wordt geminimaliseerd. Zonder deze instelling is er een verhoogd risico op onbevoegde toegang tot databases en mogelijke schendingen van gegevens.

Ernst: gemiddeld

Objectversiebeheer moet zijn ingeschakeld voor LightSail-buckets

Description: Defender voor Cloud vastgesteld dat objectversiebeheer is uitgeschakeld in uw LightSail-bucket. Met objectversiebeheer worden historische kopieën van objecten automatisch opgeslagen en bewaard. Dit is essentieel voor het herstellen van gegevens uit onbedoelde verwijderingen, wijzigingen of beschadigingen. Zonder deze functie kunnen onbevoegde wijzigingen of fouten uw gegevensintegriteit permanent in gevaar brengen.

Ernst: Laag

Parser-onderdrukking moet worden uitgeschakeld voor Amazon Bedrock Agents

Description: Defender voor Cloud een aangepaste parser-onderdrukkingsinstelling (ParserMode = OVERRIDDEN) geïdentificeerd in Amazon Bedrock Agents. Aangepaste parser-onderdrukkingen wijzigen het standaardparseermechanisme om te voldoen aan specifieke uitvoervereisten, maar kunnen de operationele complexiteit verhogen, mogelijk parseringsfouten veroorzaken of beveiligingsproblemen blootstellen als ze niet strikt worden onderhouden. U wordt aangeraden deze onderdrukking uit te schakelen, tenzij strikte uitvoervalidatie essentieel is.

Ernst: Hoog

Herstel naar een bepaald tijdstip moet zijn ingeschakeld voor Firestore-databases

Description: Defender voor Cloud geïdentificeerde Firestore-databases waarvoor Herstel naar een bepaald tijdstip (PITR) is uitgeschakeld. PITR is een functie waarmee gegevens kunnen worden hersteld vanuit een specifieke tijdstempel binnen de retentieperiode, die beschermt tegen onbedoelde verwijderingen en onjuiste schrijfbewerkingen. Zonder PITR lopen uw databases het risico op uitgebreide gegevensverlies en potentiële uitdagingen bij het herstellen van gegevensintegriteit na incidenten.

Ernst: gemiddeld

De uitvoeringsstatus van de prompt moet zijn ingeschakeld voor kritieke agentfasen op Amazon Bedrock

Description: Defender voor Cloud de status van de uitvoering van uitgeschakelde prompts geïdentificeerd voor kritieke agentfasen in Amazon Bedrock. Kritieke agentfasen, zoals indeling en het genereren van knowledge base-antwoorden, zijn essentieel om volledige redenering en nauwkeurige uitvoer te garanderen. Als u deze fasen uitschakelt, bestaat het risico dat onveilige, onvolledige of onjuiste reacties worden gegenereerd, wat kan leiden tot gecompromitteerd agentgedrag en algehele systeemintegriteit.

Ernst: Hoog

Configuratie van openbaar toegangsblok moet zijn ingeschakeld op AWS S3-toegangspunt

Description: Defender voor Cloud geïdentificeerd dat de configuratie van het openbare toegangsblok niet is ingeschakeld op uw AWS S3-toegangspunt. Instellingen voor het blokkeren van openbare toegang zijn ontworpen om onbedoelde openbare blootstelling te voorkomen door automatisch openbare toegang tot S3-resources te blokkeren, ongeacht machtigingen op bucket- of objectniveau. Zonder deze instelling is er een verhoogd risico op onbevoegde toegang tot gevoelige gegevens die zijn opgeslagen in uw S3-buckets.

Ernst: Hoog

Description: Defender voor Cloud vastgesteld dat voor uw SNS-onderwerpen onbeperkte uitgeverstoegang is ingeschakeld. Met deze instelling kan elke entiteit meldingen publiceren naar uw onderwerpen, wat kan leiden tot niet-geautoriseerde waarschuwingen, spam of zelfs schadelijke berichten die de betrouwbaarheid en beveiliging van uw meldingssysteem verzwakken. Door ervoor te zorgen dat de toegang van uitgevers wordt beperkt, minimaliseert u deze risico's en verbetert u de algehele integriteit van uw berichteninfrastructuur.

Ernst: Hoog

Description: Defender voor Cloud vastgesteld dat SNS-onderwerpabonnementen openbaar toegankelijk zijn. Hier betekent 'openbare toegang' dat elke entiteit meldingen kan abonneren en ontvangen, waardoor uw berichtensysteem wordt blootgesteld aan onbevoegde bewaking en gegevenslekken. Dergelijke blootstelling kan kwaadwillende actoren toestaan gevoelige informatie te onderscheppen of misbruiken. U wordt aangeraden abonnementen zo te configureren dat alleen goedgekeurde abonnees zijn toegestaan. Meer informatie.

Ernst: Hoog

Openbare e-maildomeinen moeten worden uitgesloten van het ontvangen van bevoorrechte rollen in BigQuery

Description: Defender voor Cloud bigQuery-rollen (bijvoorbeeld EIGENAAR, SCHRIJVER of beheerder) geïdentificeerd die zijn toegewezen aan leden met openbare e-maildomeinen. Openbare e-maildomeinen zijn buiten het identiteitslevenscyclusbeheer van uw organisatie, wat een risico vormt op het wijzigen, verwijderen of escaleren van machtigingen door onbevoegde gegevens.

Ernst: Hoog

Openbare leestoegang op LightSail-buckets moet worden uitgeschakeld

Description: Defender voor Cloud vastgesteld dat uw LightSail-bucket openbare leestoegang toestaat. Met deze instelling kan iedereen toegang krijgen tot opgeslagen objecten zonder verificatie, waardoor gevoelige gegevens kwetsbaar zijn voor onbevoegde blootstelling en exploitatie.

Ernst: Hoog

Resourcelabels moeten worden geconfigureerd in artefactregisteropslagplaatsen

Description: Defender voor Cloud ontbrekende resourcelabels in opslagplaatsen geïdentificeerd. Resourcelabels zijn sleutel-waardeparen die opslagplaatsen categoriseren en geautomatiseerde afdwinging van beveiligingsbeleid mogelijk maken. Zonder de juiste labels bestaat er een verhoogd risico op onjuiste configuraties en onbevoegde toegang vanwege inconsistente beveiligingscontroles.

Ernst: Laag

Beveiligde connectors moeten zijn ingeschakeld voor AlloyDB-exemplaren

Description: Defender voor Cloud geïdentificeerde onveilige clientverbindingsinstellingen in het AlloyDB-exemplaar. De evaluatie controleert de eigenschap Connectors vereisen, die, indien ingesteld op false, directe PostgreSQL-protocolverbindingen zonder beveiligde bemiddelaar zoals de AlloyDB-verificatieproxy toestaat. Hierdoor worden verificatie op basis van IAM en automatische TLS-versleuteling omzeild, waardoor het risico op zwakkere verificatie en potentiële blootstelling van niet-versleuteld verkeer binnen uw VPC toeneemt.

Ernst: gemiddeld

Beveiligingsgroepen moeten worden geconfigureerd voor MemoryDB-clusters

Description: Defender voor Cloud geïdentificeerd MemoryDB-cluster zonder dat er beveiligingsgroepen zijn geconfigureerd. Beveiligingsgroepen fungeren als firewallregels die zowel inkomend als uitgaand verkeer voor uw cluster reguleren. Zonder deze gegevens wordt uw cluster blootgesteld aan het risico op onbevoegde toegang en mogelijke schendingen van gegevens. Het inschakelen van beveiligingsgroepen kan dit risico aanzienlijk verminderen door ervoor te zorgen dat alleen goedgekeurd verkeer toegang heeft tot uw MemoryDB-cluster.

Ernst: gemiddeld

Beveiligingsgroepen moeten worden geconfigureerd om de toegang voor ElastiCache te beperken

Description: Defender voor Cloud onvoldoende configuraties voor beveiligingsgroepen in uw ElastiCache-service geïdentificeerd. Beveiligingsgroepen zijn netwerkfilters die het verkeer tussen resources regelen; wanneer ze niet goed zijn geconfigureerd, kunnen ze geen verfijnde toegangsbeperkingen afdwingen, waardoor uw cache mogelijk wordt blootgesteld aan onbevoegde toegang en exploitatie. Dit verhoogt het risico op gegevensschendingen en andere beveiligingsincidenten. Meer informatie.

Ernst: Laag

Beveiligingsgroepen moeten de toegang voor ElastiCache beperken

Description: Defender voor Cloud geïdentificeerde lax beveiligingsgroepbeperkingen in uw ElastiCache-installatie. Beveiligingsgroepen fungeren als virtuele firewalls die de toegang van gebruikers en exemplaren beheren, en onvoldoende segmentatie kan leiden tot onbevoegde toegang, waardoor het risico op blootstelling van gegevens en mogelijke schadelijke activiteiten toeneemt. We raden u aan gedetailleerde toegangsregels te controleren en af te dwingen om ervoor te zorgen dat alleen geautoriseerde gebruikers en processen communiceren met uw ElastiCache-resources.

Ernst: Laag

Beveiligingslogboeken moeten zijn ingeschakeld voor ElastiCache-replicatiegroep

Description: Defender voor Cloud vastgesteld dat logboekregistratie niet is ingeschakeld voor uw ElastiCache-replicatiegroep. Deze aanbeveling is geactiveerd bij het detecteren van de afwezigheid van engine-logboeken, die gedetailleerde operationele gebeurtenissen vastleggen of logboeken die latentieproblemen bijhouden. Zonder deze logboeken kunnen mogelijke afwijkingen en niet-geautoriseerde activiteiten onopgemerkt worden, waardoor het risico op vertraagde reactie op incidenten of beveiligingsschendingen toeneemt. Meer informatie.

Ernst: Laag

Risicobeperking van gevoelige gegevens moet zijn ingeschakeld voor AWS CloudFormation-stackuitvoer

Description: Defender voor Cloud geïdentificeerde gevoelige uitvoer in uw AWS CloudFormation-stack. CloudFormation-uitvoer wordt gebruikt om gegevens door te geven tussen stacks, maar mag geen gevoelige informatie bevatten, zoals wachtwoorden, API-sleutels, tokens of referenties. Als u deze details beschikbaar maakt, neemt het risico op onbevoegde gegevenstoegang toe. Verwijder deze uitvoer of sla geheime gegevens veilig op met behulp van AWS Secrets Manager of SSM Parameter Store. Ga voor meer informatie naar: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Ernst: Hoog

Voor gevoelige parameters moet het kenmerk NoEcho zijn ingeschakeld voor AWS CloudFormation-stacks

Description: Defender voor Cloud geïdentificeerde AWS CloudFormation-stacks met parameters die het kenmerk NoEcho missen. Het kenmerk NoEcho maskert gevoelige waarden uit logboeken en uitvoer, waardoor referenties en andere vertrouwelijke gegevens onbedoeld worden weergegeven. Zonder dit kan uw stacks kritieke informatie lekken, waardoor het risico op onbevoegde toegang wordt verhoogd. We raden u aan uw sjablonen bij te werken om waar van toepassing de NoEcho-instelling op te nemen.

Ernst: Hoog

Versleuteling aan de serverzijde moet zijn ingeschakeld voor Gegevensbronnen van Amazon Bedrock Knowledge Bases

Description: Defender voor Cloud een gebrek aan specifieke versleutelingsconfiguratie aan de serverzijde geïdentificeerd in Amazon Bedrock Knowledge Base-gegevensbronnen. Zonder de juiste ServerSideEncryptionConfiguration, opgenomen documenten, metagegevens en verwerkingsartefacten kunnen niet-versleuteld worden opgeslagen of met door AWS beheerde sleutels, waardoor de klant minder controle heeft over versleuteling, sleutelrotatie en controlemogelijkheden, waardoor het risico op onbevoegde toegang tot gegevens wordt verhoogd en de beveiliging wordt verminderd.

Ernst: gemiddeld

Versleuteling aan de serverzijde moet zijn ingeschakeld voor SQS-wachtrijen

Description: Defender voor Cloud vastgesteld dat versleuteling aan de serverzijde (SSE) niet is ingeschakeld voor uw SQS-wachtrijen. SSE is een methode die versleutelingssleutels gebruikt om gevoelige gegevens te transformeren in een onleesbare indeling totdat deze correct is ontsleuteld. Zonder deze beveiliging lopen uw SQS-wachtrijen risico op onbevoegde toegang tot gegevens, mogelijk gevoelige informatie blootstellen en leiden tot gegevensschendingen en nalevingsproblemen.

Ernst: Hoog

Strikte toegangsbeperkingen voor meerdere accounts moeten worden geconfigureerd voor LightSail-buckets

Description: Defender voor Cloud geïdentificeerde toegang voor meerdere accounts in uw LightSail-bucket. Toegang tussen accounts vindt plaats wanneer AWS-accounts buiten uw vertrouwde omgeving machtigingen krijgen voor toegang tot bucketobjecten. Dit vormt een risico op niet-geautoriseerde gegevensblootstelling als deze externe accounts onbekend of niet worden bewaakt. Het beperken van de toegang tot accounts met een legitieme behoefte kan helpen uw gevoelige informatie te beschermen.

Ernst: gemiddeld

Niet-gekoppelde EBS-volumes moeten worden verwijderd of gekoppeld aan ec2-exemplaar

Description: Defender voor Cloud geïdentificeerd niet-gekoppeld EBS-volume. EBS-volumes zijn permanente blokopslagapparaten die zijn bedoeld voor bijlage bij EC2-exemplaren. Niet-gekoppelde volumes kunnen zwevende resources aangeven van beëindigde exemplaren, waardoor de kwetsbaarheid voor aanvallen wordt verhoogd en gevoelige gegevens worden bewaard die geen actieve beveiligingsbewaking meer ontvangen.

Ernst: Laag

Niet-verlopen abonnementen moeten verlopen beleidsregels hebben geconfigureerd voor Pub/Sub-abonnementen

Description: Defender voor Cloud ontbrekend verloopbeleid in Pub/Sub-abonnementen geïdentificeerd. Verloopbeleid bepaalt hoe lang een inactief abonnement actief blijft voordat automatisch wordt verwijderd. Zonder deze configuratie kunnen abonnementen gegevens voor onbepaalde tijd blijven opslaan, wat leidt tot hogere opslagkosten en een hoger risico dat gevoelige informatie langer wordt bewaard dan nodig is. Ga naar https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period voor meer informatie

Ernst: Laag

Ongebruikte CodeArtifact-domeinen moeten worden verwijderd

Description: Defender voor Cloud geïdentificeerde CodeArtifact-domeinen die geen actieve opslagplaatsen of artefacten in CodeArtifact hebben. Een ongebruikt domein is een domein dat geen huidige inhoud host, maar mogelijk nog steeds verouderde instellingen bevat, zoals verouderde machtigingen of versleutelingssleutels. Dit vormt een risico door uw kwetsbaarheid voor aanvallen op het besturingsvlak uit te breiden en mogelijk onbevoegde toegang toe te staan. Meer informatie.

Ernst: Laag

AWS/GCP-aanbevelingen voor gegevens en netwerken in meerdere categorieën

In-transit-versleuteling moet zijn ingeschakeld voor MemoryStore voor Redis-clusters

Description: Defender voor Cloud vastgesteld dat in transitversleuteling ontbreekt op uw Redis-clusters. Tls (In-Transit Encryption) beveiligt gegevens die tussen clients en uw Redis-clusters worden verzonden, inclusief verificatiereferenties en gegevens in de cache. Zonder TLS kunnen aanvallers met netwerktoegang via gedeelde VPN's, gekoppelde netwerken of gecompromitteerde workloads deze gevoelige gegevens onderscheppen of wijzigen, waardoor het risico op blootstelling en manipulatie van gegevens toeneemt.

Ernst: gemiddeld

Openbare netwerktoegang moet worden uitgeschakeld voor LightSail Relational Database Service

Description: Defender voor Cloud vastgesteld dat openbare netwerktoegang is ingeschakeld voor uw LightSail Relational Database Service. Openbare netwerktoegang betekent dat de database verbindingen accepteert via internet, waardoor netwerkbeperkingen worden overgeslagen en aan onbevoegde toegang wordt blootgesteld. Deze configuratie verhoogt het risico op gegevensexfiltratie of gegevensverlies door potentiële toegangspunten voor aanvallers te bieden.

Ernst: Hoog

Amazon Aurora-clusters moeten backtracking hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Backtracking is ingeschakeld voor Amazon Aurora-clusters.

Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze zorgen er ook voor dat uw systemen kunnen worden hersteld. Aurora-backtracking vermindert de tijd om een database te herstellen naar een bepaald tijdstip. Hiervoor hoeft geen databaseherstel te worden uitgevoerd.

Zie Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora User Guide) voor meer informatie over backtracking in Aurora.

Ernst: gemiddeld

Amazon EBS-momentopnamen mogen niet openbaar worden overgeslagen

Beschrijving: Amazon EBS-momentopnamen mogen niet openbaar worden aangepast door iedereen, tenzij expliciet is toegestaan, om onbedoelde blootstelling van gegevens te voorkomen. Bovendien moet de machtiging voor het wijzigen van Amazon EBS-configuraties alleen worden beperkt tot geautoriseerde AWS-accounts.

Ernst: Hoog

Amazon ECS-taakdefinities moeten beveiligde netwerkmodi en gebruikersdefinities hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of een actieve Amazon ECS-taakdefinitie met de hostnetwerkmodus ook uitgebreide of gebruikerscontainerdefinities heeft. Het besturingselement mislukt voor taakdefinities met hostnetwerkmodus en containerdefinities waarbij privileged=false of leeg is en gebruiker=root of leeg is. Als een taakdefinitie verhoogde bevoegdheden heeft, komt dit doordat de klant specifiek heeft gekozen voor die configuratie. Met dit besturingselement wordt gecontroleerd op onverwachte escalatie van bevoegdheden wanneer voor een taakdefinitie hostnetwerken zijn ingeschakeld, maar de klant zich niet heeft aangemeld voor verhoogde bevoegdheden.

Ernst: Hoog

Amazon Elasticsearch Service-domeinen moeten gegevens versleutelen die worden verzonden tussen knooppunten

Beschrijving: Met dit besturingselement wordt gecontroleerd of Voor Amazon ES-domeinen knooppuntversleuteling is ingeschakeld. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers netwerkverkeer kunnen afluisteren of manipuleren met behulp van personen in het midden of vergelijkbare aanvallen. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het inschakelen van knooppunt-naar-knooppuntversleuteling voor Amazon ES-domeinen zorgt ervoor dat communicatie tussen clusters in transit wordt versleuteld. Er kan een prestatiestraf zijn gekoppeld aan deze configuratie. Voordat u deze optie inschakelt, moet u rekening houden met de prestaties en deze functie testen.

Ernst: gemiddeld

Amazon Elasticsearch Service-domeinen moeten versleuteling-at-rest hebben ingeschakeld

Beschrijving: Het is belangrijk om versleutelings rest van Amazon ES-domeinen in te schakelen om gevoelige gegevens te beveiligen

Ernst: gemiddeld

Amazon RDS-database moet worden versleuteld met behulp van de door de klant beheerde sleutel

Beschrijving: Met deze controle worden RDS-databases geïdentificeerd die zijn versleuteld met standaard KMS-sleutels en niet met door de klant beheerde sleutels. Als toonaangevende praktijk gebruikt u door de klant beheerde sleutels om de gegevens op uw RDS-databases te versleutelen en de controle over uw sleutels en gegevens op gevoelige workloads te behouden.

Ernst: gemiddeld

Amazon RDS-exemplaar moet worden geconfigureerd met automatische back-upinstellingen

Beschrijving: Deze controle identificeert RDS-exemplaren, die niet zijn ingesteld met de automatische back-upinstelling. Als Automatische back-up is ingesteld, maakt RDS een momentopname van het opslagvolume van uw DB-exemplaar, waarbij een back-up wordt gemaakt van het hele DB-exemplaar en niet alleen afzonderlijke databases, die herstel naar een bepaald tijdstip mogelijk maken. De automatische back-up vindt plaats tijdens de opgegeven tijdsperiode van het back-upvenster en bewaart de back-ups gedurende een beperkte periode, zoals gedefinieerd in de bewaarperiode. Het is raadzaam om automatische back-ups in te stellen voor uw kritieke RDS-servers die u helpen bij het herstelproces van gegevens.

Ernst: gemiddeld

Amazon Redshift-clusters moeten auditlogboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon Redshift-cluster auditlogboekregistratie heeft ingeschakeld. Amazon Redshift-auditlogboekregistratie biedt aanvullende informatie over verbindingen en gebruikersactiviteiten in uw cluster. Deze gegevens kunnen worden opgeslagen en beveiligd in Amazon S3 en kunnen nuttig zijn bij beveiligingscontroles en onderzoeken. Zie databasecontrolelogboekregistratie in de Handleiding voor Amazon Redshift-clusterbeheer voor meer informatie.

Ernst: gemiddeld

Amazon Redshift-clusters moeten automatische momentopnamen hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Redshift-clusters geautomatiseerde momentopnamen hebben ingeschakeld. Ook wordt gecontroleerd of de bewaarperiode voor momentopnamen groter is dan of gelijk is aan zeven.

Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze zorgen voor de herstelbaarheid van uw systemen. Amazon Redshift maakt standaard periodieke momentopnamen. Met dit besturingselement wordt gecontroleerd of automatische momentopnamen zijn ingeschakeld en gedurende ten minste zeven dagen worden bewaard. Zie geautomatiseerde momentopnamen van Amazon Redshift in de Handleiding voor amazon Redshift-clusterbeheer voor meer informatie over geautomatiseerde momentopnamen van Amazon Redshift.

Ernst: gemiddeld

Amazon Redshift-clusters moeten openbare toegang verbieden

Beschrijving: We raden Amazon Redshift-clusters aan om openbare toegankelijkheid te voorkomen door het veld Openbaar toegankelijk te evalueren in het clusterconfiguratie-item.

Ernst: Hoog

Amazon Redshift moet automatische upgrades naar primaire versies hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van primaire versies zijn ingeschakeld voor het Amazon Redshift-cluster. Als u automatische upgrades voor primaire versies inschakelt, zorgt u ervoor dat de meest recente updates van de primaire versie voor Amazon Redshift-clusters worden geïnstalleerd tijdens het onderhoudsvenster. Deze updates kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: gemiddeld

Amazon SQS-wachtrijen moeten at-rest worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon SQS-wachtrijen at rest zijn versleuteld. Met versleuteling aan de serverzijde (SSE) kunt u gevoelige gegevens verzenden in versleutelde wachtrijen. Om de inhoud van berichten in wachtrijen te beveiligen, gebruikt SSE sleutels die worden beheerd in AWS KMS. Zie Versleuteling-at-rest in de ontwikkelaarshandleiding voor Amazon Simple Queue Service voor meer informatie.

Ernst: gemiddeld

Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke clustergebeurtenissen

Beschrijving: Met dit besturingselement wordt gecontroleerd of er een Amazon RDS-gebeurtenisabonnement bestaat dat meldingen heeft ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBCluster: [Onderhoud en storing]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Er moet een abonnement op RDS-gebeurtenismeldingen worden geconfigureerd voor kritieke database-exemplaargebeurtenissen

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBInstance: [Onderhoud, configuratiewijziging en fout]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke gebeurtenissen van de databaseparametergroep

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBParameterGroup: ["configuration","change"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

Een RDS-gebeurtenismeldingenabonnement moet worden geconfigureerd voor kritieke gebeurtenissen van de databasebeveiligingsgroep

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype: Sleutel-waardeparen van gebeurteniscategorie. DBSecurityGroup: [Configuratie, wijziging, fout]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Deze meldingen zorgen voor een snelle reactie. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.

Ernst: Laag

API Gateway REST en WebSocket API-logboekregistratie moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of alle fasen van een Amazon API Gateway REST of WebSocket-API logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als logboekregistratie niet is ingeschakeld voor alle methoden van een fase of als logboekregistratieniveau geen FOUT of INFO is. API Gateway REST- of WebSocket-API-fasen moeten relevante logboeken hebben ingeschakeld. Api Gateway REST en WebSocket API-uitvoeringslogboeken bieden gedetailleerde records van aanvragen die zijn gedaan voor API Gateway REST- en WebSocket-API-fasen. De fasen omvatten back-endreacties voor API-integratie, Lambda-autorisatiereacties en de requestId voor AWS-integratie-eindpunten.

Ernst: gemiddeld

REST API-cachegegevens van API Gateway moeten in rust worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of alle methoden in REST API-fasen van API Gateway waarvoor cache is ingeschakeld, zijn versleuteld. Het besturingselement mislukt als een methode in een REST API-fase van API Gateway is geconfigureerd voor cache en de cache niet is versleuteld. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt nog een set toegangsbeheer toegevoegd om onbevoegde gebruikers de toegang tot de gegevens te beperken. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. REST API-caches van API Gateway moeten in rust worden versleuteld voor een extra beveiligingslaag.

Ernst: gemiddeld

REST API-fasen van API Gateway moeten worden geconfigureerd voor het gebruik van SSL-certificaten voor back-endverificatie

Beschrijving: Met dit besturingselement wordt gecontroleerd of de REST API-fasen van Amazon API Gateway SSL-certificaten hebben geconfigureerd. Back-endsystemen gebruiken deze certificaten om te verifiëren dat binnenkomende aanvragen afkomstig zijn van API Gateway. REST API-fasen van API Gateway moeten worden geconfigureerd met SSL-certificaten, zodat back-endsystemen kunnen verifiëren dat aanvragen afkomstig zijn van API Gateway.

Ernst: gemiddeld

REST API-fasen van API Gateway moeten AWS X-Ray-tracering hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of ACTIEVE AWS X-Ray-tracering is ingeschakeld voor de REST API-fasen van uw Amazon API Gateway. X-Ray actieve tracering maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Wijzigingen in de prestaties kunnen leiden tot een gebrek aan beschikbaarheid van de API. X-Ray actieve tracering biedt realtime metrische gegevens over gebruikersaanvragen die stromen door de REST API-bewerkingen en verbonden services van uw API Gateway.

Ernst: Laag

API Gateway moet worden gekoppeld aan een AWS WAF-web-ACL

Beschrijving: Met dit besturingselement wordt gecontroleerd of een API Gateway-fase gebruikmaakt van een AWS WAF-webtoegangsbeheerlijst (ACL). Dit besturingselement mislukt als een AWS WAF-web-ACL niet is gekoppeld aan een REST API Gateway-fase. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een ACL configureren. Dit is een set regels waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw API Gateway-fase is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.

Ernst: gemiddeld

Logboekregistratie van toepassings- en klassieke load balancers moet zijn ingeschakeld

Description: Met dit besturingselement wordt gecontroleerd of de toepassing Load Balancer en de klassieke Load Balancer logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als access_logs.s3.enabled dit onwaar is. Elastische taakverdeling biedt toegangslogboeken waarmee gedetailleerde informatie wordt vastgelegd over aanvragen die naar uw load balancer worden verzonden. Elk logboek bevat informatie zoals het tijdstip waarop de aanvraag is ontvangen, het IP-adres, de latentie van de client, aanvraagpaden en serverreacties. U kunt toegangslogboeken gebruiken om verkeerspatronen te analyseren en problemen op te lossen. Zie Access-logboeken voor uw klassieke Load Balancer in de gebruikershandleiding voor klassieke load balancers voor meer informatie.

Ernst: gemiddeld

Gekoppelde EBS-volumes moeten at-rest worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of de EBS-volumes met een gekoppelde status zijn versleuteld. Als u deze controle wilt doorgeven, moeten EBS-volumes worden gebruikt en versleuteld. Als het EBS-volume niet is gekoppeld, is het niet onderhevig aan deze controle. Voor een extra beveiligingslaag van uw gevoelige gegevens in EBS-volumes moet u EBS-versleuteling in rust inschakelen. Amazon EBS-versleuteling biedt een eenvoudige versleutelingsoplossing voor uw EBS-resources waarvoor u uw eigen infrastructuur voor sleutelbeheer niet hoeft te bouwen, onderhouden en beveiligen. Hierbij wordt CMK (AWS KMS Customer Master Keys) gebruikt bij het maken van versleutelde volumes en momentopnamen. Zie Amazon EBS-versleuteling in de Amazon EC2-gebruikershandleiding voor Linux-exemplaren voor meer informatie over Amazon EBS-versleuteling .

Ernst: gemiddeld

AWS Database Migration Service replicatie-exemplaren mogen niet openbaar zijn

Beschrijving: Om uw gerepliceerde exemplaren te beschermen tegen bedreigingen. Een privéreplicatie-exemplaar moet een privé-IP-adres hebben dat u buiten het replicatienetwerk niet kunt openen. Een replicatie-exemplaar moet een privé-IP-adres hebben wanneer de bron- en doeldatabases zich in hetzelfde netwerk bevinden en het netwerk is verbonden met de VPC van het replicatie-exemplaar met behulp van een VPN, AWS Direct Connect of VPC-peering. U moet er ook voor zorgen dat de toegang tot de configuratie van uw AWS DMS-exemplaar is beperkt tot alleen geautoriseerde gebruikers. Hiervoor beperkt u de IAM-machtigingen van gebruikers om AWS DMS-instellingen en -resources te wijzigen.

Ernst: Hoog

Klassieke Load Balancer-listeners moeten worden geconfigureerd met HTTPS- of TLS-beëindiging

Description: Met dit besturingselement wordt gecontroleerd of uw klassieke Load Balancer listeners zijn geconfigureerd met HTTPS- of TLS-protocol voor front-endverbindingen (client naar load balancer). Het besturingselement is van toepassing als een klassieke Load Balancer listeners heeft. Als uw klassieke Load Balancer geen listener heeft geconfigureerd, rapporteert het besturingselement geen resultaten. Het besturingselement wordt doorgegeven als de klassieke Load Balancer-listeners zijn geconfigureerd met TLS of HTTPS voor front-endverbindingen. Het besturingselement mislukt als de listener niet is geconfigureerd met TLS of HTTPS voor front-endverbindingen. Voordat u een load balancer gaat gebruiken, moet u een of meer listeners toevoegen. Een listener is een proces dat gebruikmaakt van het geconfigureerde protocol en de poort om te controleren op verbindingsaanvragen. Listeners kunnen zowel HTTP- als HTTPS/TLS-protocollen ondersteunen. U moet altijd een HTTPS- of TLS-listener gebruiken, zodat de load balancer tijdens overdracht het werk van versleuteling en ontsleuteling uitvoert.

Ernst: gemiddeld

Klassieke Load Balancers moeten verbindingsafvoer hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of klassieke Load Balancers verbindingsafvoer is ingeschakeld. Als u het leegmaken van verbindingen voor klassieke Load Balancers inschakelt, zorgt u ervoor dat de load balancer stopt met het verzenden van aanvragen naar exemplaren die de registratie ongedaan maken of niet in orde zijn. De bestaande verbindingen blijven geopend. Dit is handig voor exemplaren in groepen voor automatisch schalen om ervoor te zorgen dat verbindingen niet plotseling worden verbroken.

Ernst: gemiddeld

CloudFront-distributies moeten AWS WAF hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of CloudFront-distributies zijn gekoppeld aan AWS WAF- of AWS WAFv2-web-ACL's. Het besturingselement mislukt als de distributie niet is gekoppeld aan een web-ACL. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een set regels configureren, een zogenaamde webtoegangsbeheerlijst (web-ACL), waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw CloudFront-distributie is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.

Ernst: gemiddeld

CloudFront-distributies moeten logboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of logboekregistratie voor servertoegang is ingeschakeld op CloudFront-distributies. Het besturingselement mislukt als logboekregistratie van toegang niet is ingeschakeld voor een distributie. CloudFront-toegangslogboeken bieden gedetailleerde informatie over elke gebruikersaanvraag die CloudFront ontvangt. Elk logboek bevat informatie zoals de datum en tijd waarop de aanvraag is ontvangen, het IP-adres van de viewer die de aanvraag heeft ingediend, de bron van de aanvraag en het poortnummer van de aanvraag van de viewer. Deze logboeken zijn handig voor toepassingen zoals beveiligings- en toegangscontroles en forensisch onderzoek. Zie Amazon CloudFront-logboeken opvragen in de Gebruikershandleiding voor Amazon CloudFront voor meer informatie over het analyseren van toegangslogboeken.

Ernst: gemiddeld

CloudFront-distributies moeten versleuteling in transit vereisen

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon CloudFront-distributie kijkers HTTPS rechtstreeks moeten gebruiken of of er omleiding wordt gebruikt. Het besturingselement mislukt als ViewerProtocolPolicy is ingesteld op allow-all voor defaultCacheBehavior of voor cacheBehaviors. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.

Ernst: gemiddeld

CloudTrail-logboeken moeten in rust worden versleuteld met KMS-CMK's

Beschrijving: We raden u aan CloudTrail te configureren voor het gebruik van SSE-KMS. CloudTrail configureren voor het gebruik van SSE-KMS biedt meer vertrouwelijkheidsbesturingselementen voor logboekgegevens omdat een bepaalde gebruiker S3 leesmachtigingen moet hebben voor de bijbehorende logboekbucket en moet de ontsleutelingsmachtigingen worden verleend door het CMK-beleid.

Ernst: gemiddeld

Verbindingen met Amazon Redshift-clusters moeten tijdens overdracht worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Amazon Redshift-clusters vereist zijn voor het gebruik van versleuteling tijdens overdracht. De controle mislukt als de amazon Redshift-clusterparameter require_SSL niet is ingesteld op 1. TLS kan worden gebruikt om te voorkomen dat potentiële aanvallers personen in het midden of vergelijkbare aanvallen gebruiken om netwerkverkeer af te luisteren of te manipuleren. Alleen versleutelde verbindingen via TLS moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.

Ernst: gemiddeld

Verbindingen met Elasticsearch-domeinen moeten worden versleuteld met TLS 1.2

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Elasticsearch-domeinen vereist zijn voor het gebruik van TLS 1.2. De controle mislukt als het Elasticsearch-domein TLSSecurityPolicy niet Policy-Min-TLS-1-2-2019-07 is. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS. TLS 1.2 biedt verschillende beveiligingsverbeteringen ten opzichte van eerdere versies van TLS.

Ernst: gemiddeld

DynamoDB-tabellen moeten herstel naar een bepaald tijdstip hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of herstel naar een bepaald tijdstip (PITR) is ingeschakeld voor een Amazon DynamoDB-tabel.

Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze zorgen er ook voor dat uw systemen kunnen worden hersteld. Met herstel naar een bepaald tijdstip worden back-ups voor DynamoDB-tabellen geautomatiseerd. Het vermindert de tijd om te herstellen van onbedoelde verwijderings- of schrijfbewerkingen.

DynamoDB-tabellen waarvoor PITR is ingeschakeld, kunnen worden hersteld naar elk tijdstip in de afgelopen 35 dagen.

Ernst: gemiddeld

EBS-standaardversleuteling moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of versleuteling op accountniveau standaard is ingeschakeld voor Amazon Elastic Block Store (Amazon EBS). Het besturingselement mislukt als versleuteling op accountniveau niet is ingeschakeld. Wanneer versleuteling is ingeschakeld voor uw account, worden Amazon EBS-volumes en momentopnamekopieën in rust versleuteld. Hiermee voegt u nog een beveiligingslaag voor uw gegevens toe. Zie Versleuteling standaard in de Gebruikershandleiding voor Amazon EC2 voor Linux-exemplaren voor meer informatie.

De volgende exemplaartypen bieden geen ondersteuning voor versleuteling: R1, C1 en M1.

Ernst: gemiddeld

Elastic Beanstalk-omgevingen moeten verbeterde statusrapportage hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde statusrapportage is ingeschakeld voor uw AWS Elastic Beanstalk-omgevingen. Elastische Beanstalk verbeterde statusrapportage maakt een snellere reactie op wijzigingen in de status van de onderliggende infrastructuur mogelijk. Deze wijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de toepassing. Elastic Beanstalk verbeterde statusrapportage biedt een statusdescriptor om de ernst van de geïdentificeerde problemen te meten en mogelijke oorzaken te identificeren die moeten worden onderzocht. De Elastic Beanstalk-statusagent, opgenomen in ondersteunde Amazon Machine Images (URI's), evalueert logboeken en metrische gegevens van EC2-exemplaren van de omgeving.

Ernst: Laag

Updates van het beheerde platform voor Elastic Beanstalk moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of beheerde platformupdates zijn ingeschakeld voor de Elastic Beanstalk-omgeving. Door beheerde platformupdates in te schakelen, zorgt u ervoor dat de nieuwste beschikbare platformoplossingen, updates en functies voor de omgeving worden geïnstalleerd. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: Hoog

Elastische Load Balancer mag het ACM-certificaat niet binnen 90 dagen verlopen of verlopen.

Beschrijving: Deze controle identificeert ELB (Elastic Load Balancers) die ACM-certificaten gebruiken die binnen 90 dagen verlopen of verlopen. AWS Certificate Manager (ACM) is het favoriete hulpprogramma voor het inrichten, beheren en implementeren van uw servercertificaten. Met ACM. U kunt een certificaat aanvragen of een bestaand ACM- of extern certificaat implementeren in AWS-resources. Het wordt aanbevolen om verlopen/verlopen certificaten opnieuw te importeren, terwijl de ELB-koppelingen van het oorspronkelijke certificaat behouden blijven.

Ernst: Hoog

Logboekregistratie van elasticsearch-domeinfouten naar CloudWatch-logboeken moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd voor het verzenden van foutenlogboeken naar CloudWatch-logboeken. Schakel foutlogboeken in voor Elasticsearch-domeinen en verzend deze logboeken naar CloudWatch-logboeken voor retentie en reactie. Domeinfoutlogboeken kunnen helpen bij beveiligings- en toegangscontroles en kunnen helpen bij het vaststellen van beschikbaarheidsproblemen.

Ernst: gemiddeld

Elasticsearch-domeinen moeten worden geconfigureerd met ten minste drie toegewezen hoofdknooppunten

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie toegewezen hoofdknooppunten. Dit besturingselement mislukt als het domein geen toegewezen hoofdknooppunten gebruikt. Dit besturingselement wordt doorgegeven als Elasticsearch-domeinen vijf toegewezen hoofdknooppunten hebben. Het gebruik van meer dan drie hoofdknooppunten is echter mogelijk niet nodig om het beschikbaarheidsrisico te beperken en leidt tot meer kosten. Een Elasticsearch-domein vereist ten minste drie toegewezen hoofdknooppunten voor hoge beschikbaarheid en fouttolerantie. Toegewezen hoofdknooppuntresources kunnen worden belast tijdens blauw/groene implementaties van gegevensknooppunten, omdat er meer knooppunten zijn om te beheren. Het implementeren van een Elasticsearch-domein met ten minste drie toegewezen hoofdknooppunten zorgt voor voldoende resourcecapaciteit van hoofdknooppunten en clusterbewerkingen als een knooppunt mislukt.

Ernst: gemiddeld

Elasticsearch-domeinen moeten ten minste drie gegevensknooppunten hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie gegevensknooppunten en zoneAwarenessEnabled waar is. Een Elasticsearch-domein vereist ten minste drie gegevensknooppunten voor hoge beschikbaarheid en fouttolerantie. Het implementeren van een Elasticsearch-domein met ten minste drie gegevensknooppunten zorgt ervoor dat clusterbewerkingen worden uitgevoerd als een knooppunt mislukt.

Ernst: gemiddeld

Elasticsearch-domeinen moeten auditlogboekregistratie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of elasticsearch-domeinen auditlogboekregistratie hebben ingeschakeld. Dit besturingselement mislukt als voor een Elasticsearch-domein geen auditlogboekregistratie is ingeschakeld. Auditlogboeken zijn zeer aanpasbaar. Hiermee kunt u gebruikersactiviteiten op uw Elasticsearch-clusters bijhouden, waaronder geslaagde en mislukte verificaties, aanvragen voor OpenSearch, indexwijzigingen en binnenkomende zoekquery's.

Ernst: gemiddeld

Verbeterde bewaking moet worden geconfigureerd voor RDS DB-exemplaren en -clusters

Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde bewaking is ingeschakeld voor uw RDS DB-exemplaren. Verbeterde bewaking in Amazon RDS maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Deze prestatiewijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de gegevens. Verbeterde bewaking biedt realtime metrische gegevens van het besturingssysteem waarop uw RDS DB-exemplaar wordt uitgevoerd. Er wordt een agent geïnstalleerd op het exemplaar. De agent kan nauwkeuriger metrische gegevens verkrijgen dan mogelijk is via de hypervisorlaag. Verbeterde bewakingsgegevens zijn handig als u wilt zien hoe verschillende processen of threads op een DB-exemplaar gebruikmaken van de CPU. Zie Verbeterde bewaking in de Gebruikershandleiding voor Amazon RDS voor meer informatie.

Ernst: Laag

Controleren of roulatie voor door de klant gemaakte CMK's is ingeschakeld

Beschrijving: AWS Key Management Service (KMS) stelt klanten in staat om de backingsleutel te draaien. Dit is sleutelmateriaal dat is opgeslagen in de KMS die is gekoppeld aan de sleutel-id van de door de klant gemaakte hoofdsleutel (CMK). Het is de back-upsleutel die wordt gebruikt voor het uitvoeren van cryptografische bewerkingen, zoals versleuteling en ontsleuteling. Automatische sleutelrotatie behoudt momenteel alle eerdere back-upsleutels, zodat ontsleuteling van versleutelde gegevens transparant kan plaatsvinden. Het wordt aanbevolen om CMK-sleutelrotatie in te schakelen. Het roteren van versleutelingssleutels helpt de potentiële impact van een aangetaste sleutel te verminderen, omdat gegevens die zijn versleuteld met een nieuwe sleutel, niet kunnen worden geopend met een eerdere sleutel die mogelijk beschikbaar is gemaakt.

Ernst: gemiddeld

Zorg ervoor dat logboekregistratie voor S3-buckettoegang is ingeschakeld in de CloudTrail S3-bucket

Beschrijving: S3 Bucket Access Logging genereert een logboek dat toegangsrecords bevat. Zorg ervoor dat S3 bucket-toegangslogboek is ingeschakeld in de CloudTrail S3-bucket voor elke aanvraag die is ingediend bij uw S3-bucket. Een toegangslogboekrecord bevat details over de aanvraag, zoals het aanvraagtype, de resources die in de aanvraag zijn opgegeven, en de tijd en datum waarop de aanvraag is verwerkt. Het wordt aanbevolen om logboekregistratie voor buckettoegang in de CloudTrail S3-bucket in te schakelen. Door logboekregistratie van S3-buckets in te schakelen voor doel-S3-buckets, is het mogelijk om alle gebeurtenissen vast te leggen, wat van invloed kan zijn op objecten binnen doelbuckets. Door logboeken te configureren die in een afzonderlijke bucket moeten worden geplaatst, heeft u toegang tot logboekgegevens. Dit kan handig zijn in werkstromen voor beveiligings- en incidentrespons.

Ernst: Laag

Zorg ervoor dat de S3-bucket die wordt gebruikt voor het opslaan van CloudTrail-logboeken niet openbaar toegankelijk is

Beschrijving: CloudTrail registreert een record van elke API-aanroep in uw AWS-account. Deze logboekbestanden worden opgeslagen in een S3-bucket. Het wordt aanbevolen dat het bucketbeleid of de toegangsbeheerlijst (ACL) wordt toegepast op de S3-bucket die CloudTrail-logboeken gebruikt om openbare toegang tot de CloudTrail-logboeken te voorkomen. Het toestaan van openbare toegang tot CloudTrail-logboekinhoud kan een kwaadwillende persoon helpen bij het identificeren van zwakke punten in het gebruik of de configuratie van het betrokken account.

Ernst: Hoog

IAM mag geen verlopen SSL/TLS-certificaten hebben

Beschrijving: Deze controle identificeert verlopen SSL/TLS-certificaten. Als u HTTPS-verbindingen met uw website of toepassing in AWS wilt inschakelen, hebt u een SSL/TLS-servercertificaat nodig. U kunt ACM of IAM gebruiken om servercertificaten op te slaan en te implementeren. Het verwijderen van verlopen SSL/TLS-certificaten elimineert het risico dat een ongeldig certificaat per ongeluk wordt geïmplementeerd op een resource zoals AWS Elastic Load Balancer (ELB), waardoor de geloofwaardigheid van de toepassing/website achter de ELB kan worden beschadigd. Met deze controle worden waarschuwingen gegenereerd als er verlopen SSL/TLS-certificaten zijn opgeslagen in AWS IAM. Het wordt aanbevolen verlopen certificaten te verwijderen.

Ernst: Hoog

Geïmporteerde ACM-certificaten moeten na een opgegeven periode worden vernieuwd

Beschrijving: Met dit besturingselement wordt gecontroleerd of ACM-certificaten in uw account binnen 30 dagen zijn gemarkeerd voor vervaldatum. Het controleert zowel geïmporteerde certificaten als certificaten die worden geleverd door AWS Certificate Manager. ACM kan automatisch certificaten vernieuwen die gebruikmaken van DNS-validatie. Voor certificaten die gebruikmaken van e-mailvalidatie, moet u reageren op een domeinvalidatie-e-mail. ACM verlengt ook niet automatisch certificaten die u importeert. U moet geïmporteerde certificaten handmatig vernieuwen. Zie Beheerde verlenging voor ACM-certificaten in de gebruikershandleiding voor AWS Certificate Manager voor meer informatie over beheerde verlenging voor ACM-certificaten .

Ernst: gemiddeld

Over-ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen

Beschrijving: Door te ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.

Ernst: gemiddeld

RdS automatische secundaire versie-upgrades moeten zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van secundaire versies zijn ingeschakeld voor het RDS-database-exemplaar. Als u automatische upgrades voor secundaire versies inschakelt, zorgt u ervoor dat de meest recente updates van secundaire versies voor het relationele databasebeheersysteem (RDBMS) zijn geïnstalleerd. Deze upgrades kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.

Ernst: Hoog

Momentopnamen van RDS-clusters en databasemomentopnamen moeten in rust worden versleuteld

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-momentopnamen zijn versleuteld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor momentopnamen van Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het versleutelen van data-at-rest vermindert het risico dat een niet-geverifieerde gebruiker toegang krijgt tot gegevens die op schijf zijn opgeslagen. Gegevens in RDS-momentopnamen moeten in rust worden versleuteld voor een extra beveiligingslaag.

Ernst: gemiddeld

RDS-clusters moeten verwijderingsbeveiliging hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS-clusters verwijderingsbeveiliging hebben ingeschakeld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het inschakelen van clusterverwijderingsbeveiliging is een andere beveiligingslaag tegen onbedoeld verwijderen of verwijderen van databases door een niet-geautoriseerde entiteit. Wanneer verwijderingsbeveiliging is ingeschakeld, kan een RDS-cluster niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.

Ernst: Laag

RDS DB-clusters moeten worden geconfigureerd voor meerdere Beschikbaarheidszones

Beschrijving: RDS DB-clusters moeten worden geconfigureerd voor meerdere gegevens die zijn opgeslagen. Met implementatie naar meerdere Beschikbaarheidszones kunt u Beschikbaarheidszones automatiseren om de beschikbaarheid van een failover te garanderen in het geval van een beschikbaarheidsprobleem in de beschikbaarheidszone en tijdens regelmatige RDS-onderhoudsgebeurtenissen.

Ernst: gemiddeld

RDS DB-clusters moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen

Beschrijving: Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-clusters, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-databaseclusters. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende databaseclusters overnemen.

Ernst: Laag

RDS DB-exemplaren moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen

Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-exemplaren zijn geconfigureerd voor het kopiëren van alle tags naar momentopnamen wanneer de momentopnamen worden gemaakt. Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-exemplaren, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-database-exemplaren. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende database-exemplaren overnemen.

Ernst: Laag

RDS DB-exemplaren moeten worden geconfigureerd met meerdere Beschikbaarheidszones

Beschrijving: Met dit besturingselement wordt gecontroleerd of hoge beschikbaarheid is ingeschakeld voor uw RDS DB-exemplaren. RDS DB-exemplaren moeten worden geconfigureerd voor meerdere Beschikbaarheidszones (AZ's). Dit zorgt voor de beschikbaarheid van de gegevens die zijn opgeslagen. Implementaties met meerdere AZ's maken geautomatiseerde failover mogelijk als er een probleem is met beschikbaarheidszone en tijdens regelmatig RDS-onderhoud.

Ernst: gemiddeld

RDS DB-exemplaren moeten verwijderingsbeveiliging hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw RDS DB-exemplaren die een van de vermelde database-engines gebruiken, verwijderingsbeveiliging hebben ingeschakeld. Het inschakelen van beveiliging tegen het verwijderen van exemplaren is een andere beveiligingslaag tegen onbedoelde databaseverwijdering of verwijdering door een niet-geautoriseerde entiteit. Hoewel verwijderingsbeveiliging is ingeschakeld, kan een RDS DB-exemplaar niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.

Ernst: Laag

RDS DB-exemplaren moeten versleuteling-at-rest hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of opslagversleuteling is ingeschakeld voor uw Amazon RDS DB-exemplaren. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Voor een extra beveiligingslaag voor uw gevoelige gegevens in RDS DB-exemplaren moet u uw RDS DB-exemplaren zo configureren dat ze at-rest worden versleuteld. Als u uw RDS DB-exemplaren en momentopnamen in rust wilt versleutelen, schakelt u de versleutelingsoptie in voor uw RDS DB-exemplaren. Gegevens die in rust zijn versleuteld, bevatten de onderliggende opslag voor DB-exemplaren, de geautomatiseerde back-ups, leesreplica's en momentopnamen. Met RDS versleutelde DB-exemplaren wordt het open standaard AES-256-versleutelingsalgoritmen gebruikt om uw gegevens te versleutelen op de server waarop uw RDS DB-exemplaren worden gehost. Nadat uw gegevens zijn versleuteld, verwerkt Amazon RDS verificatie van toegang en ontsleuteling van uw gegevens transparant met een minimale impact op de prestaties. U hoeft uw databaseclienttoepassingen niet te wijzigen om versleuteling te gebruiken. Amazon RDS-versleuteling is momenteel beschikbaar voor alle database-engines en opslagtypen. Amazon RDS-versleuteling is beschikbaar voor de meeste DB-exemplaarklassen. Zie Amazon RDS-resources versleutelen in de Gebruikershandleiding voor Amazon RDS voor meer informatie over DB-exemplaarklassen die geen ondersteuning bieden voor Amazon RDS-versleuteling.

Ernst: gemiddeld

RDS DB-exemplaren moeten openbare toegang verbieden

Beschrijving: U wordt aangeraden er ook voor te zorgen dat de toegang tot de configuratie van uw RDS-exemplaar wordt beperkt tot alleen geautoriseerde gebruikers, door de IAM-machtigingen van gebruikers te beperken om de instellingen en resources van RDS-exemplaren te wijzigen.

Ernst: Hoog

RDS-momentopnamen moeten openbare toegang verbieden

Beschrijving: We raden u aan alleen geautoriseerde principals toegang te geven tot de momentopname en amazon RDS-configuratie te wijzigen.

Ernst: Hoog

Ongebruikte Secrets Manager-geheimen verwijderen

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen binnen een opgegeven aantal dagen zijn geopend. De standaardwaarde is 90 dagen. Als er geen geheim is geopend binnen het gedefinieerde aantal dagen, mislukt dit besturingselement. Het verwijderen van ongebruikte geheimen is net zo belangrijk als het roteren van geheimen. Ongebruikte geheimen kunnen worden misbruikt door hun voormalige gebruikers, die geen toegang meer nodig hebben tot deze geheimen. Als meer gebruikers toegang krijgen tot een geheim, heeft iemand het mogelijk verkeerd verwerkt en gelekt naar een niet-geautoriseerde entiteit, waardoor het risico op misbruik toeneemt. Als u ongebruikte geheimen verwijdert, kunt u geheime toegang intrekken van gebruikers die deze niet meer nodig hebben. Het helpt ook om de kosten van het gebruik van Secrets Manager te verlagen. Daarom is het essentieel om ongebruikte geheimen regelmatig te verwijderen.

Ernst: gemiddeld

Voor S3-buckets moet replicatie tussen regio's zijn ingeschakeld

Beschrijving: Het inschakelen van S3-replicatie tussen regio's zorgt ervoor dat er meerdere versies van de gegevens beschikbaar zijn in verschillende regio's. Hiermee kunt u uw S3-bucket beschermen tegen DDoS-aanvallen en gegevensbeschadigingsgebeurtenissen.

Ernst: Laag

S3-buckets moeten versleuteling aan serverzijde hebben ingeschakeld

Beschrijving: Schakel versleuteling aan de serverzijde in om gegevens in uw S3-buckets te beveiligen. Door de gegevens te versleutelen, kan de toegang tot gevoelige gegevens worden voorkomen in het geval van een gegevenslek.

Ernst: gemiddeld

Geheimenbeheergeheimen die zijn geconfigureerd met automatische rotatie, moeten met succes worden gedraaid

Beschrijving: Met dit besturingselement wordt gecontroleerd of een AWS Secrets Manager-geheim is gedraaid op basis van het rotatieschema. Het besturingselement mislukt als RotationOccurringAsScheduled onwaar is. Het besturingselement evalueert geen geheimen waarvoor geen rotatie is geconfigureerd. Secrets Manager helpt u de beveiligingspostuur van uw organisatie te verbeteren. Geheimen zijn databasereferenties, wachtwoorden en API-sleutels van derden. U kunt Secrets Manager gebruiken om geheimen centraal op te slaan, geheimen automatisch te versleutelen, de toegang tot geheimen te beheren en geheimen veilig en automatisch te roteren. Secrets Manager kan geheimen draaien. U kunt rotatie gebruiken om geheimen op lange termijn te vervangen door korte termijn geheimen. Als u uw geheimen roteert, wordt beperkt hoelang een onbevoegde gebruiker een gecompromitteerd geheim kan gebruiken. Daarom moet u uw geheimen regelmatig roteren. Naast het configureren van geheimen om automatisch te draaien, moet u ervoor zorgen dat deze geheimen correct draaien op basis van het draaischema. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.

Ernst: gemiddeld

Geheimenbeheergeheimen moeten binnen een opgegeven aantal dagen worden geroteerd

Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen ten minste eenmaal binnen 90 dagen zijn gedraaid. Het roteren van geheimen kan u helpen om het risico te beperken dat uw geheimen niet worden gebruikt in uw AWS-account. Voorbeelden hiervan zijn databasereferenties, wachtwoorden, API-sleutels van derden en zelfs willekeurige tekst. Als u uw geheimen gedurende een lange periode niet wijzigt, zijn de geheimen waarschijnlijker gecompromitteerd. Naarmate meer gebruikers toegang krijgen tot een geheim, kan het waarschijnlijker worden dat iemand deze verkeerd heeft verwerkt en gelekt naar een niet-geautoriseerde entiteit. Geheimen kunnen worden gelekt via logboeken en cachegegevens. Ze kunnen worden gedeeld voor foutopsporing en kunnen niet worden gewijzigd of ingetrokken zodra de foutopsporing is voltooid. Om al deze redenen moeten geheimen regelmatig worden gedraaid. U kunt uw geheimen configureren voor automatische rotatie in AWS Secrets Manager. Met automatische rotatie kunt u geheimen op lange termijn vervangen door kortetermijngeheimen, waardoor het risico op inbreuk aanzienlijk wordt verminderd. Security Hub raadt u aan om rotatie in te schakelen voor uw Secrets Manager-geheimen. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.

Ernst: gemiddeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een SNS-onderwerp in rust is versleuteld met BEHULP van AWS KMS. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt ook een andere set toegangsbeheer toegevoegd om de mogelijkheid van onbevoegde gebruikers te beperken tot toegang tot de gegevens. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. SNS-onderwerpen moeten at-rest worden versleuteld voor een extra beveiligingslaag. Zie Voor meer informatie versleuteling-at-rest in de Handleiding voor ontwikkelaars van Amazon Simple Notification Service.

Ernst: gemiddeld

VPC-stroomlogboekregistratie moet zijn ingeschakeld in alle VPN's

Beschrijving: VPC-stroomlogboeken bieden inzicht in netwerkverkeer dat de VPC passeert en kan worden gebruikt om afwijkend verkeer of inzicht te detecteren tijdens beveiligingsgebeurtenissen.

Ernst: gemiddeld

Aanbevelingen voor GCP-gegevens

Zorg ervoor dat de databasevlag 3625 (traceringsvlag)' voor Cloud SQL SQL Server-exemplaar is ingesteld op 'uit'

Description: het is raadzaam om de databasevlag '3625 (traceringsvlag)' voor Cloud SQL SQL Server-exemplaar in te stellen op 'uit'. Traceringsvlaggen worden vaak gebruikt om prestatieproblemen te diagnosticeren of om fouten op te sporen in opgeslagen procedures of complexe computersystemen, maar ze kunnen ook worden aanbevolen door Microsoft Ondersteuning om gedrag aan te pakken dat een specifieke workload negatief beïnvloedt. Alle gedocumenteerde traceringsvlagmen en de markeringen die door Microsoft Ondersteuning worden aanbevolen, worden volledig ondersteund in een productieomgeving wanneer ze worden gebruikt zoals omgeleid. "3625(traceerlogboek)" Beperkt de hoeveelheid informatie die wordt geretourneerd aan gebruikers die geen lid zijn van de vaste serverfunctie sysadmin, door de parameters van sommige foutberichten te maskeren met behulp van '******'. Dit kan helpen bij het voorkomen van openbaarmaking van gevoelige informatie. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'Externe scripts ingeschakeld' voor Cloud SQL SQL Server-exemplaar is ingesteld op 'uit'

Description: het is raadzaam om de databasevlag 'externe scripts ingeschakeld' in te stellen voor het exemplaar van Cloud SQL SQL Server uit. Met 'externe scripts ingeschakeld' kunt u scripts uitvoeren met bepaalde externe taalextensies. Deze eigenschap is standaard UITGESCHAKELD. Wanneer Advanced Analytics Services is geïnstalleerd, kan setup deze eigenschap desgewenst instellen op true. Omdat de functie 'Externe scripts ingeschakeld' scripts toestaat die zich buiten SQL bevinden, zoals bestanden die zich in een R-bibliotheek bevinden, kunnen worden uitgevoerd, wat de beveiliging van het systeem nadelig kan beïnvloeden, moet dit daarom worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'externe toegang' voor Cloud SQL SQL Server-exemplaar is ingesteld op 'uit'

Description: het is raadzaam om de databasevlag 'externe toegang' voor Cloud SQL SQL Server-exemplaar in te stellen op 'uit'. De optie Externe toegang bepaalt de uitvoering van opgeslagen procedures van lokale of externe servers waarop exemplaren van SQL Server worden uitgevoerd. Deze standaardwaarde voor deze optie is 1. Hiermee verleent u toestemming om lokale opgeslagen procedures uit te voeren vanaf externe servers of externe opgeslagen procedures van de lokale server. Om te voorkomen dat lokale opgeslagen procedures worden uitgevoerd vanaf een externe server of externe opgeslagen procedures worden uitgevoerd op de lokale server, moet dit worden uitgeschakeld. De optie Externe toegang bepaalt de uitvoering van lokale opgeslagen procedures op externe servers of externe opgeslagen procedures op de lokale server. De functionaliteit 'Externe toegang' kan worden misbruikt om een DoS-aanval (Denial of Service) op externe servers te starten door queryverwerking uit te laden naar een doel, daarom moet dit worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar is ingesteld op 'aan'

Beschrijving: Het is raadzaam om de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar in te stellen op 'aan'. De databasevlag 'skip_show_database' voorkomt dat personen de instructie SHOW DATABASES gebruiken als ze niet de bevoegdheid SHOW DATABASES hebben. Dit kan de beveiliging verbeteren als u zich zorgen maakt over het feit dat gebruikers databases van andere gebruikers kunnen zien. Het effect is afhankelijk van de bevoegdheid SHOW DATABASES: als de variabelewaarde IS INGESCHAKELD, is de instructie SHOW DATABASES alleen toegestaan voor gebruikers met de bevoegdheid SHOW DATABASES en de instructie geeft alle databasenamen weer. Als de waarde UIT is, is SHOW DATABASES toegestaan voor alle gebruikers, maar worden alleen de namen weergegeven van de databases waarvoor de gebruiker de SHOW DATABASES of andere bevoegdheden heeft. Deze aanbeveling is van toepassing op Mysql-database-exemplaren.

Ernst: Laag

Zorg ervoor dat een door de klant beheerde versleutelingssleutel (CMEK) is opgegeven voor alle BigQuery-gegevenssets

Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft.

Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat alle BigQuery-tabellen zijn versleuteld met door de klant beheerde versleutelingssleutel (CMEK)

Beschrijving: BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. De gegevens worden versleuteld met behulp van de gegevensversleutelingssleutels en gegevensversleutelingssleutels zelf worden verder versleuteld met behulp van sleutelversleutelingssleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Als u echter meer controle wilt hebben, kan CMEK (Door de klant beheerde versleutelingssleutels) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. Als CMEK wordt gebruikt, wordt de CMEK gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Voor meer controle over de versleuteling kunnen door de klant beheerde versleutelingssleutels (CMEK) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-tabellen. De CMEK wordt gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery slaat de tabel- en CMEK-koppeling op en de versleuteling/ontsleuteling wordt automatisch uitgevoerd. Als u de door de klant beheerde standaardsleutels toepast op BigQuery-gegevenssets, zorgt u ervoor dat alle nieuwe tabellen die in de toekomst worden gemaakt, worden versleuteld met BEHULP van CMEK, maar bestaande tabellen moeten worden bijgewerkt om CMEK afzonderlijk te kunnen gebruiken.

Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat BigQuery-gegevenssets niet anoniem of openbaar toegankelijk zijn

Beschrijving: Het wordt aanbevolen dat het IAM-beleid voor BigQuery-gegevenssets anonieme en/of openbare toegang niet toestaat. Als u machtigingen verleent aan allUsers of allAuthenticatedUsers, heeft iedereen toegang tot de gegevensset. Dergelijke toegang is mogelijk niet wenselijk als gevoelige gegevens worden opgeslagen in de gegevensset. Zorg er daarom voor dat anonieme en/of openbare toegang tot een gegevensset niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud SQL-database-exemplaren zijn geconfigureerd met geautomatiseerde back-ups

Beschrijving: Het is raadzaam om alle SQL Database-exemplaren in te stellen om automatische back-ups in te schakelen. Back-ups bieden een manier om een Cloud SQL-exemplaar te herstellen om verloren gegevens te herstellen of om een probleem met dat exemplaar te herstellen. Geautomatiseerde back-ups moeten worden ingesteld voor elk exemplaar dat gegevens bevat die moeten worden beschermd tegen verlies of schade. Deze aanbeveling is van toepassing op exemplaren van SQL Server, PostgreSql, MySql generatie 1 en MySql generatie 2.

Ernst: Hoog

Zorg ervoor dat Cloud SQL-database-exemplaren niet ter wereld worden geopend

Beschrijving: Database Server mag alleen verbindingen van vertrouwde netwerken/IP('s) accepteren en de toegang van de wereld beperken. Om de kwetsbaarheid voor aanvallen op een databaseserverexemplaren te minimaliseren, moeten alleen vertrouwde/bekende en vereiste IP('s) worden goedgekeurd om er verbinding mee te maken. Een geautoriseerd netwerk mag geen IP-adressen/netwerken hebben geconfigureerd op 0.0.0.0/0, waardoor toegang tot het exemplaar overal ter wereld mogelijk is. Houd er rekening mee dat geautoriseerde netwerken alleen van toepassing zijn op exemplaren met openbare IP-adressen.

Ernst: Hoog

Zorg ervoor dat cloud-SQL-database-exemplaren geen openbare IP-adressen hebben

Beschrijving: Het is raadzaam om een SQL-exemplaar van de tweede generatie te configureren voor het gebruik van privé-IP's in plaats van openbare IP-adressen. Om de kwetsbaarheid voor aanvallen van de organisatie te verlagen, mogen Cloud SQL-databases geen openbare IP-adressen hebben. Privé-IP's bieden verbeterde netwerkbeveiliging en lagere latentie voor uw toepassing.

Ernst: Hoog

Zorg ervoor dat de Cloud Storage-bucket niet anoniem of openbaar toegankelijk is

Beschrijving: Het wordt aanbevolen dat IAM-beleid voor cloudopslagbucket geen anonieme of openbare toegang toestaat. Anonieme of openbare toegang verleent machtigingen aan iedereen om toegang te krijgen tot bucketinhoud. Dergelijke toegang is mogelijk niet gewenst als u gevoelige gegevens opslaat. Zorg er daarom voor dat anonieme of openbare toegang tot een bucket niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud Storage-buckets uniforme toegang op bucketniveau hebben ingeschakeld

Beschrijving: Het wordt aanbevolen dat uniforme toegang op bucketniveau is ingeschakeld voor Cloud Storage-buckets. Het is raadzaam om uniforme toegang op bucketniveau te gebruiken om de manier waarop u toegang verleent tot uw Cloud Storage-resources te samenvoegen en te vereenvoudigen. Cloud Storage biedt twee systemen voor het verlenen van toegang tot uw buckets en objecten: Cloud Identity and Access Management (Cloud IAM) en Access Control Lists (ACL's).
Deze systemen werken parallel, zodat een gebruiker toegang heeft tot een Cloud Storage-resource, hoeft slechts één van de systemen de gebruikersmachtigingen te verlenen. Cloud-IAM wordt gebruikt in google cloud en stelt u in staat om verschillende machtigingen te verlenen op bucket- en projectniveau. ACL's worden alleen gebruikt door Cloud Storage en hebben beperkte machtigingsopties, maar u kunt hiermee machtigingen per object verlenen.

Om een uniform machtigingssysteem te ondersteunen, heeft Cloud Storage uniforme toegang op bucketniveau. Als u deze functie gebruikt, worden ACL's uitgeschakeld voor alle cloudopslagresources: toegang tot cloudopslagresources wordt vervolgens uitsluitend verleend via Cloud IAM. Het inschakelen van uniforme toegang op bucketniveau garandeert dat als een opslagbucket niet openbaar toegankelijk is, er ook geen object in de bucket openbaar toegankelijk is.

Ernst: gemiddeld

Zorg ervoor dat Compute-exemplaren Confidential Computing hebben ingeschakeld

Beschrijving: Google Cloud versleutelt data-at-rest en in-transit, maar klantgegevens moeten worden ontsleuteld voor verwerking. Confidential Computing is een baanbrekende technologie die gegevens in gebruik versleutelt terwijl deze worden verwerkt. Confidential Computing-omgevingen bewaren gegevens versleuteld in het geheugen en elders buiten de centrale verwerkingseenheid (CPU). Vertrouwelijke VM's maken gebruik van de SEV-functie (Secure Encrypted Virtualization) van AMD EPYC-CPU's. Klantgegevens blijven versleuteld terwijl ze worden gebruikt, geïndexeerd, opgevraagd of getraind. Versleutelingssleutels worden gegenereerd in hardware, per VM en kunnen niet worden geëxporteerd. Dankzij ingebouwde hardwareoptimalisaties van zowel prestaties als beveiliging is er geen aanzienlijke prestatiestraf voor Confidential Computing-workloads. Confidential Computing maakt gevoelige code van klanten en andere gegevens die tijdens de verwerking in het geheugen zijn versleuteld. Google heeft geen toegang tot de versleutelingssleutels. Vertrouwelijke VM kan helpen bij het verlichten van problemen met betrekking tot risico's met betrekking tot de afhankelijkheid van de Google-infrastructuur of de toegang van Google-insiders tot klantgegevens.

Ernst: Hoog

Zorg ervoor dat bewaarbeleid voor logboekbuckets is geconfigureerd met Bucket Lock

Beschrijving: als u bewaarbeleid inschakelt voor logboekbuckets, worden logboeken die zijn opgeslagen in cloudopslagbuckets beschermd tegen overschreven of per ongeluk verwijderd. Het is raadzaam om bewaarbeleid in te stellen en Bucket Lock te configureren voor alle opslagbuckets die worden gebruikt als logboeksinks. Logboeken kunnen worden geëxporteerd door een of meer sinks te maken die een logboekfilter en een bestemming bevatten. Omdat Stackdriver-logboekregistratie nieuwe logboekvermeldingen ontvangt, worden deze vergeleken met elke sink. Als een logboekvermelding overeenkomt met het filter van een sink, wordt een kopie van de logboekvermelding naar het doel geschreven. Sinks kunnen worden geconfigureerd voor het exporteren van logboeken in opslagbuckets. Het is raadzaam om een beleid voor gegevensretentie te configureren voor deze buckets voor cloudopslag en om het bewaarbeleid voor gegevens te vergrendelen; aldus permanent verhinderen dat het beleid wordt verminderd of verwijderd. Op deze manier, als het systeem ooit wordt aangetast door een aanvaller of een kwaadwillende insider die hun sporen wil behandelen, worden de activiteitenlogboeken zeker bewaard voor forensische en beveiligingsonderzoeken.

Ernst: Laag

Zorg ervoor dat voor het cloud-SQL-database-exemplaar alle binnenkomende verbindingen zijn vereist voor het gebruik van SSL

Beschrijving: Het is raadzaam om alle binnenkomende verbindingen met het SQL Database-exemplaar af te dwingen voor het gebruik van SSL. SQL Database-verbindingen als deze zijn vastgelopen (MITM); kan gevoelige gegevens weergeven, zoals referenties, databasequery's, query-uitvoer, enzovoort. Voor beveiliging is het raadzaam altijd SSL-versleuteling te gebruiken bij het maken van verbinding met uw exemplaar. Deze aanbeveling is van toepassing op Postgresql-, MySql-generatie 1- en MySql generatie 2-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'ingesloten databaseverificatie' voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'

Description: Het is raadzaam om de databasevlag 'ingesloten databaseverificatie' in te stellen voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'. Een ingesloten database bevat alle database-instellingen en metagegevens die nodig zijn om de database te definiëren en heeft geen configuratieafhankelijkheden voor het exemplaar van de Database Engine waarop de database is geïnstalleerd. Gebruikers kunnen verbinding maken met de database zonder zich aan te melden op Database Engine niveau. Door de database te isoleren van de Database Engine kunt u de database eenvoudig verplaatsen naar een ander exemplaar van SQL Server. Ingesloten databases hebben enkele unieke bedreigingen die moeten worden begrepen en beperkt door SQL Server Database Engine beheerders. De meeste bedreigingen zijn gerelateerd aan het verificatieproces USER WITH PASSWORD, waarmee de verificatiegrens van het Database Engine-niveau naar het databaseniveau wordt verplaatst. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'eigendomskoppeling tussen databases' voor Cloud SQL SQL Server-exemplaar is ingesteld op 'uit'

Description: Het is raadzaam om de databasevlag 'eigendomskoppeling tussen databases' in te stellen voor cloud-SQL-SQL Server-exemplaar op 'uit'. Gebruik de optie 'eigendom voor meerdere databases' om keteneigendomsketens voor meerdere databases te configureren voor een exemplaar van Microsoft SQL Server. Met deze serveroptie kunt u het eigendom van meerdere databases beheren op databaseniveau of het koppelen van eigendom tussen databases toestaan voor alle databases. Het inschakelen van 'eigendom tussen databases' wordt niet aanbevolen, tenzij alle databases die worden gehost door het exemplaar van SQL Server moeten deelnemen aan het koppelen van meerdere databases en u op de hoogte bent van de gevolgen voor de beveiliging van deze instelling. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'local_infile' voor een Cloud SQL Mysql-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de local_infile databasevlag in te stellen voor een Cloud SQL MySQL-exemplaar om uit te schakelen. De vlag local_infile bepaalt de LOKALE functie aan de serverzijde voor LOAD DATA-instructies. Afhankelijk van de local_infile-instelling weigert of staat de server het laden van lokale gegevens toe door clients waarvoor LOCAL is ingeschakeld aan de clientzijde. Als u expliciet wilt voorkomen dat de server LOAD DATA LOCAL-instructies weigert (ongeacht hoe clientprogramma's en bibliotheken tijdens de build of runtime zijn geconfigureerd), begint mysqld u met local_infile uitgeschakeld. local_infile kan ook tijdens runtime worden ingesteld. Vanwege beveiligingsproblemen die zijn gekoppeld aan de vlag local_infile, is het raadzaam deze uit te schakelen. Deze aanbeveling is van toepassing op MySQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in IAM-machtigingen voor Cloud Storage

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor IAM-wijzigingen in cloudopslagbucket. Het bewaken van wijzigingen in machtigingen voor cloudopslagbuckets kan de tijd verminderen die nodig is voor het detecteren en corrigeren van machtigingen voor gevoelige buckets voor cloudopslag en -objecten in de bucket.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de configuratie van SQL-exemplaren

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor configuratiewijzigingen van SQL-exemplaren. Het bewaken van wijzigingen in de configuratie van SQL-exemplaren kan de tijd verminderen die nodig is om onjuiste configuraties op de SQL-server te detecteren en te corrigeren. Hieronder ziet u enkele van de configureerbare opties die van invloed kunnen zijn op de beveiligingspostuur van een SQL-exemplaar:

Automatische back-ups en hoge beschikbaarheid inschakelen: Onjuiste configuratie kan nadelige gevolgen hebben voor bedrijfscontinuïteit, herstel na noodgevallen en hoge beschikbaarheid
Netwerken autoriseren: onjuiste configuratie kan de blootstelling aan niet-vertrouwde netwerken verhogen

Ernst: Laag

Zorg ervoor dat er alleen door GCP beheerde serviceaccountsleutels zijn voor elk serviceaccount

Beschrijving: Door de gebruiker beheerde serviceaccounts mogen geen door de gebruiker beheerde sleutels hebben. Iedereen die toegang heeft tot de sleutels, heeft toegang tot resources via het serviceaccount. GCP-beheerde sleutels worden gebruikt door Cloud Platform-services zoals App Engine en Compute Engine. Deze sleutels kunnen niet worden gedownload. Google bewaart de sleutels en draait ze automatisch wekelijks. Door de gebruiker beheerde sleutels worden gemaakt, gedownload en beheerd door gebruikers. Ze verlopen 10 jaar na de creatie. Voor door de gebruiker beheerde sleutels moet de gebruiker eigenaar worden van belangrijke beheeractiviteiten, waaronder:

Sleutelopslag
Sleuteldistributie
Sleutelintrekking
Sleutelroulatie
Sleutelbeveiliging tegen niet-geautoriseerde gebruikers
Sleutelherstel

Zelfs met voorzorgsmaatregelen van de sleuteleigenaar kunnen sleutels eenvoudig worden gelekt door minder dan optimale algemene ontwikkelprocedures, zoals het controleren van sleutels in de broncode of het verlaten ervan in de map Downloads, of het per ongeluk verlaten van sleutels op ondersteuningsblogs/kanalen. Het wordt aanbevolen om door de gebruiker beheerde serviceaccountsleutels te voorkomen.

Ernst: Laag

Zorg ervoor dat de databasevlag 'gebruikersverbindingen' voor Cloud SQL SQL Server-exemplaar is ingesteld op de juiste manier

Description: Het is raadzaam om de databasevlag 'gebruikersverbindingen' in te stellen voor cloud-SQL-SQL Server-exemplaar op basis van de door de organisatie gedefinieerde waarde. De optie Gebruikersverbindingen geeft het maximum aantal gelijktijdige gebruikersverbindingen op dat is toegestaan op een exemplaar van SQL Server. Het werkelijke aantal toegestane gebruikersverbindingen is ook afhankelijk van de versie van SQL Server die u gebruikt, en ook de limieten van uw toepassing of toepassingen en hardware. SQL Server maximaal 32.767 gebruikersverbindingen toestaat. Omdat gebruikersverbindingen een dynamische optie (zelf configureren) zijn, past SQL Server het maximum aantal gebruikersverbindingen automatisch aan, tot de maximaal toegestane waarde. Als er bijvoorbeeld slechts 10 gebruikers zijn aangemeld, worden er 10 gebruikersverbindingsobjecten toegewezen. In de meeste gevallen hoeft u de waarde voor deze optie niet te wijzigen. De standaardwaarde is 0, wat betekent dat de maximumgebruikersverbindingen (32.767) zijn toegestaan. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'Gebruikersopties' voor Cloud SQL SQL Server-exemplaar niet is geconfigureerd

Description: het is raadzaam om de databasevlag 'gebruikersopties' voor cloud-SQL-SQL Server-exemplaar niet te configureren. Met de optie 'gebruikersopties' worden algemene standaardwaarden voor alle gebruikers opgegeven. Er wordt een lijst met standaardopties voor queryverwerking ingesteld voor de duur van de werksessie van een gebruiker. Met de instelling voor gebruikersopties kunt u de standaardwaarden van de SET-opties wijzigen (als de standaardinstellingen van de server niet geschikt zijn). Een gebruiker kan deze standaardinstellingen overschrijven met behulp van de SET-instructie. U kunt gebruikersopties dynamisch configureren voor nieuwe aanmeldingen. Nadat u de instelling van gebruikersopties hebt gewijzigd, gebruiken nieuwe aanmeldingssessies de nieuwe instelling; huidige aanmeldingssessies worden niet beïnvloed. Deze aanbeveling is van toepassing op SQL Server database-exemplaren.

Ernst: Laag

Logboekregistratie voor GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.

Ernst: Hoog

Objectversiebeheer moet zijn ingeschakeld voor opslagbuckets waar sinks zijn geconfigureerd

Beschrijving: Deze aanbeveling evalueert of het ingeschakelde veld in de eigenschap versiebeheer van de bucket is ingesteld op waar.

Ernst: Hoog

Over-ingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen

Beschrijving: Door overingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.

Ernst: gemiddeld

Projecten met cryptografische sleutels mogen geen gebruikers met eigenaarsmachtigingen hebben

Beschrijving: Deze aanbeveling evalueert het IAM-beleid toestaan in projectmetagegevens voor principals toegewezen rollen/eigenaar.

Ernst: gemiddeld

Opslagbuckets die worden gebruikt als een logboeksink mogen niet openbaar toegankelijk zijn

Beschrijving: Deze aanbeveling evalueert het IAM-beleid van een bucket voor de principals allUsers of allAuthenticatedUsers, die openbare toegang verlenen.

Ernst: Hoog

Geografisch redundante back-ups moeten zijn ingeschakeld voor PostgreSQL-servers

Beschrijving:
Wat is geografisch redundante back-up? Geografisch redundante back-up repliceert serverback-ups naar een gekoppelde Azure regio, wat tolerantie biedt tegen regionale fouten.

Waarom is het een beveiligingsprobleem? Als geografisch redundante back-ups zijn uitgeschakeld, kan een regionale storing leiden tot gegevensverlies en uitgebreide downtime, wat van invloed is op beschikbaarheid en naleving.

Hoe kunnen aanvallers het misbruiken of hoe kunnen ze leiden tot gegevensschendingen? Hoewel het ontbreken van georedundantie niet rechtstreeks exploiteerbaar is, verhoogt het ontbreken van georedundantie de impact van rampen of gerichte aanvallen op één regio.

Ernst: Laag

require_secure_transport moet worden ingesteld op on voor Azure Database for PostgreSQL servers

Beschrijving:
Wat is require_secure_transport? require_secure_transport is een parameter op serverniveau die het gebruik van SSL/TLS afdwingt voor alle clientverbindingen met PostgreSQL. Wanneer dit is ingesteld op ingeschakeld, moeten clients verbinding maken via versleutelde kanalen.

Waarom is het een beveiligingsprobleem? Als deze instelling is uitgeschakeld (uit), kunnen clients verbinding maken via niet-versleutelde kanalen, gevoelige gegevens zoals referenties, query's en resultaten beschikbaar maken voor onderschepping of manipulatie.

Hoe kunnen aanvallers het misbruiken of hoe kunnen ze leiden tot gegevensschendingen? Een aanvaller in het netwerk kan een man-in-the-middle-aanval uitvoeren, gegevens onderscheppen of wijzigen die worden uitgewisseld tussen de client en de server als versleuteling niet wordt afgedwongen.

Ernst: Hoog

Privé-eindpunt moet worden geconfigureerd voor Azure Database for PostgreSQL Servers

Beschrijving:

Wat is een privé-eindpunt? Met een privé-eindpunt in Azure kunnen resources veilig worden geopend via een privé-IP-adres in een virtueel netwerk. Voor Azure Database for PostgreSQL servers zorgt het configureren van een privé-eindpunt ervoor dat databaseverkeer niet via het openbare internet gaat.

Waarom is het een beveiligingsprobleem? Zonder een privé-eindpunt kan de server worden blootgesteld aan openbare netwerktoegang, waardoor het risico op onbevoegde toegang, gegevensonderschepping en denial-of-service-aanvallen toeneemt.

Hoe kunnen aanvallers het misbruiken of hoe kunnen ze leiden tot gegevensschendingen? Een aanvaller kan openbare IP-bereiken scannen om blootgestelde servers te detecteren en brute-force of aanvallen op basis van aanvallen uit te voeren. Openbare blootstelling verhoogt ook het risico van gegevensexfiltratie via gecompromitteerde clients.

Ernst: Hoog

'Toegang tot Azure-services toestaan' moet zijn uitgeschakeld voor PostgreSQL-servers

Beschrijving:

Wat is 'Toegang tot Azure-services toestaan'? Met deze instelling maakt u een firewallregel waarmee alle Azure services verbinding kunnen maken met de PostgreSQL-server. Hoewel dit handig is, leidt dit tot een aanzienlijk risico door verbindingen vanuit elk Azure abonnement toe te staan.

Waarom is het een beveiligingsprobleem? Als u deze instelling inschakelt, worden besturingselementen voor netwerkisolatie overgeslagen, waardoor de database mogelijk wordt blootgesteld aan onbevoegde toegang vanuit externe Azure tenants.

Hoe kunnen aanvallers het misbruiken of hoe kunnen ze leiden tot gegevensschendingen? Een aanvaller die vanaf een ander Azure-abonnement werkt, kan beveiligingsaanvallen proberen of beveiligingsproblemen misbruiken als deze regel is ingeschakeld.

Ernst: Hoog

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-20