Säkerhetsrekommendationer för nätverk

I den här artikeln visas alla rekommendationer för nätverkssäkerhet som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration. Du kan se rekommendationerna i portalen som gäller för dina resurser.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Rekommendationer för Azure-nätverk

Åtkomst till lagringskonton med brandväggs- och konfigurationer för virtuella nätverk bör begränsas

Beskrivning: Granska inställningarna för nätverksåtkomst i brandväggsinställningarna för lagringskontot. Vi rekommenderar att du konfigurerar nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten).

Allvarlighetsgrad: Låg

Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer

Beskrivning: Defender för molnet har analyserat internettrafikkommunikationsmönstren för de virtuella datorer som anges nedan och fastställt att de befintliga reglerna i NSG:erna som är associerade med dem är alltför tillåtande, vilket resulterar i en ökad potentiell attackyta. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnet hotinformationskällor. (Relaterad princip: Rekommendationer för adaptiv nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer).

Allvarlighetsgrad: Hög

Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn

Beskrivning: Defender för molnet har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. (Relaterad princip: Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn).

Allvarlighetsgrad: Hög

Azure DDoS Protection Standard ska vara aktiverat

Beskrivning: Defender för molnet har identifierat virtuella nätverk med Application Gateway-resurser som inte skyddas av DDoS-skyddstjänsten. Dessa resurser innehåller offentliga IP-adresser. Aktivera minskning av nätverksvolymer och protokollattacker. (Relaterad princip: Azure DDoS Protection Standard ska vara aktiverat).

Allvarlighetsgrad: Medel

Internet-inriktade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda den virtuella datorn från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, i eller utanför samma undernät. För att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. Virtuella datorer med hög allvarlighetsgrad är internetuppkopplade virtuella datorer. (Relaterad princip: Internetuppkopplade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Hög

IP-vidarebefordran på den virtuella datorn bör inaktiveras

Beskrivning: Defender för molnet har upptäckt att IP-vidarebefordring är aktiverat på några av dina virtuella datorer. Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. (Relaterad princip: IP-vidarebefordran på den virtuella datorn bör inaktiveras).

Allvarlighetsgrad: Medel

Datorer bör ha portar stängda som kan exponera attackvektorer

Beskrivning: Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra någon Microsoft-server eller nätverket. Den här rekommendationen visar exponerade portar som måste stängas för din fortsatta säkerhet. Det illustrerar också det potentiella hotet mot varje port. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk

Beskrivning: Defender för molnet har identifierat några alltför tillåtande regler för inkommande trafik för hanteringsportar i nätverkssäkerhetsgruppen. Aktivera just-in-time-åtkomstkontroll för att skydda den virtuella datorn från internetbaserade brute-force-attacker. Läs mer i Förstå jit-åtkomst (just-in-time) för virtuella datorer. (Relaterad princip: Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk).

Allvarlighetsgrad: Hög

Hanteringsportarna bör vara stängda på de virtuella datorerna

Beskrivning: Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. (Relaterad princip: Hanteringsportar bör stängas på dina virtuella datorer).

Allvarlighetsgrad: Medel

Virtuella datorer som inte är anslutna till Internet bör skyddas med nätverkssäkerhetsgrupper

Beskrivning: Skydda din virtuella dator som inte är internetuppkopplad från potentiella hot genom att begränsa åtkomsten till den med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till den virtuella datorn från andra instanser, oavsett om de finns i samma undernät eller inte. Observera att för att hålla datorn så säker som möjligt måste den virtuella datorns åtkomst till Internet begränsas och en NSG ska vara aktiverad i undernätet. (Relaterad princip: Virtuella datorer som inte är internetuppkopplade ska skyddas med nätverkssäkerhetsgrupper).

Allvarlighetsgrad: Låg

Säker överföring till lagringskonton ska vara aktiverat

Beskrivning: Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Säker överföring till lagringskonton ska vara aktiverad).

Allvarlighetsgrad: Hög

(Aktivera om det behövs) Undernät ska associeras med en nätverkssäkerhetsgrupp

Beskrivning: Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. När en NSG är associerad med ett undernät gäller ACL-reglerna för alla vm-instanser och integrerade tjänster i undernätet, men gäller inte för intern trafik i undernätet. Om du vill skydda resurser i samma undernät från varandra aktiverar du även NSG direkt på resurserna. Observera att följande undernätstyper visas som ej tillämpliga: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet.

Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip som ska granskas. Läs mer i Hantera säkerhetsprinciper. (Relaterad princip: Undernät ska associeras med en nätverkssäkerhetsgrupp).

Allvarlighetsgrad: Låg

Virtuella nätverk bör skyddas av Azure Firewall

Beskrivning: Vissa av dina virtuella nätverk är inte skyddade med en brandvägg. Använd Azure Firewall för att begränsa åtkomsten till dina virtuella nätverk och förhindra potentiella hot. (Relaterad princip: All Internettrafik ska dirigeras via din distribuerade Azure Firewall).

AWS-nätverksrekommendationer

Aktivt skydd mot hot ska vara aktiverat i AWS-nätverksbrandväggen

Beskrivning: Defender för molnet har identifierat att aktivt skydd mot hot inte är aktiverat i AWS Network Firewall. Aktivt skydd mot hot övervakar kontinuerligt nätverkstrafiken för att identifiera misstänkta mönster och potentiella hot. Utan det kan ditt nätverk exponeras för avancerade attacker som kringgår standard säkerhetsåtgärder, vilket ökar risken för dataintrång eller annan skadlig aktivitet.

Allvarlighetsgrad: Medel

Aliasmål bör konfigureras för Route53 Hostedzone A-poster

Beskrivning: Defender för molnet identifierade en Route 53 A-post som inte använder ett aliasmål. Route 53 A-poster bör använda aliasmål för att ansluta direkt till AWS-hanterade resurser genom att referera till AWS-resursnamn. Användning av statiska IP-adresser i A-poster kan resultera i inaktuella DNS-poster, felutdelning av trafik, minskad tillgänglighet och ökad säkerhetsrisk när underliggande AWS-resursslutpunkter ändras.

Allvarlighetsgrad: Medel

Amazon EC2 bör konfigureras för att använda VPC-slutpunkter

Beskrivning: Den här kontrollen kontrollerar om en tjänstslutpunkt för Amazon EC2 skapas för varje VPC. Kontrollen misslyckas om en VPC inte har en VPC-slutpunkt som skapats för Amazon EC2-tjänsten. För att förbättra säkerhetsstatusen för din VPC kan du konfigurera Amazon EC2 för att använda en gränssnitts-VPC-slutpunkt. Gränssnittsslutpunkter drivs av AWS PrivateLink, en teknik som gör att du kan komma åt Amazon EC2 API-åtgärder privat. Den begränsar all nätverkstrafik mellan din VPC och Amazon EC2 till Amazon-nätverket. Eftersom slutpunkter endast stöds inom samma region kan du inte skapa en slutpunkt mellan en VPC och en tjänst i en annan region. Detta förhindrar oavsiktliga Amazon EC2 API-anrop till andra regioner. Mer information om hur du skapar VPC-slutpunkter för Amazon EC2 finns i Amazon EC2- och gränssnitts-VPC-slutpunkter i Amazon EC2-användarhandboken för Linux-instanser.

Allvarlighetsgrad: Medel

Amazon ECS-tjänster bör inte ha offentliga IP-adresser tilldelade automatiskt

Beskrivning: En offentlig IP-adress är en IP-adress som kan nås från Internet. Om du startar dina Amazon ECS-instanser med en offentlig IP-adress kan dina Amazon ECS-instanser nås från Internet. Amazon ECS-tjänster bör inte vara offentligt tillgängliga, eftersom detta kan ge oavsiktlig åtkomst till dina containerprogramservrar.

Allvarlighetsgrad: Hög

Amazon EMR-klusterhuvudnoder bör inte ha offentliga IP-adresser

Beskrivning: Den här kontrollen kontrollerar om huvudnoder i Amazon EMR-kluster har offentliga IP-adresser. Kontrollen misslyckas om huvudnoden har offentliga IP-adresser som är associerade med någon av dess instanser. Offentliga IP-adresser anges i fältet PublicIp i NetworkInterfaces-konfigurationen för instansen. Den här kontrollen kontrollerar endast Amazon EMR-kluster som är i körnings- eller väntetillstånd.

Allvarlighetsgrad: Hög

Amazon Redshift-kluster bör använda förbättrad VPC-routning

Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har EnhancedVpcRouting aktiverat. Förbättrad VPC-routning tvingar all COPY- och UNLOAD-trafik mellan klustret och datalagringsplatserna att gå igenom din VPC. Du kan sedan använda VPC-funktioner som säkerhetsgrupper och listor över nätverksåtkomstkontroll för att skydda nätverkstrafik. Du kan också använda VPC-flödesloggar för att övervaka nätverkstrafik.

Allvarlighetsgrad: Hög

Application Load Balancer ska konfigureras för att omdirigera alla HTTP-begäranden till HTTPS

Beskrivning: Om du vill framtvinga kryptering under överföring bör du använda omdirigeringsåtgärder med Programlastbalanserare för att omdirigera HTTP-klientbegäranden till en HTTPS-begäran på port 443.

Allvarlighetsgrad: Medel

Programlastbalanserare ska konfigureras för att släppa HTTP-huvuden

Beskrivning: Den här kontrollen utvärderar AWS-programlastbalanserare (ALB) för att säkerställa att de är konfigurerade för att släppa ogiltiga HTTP-huvuden. Kontrollen misslyckas om värdet för routing.http.drop_invalid_header_fields.enabled är inställt på false. Som standard är ALB inte konfigurerade för att släppa ogiltiga HTTP-huvudvärden. Om du tar bort dessa rubrikvärden förhindrar du HTTP-desynkroniseringsattacker.

Allvarlighetsgrad: Medel

Acceptera delade bifogade filer automatiskt bör inaktiveras för AWS-överföringsgatewayer

Beskrivning: Defender for Cloud har identifierat att din AWS Transit Gateway automatiskt godkänner delade VPC-bifogade filer. Detta utgör en risk genom att eventuellt tillåta obehöriga anslutningar mellan konton eller kors-VPC, vilket ökar risken för lateral förflyttning och exponering av interna nätverk. Åtgärda den här risken genom att inaktivera delning mellan konton.

Allvarlighetsgrad: Medel

Skapa artefaktkryptering med kundhanterade nycklar ska konfigureras på CodePipeline

Beskrivning: Defender för molnet har identifierat att CodePipeline inte använder en kundhanterad AWS KMS-nyckel för kryptering av byggartefakter. I CodePipeline tillåter en kundhanterad nyckel detaljerad kontroll över kryptering, nyckelrotation och åtkomstbehörigheter. Detta utgör en risk för konfidentialiteten och integriteten för dina lagrade artefakter, vilket kan leda till obehörig åtkomst och dataintrång.

Allvarlighetsgrad: Låg

Konfigurera Lambda-funktioner till en VPC

Beskrivning: Den här kontrollen kontrollerar om en Lambda-funktion finns i en VPC. Den utvärderar inte konfigurationen för VPC-undernätsroutning för att fastställa offentlig nåbarhet. Observera att om Lambda@Edge hittas i kontot genererar den här kontrollen misslyckade resultat. Om du vill förhindra dessa resultat kan du inaktivera den här kontrollen.

Allvarlighetsgrad: Låg

EC2-instanser bör inte ha någon offentlig IP-adress

Beskrivning: Den här kontrollen kontrollerar om EC2-instanser har en offentlig IP-adress. Kontrollen misslyckas om fältet "publicIp" finns i ec2-instanskonfigurationsobjektet. Den här kontrollen gäller endast för IPv4-adresser. En offentlig IPv4-adress är en IP-adress som kan nås från Internet. Om du startar din instans med en offentlig IP-adress kan din EC2-instans nås från Internet. En privat IPv4-adress är en IP-adress som inte kan nås från Internet. Du kan använda privata IPv4-adresser för kommunikation mellan EC2-instanser i samma virtuella dator eller i ditt anslutna privata nätverk. IPv6-adresser är globalt unika och kan därför nås från Internet. Men som standard har alla undernät IPv6-adresseringsattributet inställt på false. Mer information om IPv6 finns i IP-adressering i din VPC i Amazon VPC-användarhandboken. Om du har ett legitimt användningsfall för att underhålla EC2-instanser med offentliga IP-adresser kan du ignorera resultaten från den här kontrollen. Mer information om alternativ för klientdelsarkitektur finns i AWS-arkitekturbloggeneller serien This Is My Architecture (Det här är min arkitektur).

Allvarlighetsgrad: Hög

EC2-instanser bör inte använda flera ENI:er

Beskrivning: Den här kontrollen kontrollerar om en EC2-instans använder flera ELASTISKA (Elastic Network Interfaces) eller Elastic Fabric Adapters (EFA). Den här kontrollen skickas om ett enda nätverkskort används. Kontrollen innehåller en valfri parameterlista för att identifiera tillåtna ENI:er. Flera ENI:er kan orsaka instanser med dubbla hem, vilket innebär instanser som har flera undernät. Detta kan lägga till nätverkssäkerhetskomplexitet och introducera oavsiktliga nätverkssökvägar och åtkomst.

Allvarlighetsgrad: Låg

EC2-instanser bör använda IMDSv2

Beskrivning: Den här kontrollen kontrollerar om ec2-instansens metadataversion har konfigurerats med Instansmetadatatjänst version 2 (IMDSv2). Kontrollen skickas om "HttpTokens" är inställt på "required" för IMDSv2. Kontrollen misslyckas om "HttpTokens" är inställd på "valfritt". Du använder instansmetadata för att konfigurera eller hantera den instans som körs. IMDS ger åtkomst till tillfälliga, ofta roterade autentiseringsuppgifter. Dessa autentiseringsuppgifter tar bort behovet av att hårdkoda eller distribuera känsliga autentiseringsuppgifter till instanser manuellt eller programmatiskt. IMDS kopplas lokalt till varje EC2-instans. Den körs på en särskild "länklokal" IP-adress på 169.254.169.254. Den här IP-adressen är endast tillgänglig för programvara som körs på instansen. Version 2 av IMDS lägger till nya skydd för följande typer av säkerhetsrisker. Dessa sårbarheter kan användas för att försöka komma åt IMDS.

• Öppna brandväggar för webbplatsprogram
• Öppna omvända proxyservrar
• SSRF-sårbarheter (request forgery) på serversidan
• Open Layer 3-brandväggar och NAT-säkerhetshubben (Network Address Translation) rekommenderar att du konfigurerar dina EC2-instanser med IMDSv2.

Allvarlighetsgrad: Hög

EC2-undernät bör inte automatiskt tilldela offentliga IP-adresser

Beskrivning: Den här kontrollen kontrollerar om tilldelningen av offentliga IP-adresser i Amazon Virtual Private Cloud-undernät (Amazon VPC) har "MapPublicIpOnLaunch" inställt på "FALSE". Kontrollen skickas om flaggan är inställd på "FALSE". Alla undernät har ett attribut som avgör om ett nätverksgränssnitt som skapas i undernätet automatiskt tar emot en offentlig IPv4-adress. Instanser som startas i undernät som har det här attributet aktiverat har en offentlig IP-adress tilldelad till sitt primära nätverksgränssnitt.

Allvarlighetsgrad: Medel

Standardassociation för routningstabeller bör inaktiveras på AWS-överföringsgatewayer

Beskrivning: Defender för molnet identifierade AWS Transit Gateway med standardanslutningen för routningstabell aktiverad. Om du aktiverar den här inställningen innebär det att alla nyligen anslutna VPC-, VPN- eller peering-anslutningar automatiskt mappas till huvudtabellen för överföringsgatewayen. Detta innebär en risk för oavsiktlig lateral förflyttning, obehörig spridning av vägar och exponering av interna nätverk.

Allvarlighetsgrad: Låg

Standardspridning av routningstabeller ska inaktiveras på AWS-överföringsgatewayer

Beskrivning: Defender for Cloud identifierade AWS Transit Gateway med standardspridning av routningstabell aktiverad. Om du aktiverar den här funktionen innebär det att alla anslutna VPC-, VPN- eller peeringbilagor automatiskt kan sprida vägar till transitgatewayens huvudvägstabell, vilket potentiellt tillåter obehöriga routningsvägar.

Allvarlighetsgrad: Låg

Borttagningsskydd ska vara aktiverat för AWS-nätverksbrandväggen

Beskrivning: Defender för molnet har identifierat att borttagningsskydd inte är aktiverat för AWS-nätverksbrandväggen. Borttagningsskydd är ett skydd som förhindrar oavsiktlig eller obehörig borttagning av brandväggen när den används. Utan den här kontrollen kan en oavsiktlig borttagning leda till luckor i identifiering av nätverkshot och leda till inkompatibilitet med säkerhetsprinciper, vilket ökar din exponering för potentiella risker.

Allvarlighetsgrad: Medel

DNSSEC-signering ska aktiveras i offentliga Routning 53-värdbaserade zoner

Beskrivning: Defender for Cloud identifierade offentliga DNS-värdbaserade zoner utan DNSSEC-signering aktiverat. DNSSEC är en uppsättning protokoll som använder kryptografiska tekniker för att validera DNS-svar. Utan DNSSEC är dina offentliga domäner sårbara för DNS-förfalskning, cacheförgiftning och obehörig postmanipulering, vilket ökar risken för felriktad klient och komprometterar dataintegriteten.

Allvarlighetsgrad: Medel

ECMP-stöd ska vara aktiverat på AWS Transit Gateway

Beskrivning: Defender för molnet har identifierat att ECMP-stödet är inaktiverat på din AWS Transit Gateway. ECMP (Equal Cost Multi Path) gör att flera VPN-tunnlar eller BGP-sökvägar kan användas samtidigt, vilket ger förbättrat dataflöde, redundans och redundansstabilitet. Utan ECMP skulle routning begränsas till en enda aktiv sökväg, vilket riskerar minskad återhämtning och prestanda i trafikhanteringen.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för konfigurationsändringar för AWS Config

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för att identifiera ändringar i CloudTrails konfigurationer. Genom att övervaka ändringar i konfigurationen av AWS Config kan du säkerställa kontinuerlig synlighet för konfigurationsobjekt i AWS-kontot.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för AWS-hanteringskonsolens autentiseringsfel

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för misslyckade konsolautentiseringsförsök. Övervakning av misslyckade konsolinloggningar kan minska ledtiden för att identifiera ett försök att råstyra en autentiseringsuppgift, vilket kan ge en indikator, till exempel käll-IP, som kan användas i annan händelsekorrelation.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i NACL (Network Access Control Lists)

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. NACL:er används som ett tillståndslöst paketfilter för att styra inkommande och utgående trafik för undernät i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i NACL:er. Genom att övervaka ändringar i NACLs ser du till att AWS-resurser och tjänster inte oavsiktligt exponeras.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i nätverksgatewayer

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Nätverksgatewayer krävs för att skicka/ta emot trafik till ett mål utanför en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i nätverksgatewayer. Genom att övervaka ändringar i nätverksgatewayer ser du till att all inkommande/utgående trafik passerar VPC-gränsen via en kontrollerad sökväg.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för CloudTrail-konfigurationsändringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för att identifiera ändringar i CloudTrails konfigurationer.

Genom att övervaka ändringar i CloudTrails konfiguration kan du säkerställa kontinuerlig insyn i aktiviteter som utförs i AWS-kontot.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och larm för inaktivering eller schemalagd borttagning av kundskapade CMK:er

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för kundskapade CMK:er, som har ändrat tillstånd till inaktiverad eller schemalagd borttagning. Data som krypteras med inaktiverade eller borttagna nycklar kommer inte längre att vara tillgängliga.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för principändringar i IAM

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i IAM-principer (IAM). Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för inloggning i hanteringskonsolen utan MFA

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för konsolinloggningar som inte skyddas av multifaktorautentisering (MFA). Övervakning för inloggningar med en faktorkonsol ökar insynen i konton som inte skyddas av MFA.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för routningstabelländringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Routningstabeller används för att dirigera nätverkstrafik mellan undernät och till nätverksgatewayer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i routningstabeller. Genom att övervaka ändringar i routningstabeller ser du till att all VPC-trafik flödar genom en förväntad sökväg.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för S3-bucketprincipändringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i S3-bucketprinciper. Övervakning av ändringar i S3-bucketprinciper kan minska tiden för att identifiera och korrigera tillåtande principer på känsliga S3-bucketar.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för ändringar i säkerhetsgrupper

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Säkerhetsgrupper är ett tillståndskänsligt paketfilter som styr inkommande och utgående trafik i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i säkerhetsgrupper. Genom att övervaka ändringar i säkerhetsgruppen ser du till att resurser och tjänster inte oavsiktligt exponeras.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för obehöriga API-anrop

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för obehöriga API-anrop. Övervakning av obehöriga API-anrop hjälper till att avslöja programfel och kan minska tiden för att identifiera skadlig aktivitet.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för användning av "rotkontot"

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för rotinloggningsförsök.

Övervakning för rotkontoinloggningar ger insyn i användningen av ett fullständigt privilegierat konto och en möjlighet att minska användningen av det.

Allvarlighetsgrad: Låg

Se till att det finns ett loggmåttfilter och ett larm för VPC-ändringar

Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Det är möjligt att ha mer än en virtuell dator i ett konto. Dessutom är det också möjligt att skapa en peer-anslutning mellan två virtuella datorer som gör att nätverkstrafik kan dirigeras mellan virtuella datorer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar som görs i virtuella datorer. Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.

Allvarlighetsgrad: Låg

Se till att inga säkerhetsgrupper tillåter ingress från 0.0.0.0/0 till port 3389

Beskrivning: Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande/utgående nätverkstrafik till AWS-resurser. Vi rekommenderar att ingen säkerhetsgrupp tillåter obegränsad ingressåtkomst till port 3389. När du tar bort ohämmad anslutning till fjärrkonsoltjänster, till exempel RDP, minskar risken för en server.

Allvarlighetsgrad: Hög

RDS-databaser och -kluster bör inte använda en standardport för databasmotorn

Beskrivning: Den här kontrollen kontrollerar om RDS-klustret eller -instansen använder en annan port än databasmotorns standardport. Om du använder en känd port för att distribuera ett RDS-kluster eller en rds-instans kan en angripare gissa information om klustret eller instansen. Angriparen kan använda den här informationen tillsammans med annan information för att ansluta till ett RDS-kluster eller en rds-instans eller få ytterligare information om ditt program. När du ändrar porten måste du också uppdatera de befintliga anslutningssträng som användes för att ansluta till den gamla porten. Du bör också kontrollera säkerhetsgruppen för DB-instansen för att se till att den innehåller en ingressregel som tillåter anslutning på den nya porten.

Allvarlighetsgrad: Låg

RDS-instanser ska distribueras i en VPC

Beskrivning: Virtuella datorer tillhandahåller ett antal nätverkskontroller för att skydda åtkomsten till RDS-resurser. Dessa kontroller omfattar VPC-slutpunkter, nätverks-ACL:er och säkerhetsgrupper. För att dra nytta av dessa kontroller rekommenderar vi att du flyttar EC2-klassiska RDS-instanser till EC2-VPC.

Allvarlighetsgrad: Låg

S3-bucketar bör kräva begäranden om att använda Secure Socket Layer

Beskrivning: Vi rekommenderar att du kräver att begäranden använder Secure Socket Layer (SSL) på alla Amazon S3-bucketar. S3-bucketar bör ha principer som kräver att alla begäranden ("Åtgärd: S3:*") endast accepterar överföring av data via HTTPS i S3-resursprincipen, vilket anges av villkorsnyckeln "aws:SecureTransport".

Allvarlighetsgrad: Medel

Säkerhetsgrupper bör inte tillåta ingress från 0.0.0.0/0 till port 22

Beskrivning: För att minska serverns exponering rekommenderar vi att du inte tillåter obegränsad ingressåtkomst till port "22".

Allvarlighetsgrad: Hög

Säkerhetsgrupper bör inte tillåta obegränsad åtkomst till portar med hög risk

Beskrivning: Den här kontrollen kontrollerar om obegränsad inkommande trafik för säkerhetsgrupperna är tillgänglig för de angivna portarna som har den högsta risken. Den här kontrollen skickas när ingen av reglerna i en säkerhetsgrupp tillåter inkommande trafik från 0.0.0.0/0 för dessa portar. Obegränsad åtkomst (0.0.0.0/0) ökar möjligheterna till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS-resurser. Ingen säkerhetsgrupp ska tillåta obegränsad ingressåtkomst till följande portar:

• 3389 (RDP)
• 20, 21 (FTP)
• 22 (SSH)
• 23 (Telnet)
• 110 (POP3)
• 143 (IMAP)
• 3306 (MySQL)
• 8080 (proxy)
• 1433, 1434 (MSSQL)
• 9200 eller 9300 (Elasticsearch)
• 5601 (Kibana)
• 25 (SMTP)
• 445 (CIFS)
• 135 (RPC)
• 4333 (ahsp)
• 5432 (postgresql)
• 5500 (fcp-addr-srvr1)

Allvarlighetsgrad: Medel

Säkerhetsgrupper bör endast tillåta obegränsad inkommande trafik för auktoriserade portar

Beskrivning: Den här kontrollen kontrollerar om de säkerhetsgrupper som används tillåter obegränsad inkommande trafik. Om du vill kontrollerar regeln om portnumren visas i parametern "authorizedTcpPorts".

• Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret anges i "authorizedTcpPorts", skickas kontrollen. Standardvärdet för "authorizedTcpPorts" är 80, 443.
• Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret inte anges i indataparameternauthorizedTcpPorts, misslyckas kontrollen.
• Om parametern inte används misslyckas kontrollen för alla säkerhetsgrupper som har en obegränsad inkommande regel. Säkerhetsgrupper ger tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS. Regler för säkerhetsgrupper bör följa principen om minst privilegierad åtkomst. Obegränsad åtkomst (IP-adress med suffixet /0) ökar möjligheten till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Om inte en port uttryckligen tillåts bör porten neka obegränsad åtkomst.

Allvarlighetsgrad: Hög

Oanvända EC2-EIC:er bör tas bort

Beskrivning: Elastiska IP-adresser som allokeras till en VPC ska kopplas till Amazon EC2-instanser eller elastiska nätverksgränssnitt (ENIs) som används.

Allvarlighetsgrad: Låg

Hälsokontroller ska vara aktiverade för primära poster i Routningszoner för 53-värd

Beskrivning: Defender för molnet identifierade en Routning 53 PRIMARY-post utan en aktiverad hälsokontroll. Hälsokontroller krävs för att verifiera slutpunktstillgänglighet under redundansväxling. Utan dessa kontroller kan trafik oavsiktligt dirigeras till slutpunkter som inte svarar eller komprometteras, vilket ökar risken för avbrott i tjänsten och minskad tillförlitlighet.

Allvarlighetsgrad: Medel

Saknade VPC-säkerhetsgrupper bör konfigureras på Redshift-kluster

Beskrivning: Defender for Cloud identifierade saknade VPC-säkerhetsgrupper i Amazon Redshift-kluster. VPC-säkerhetsgrupper är virtuella brandväggar som används för att styra nätverkstrafiken. Utan dessa grupper exponeras dina kluster för obehörig åtkomst och potentiella dataintrång, vilket riskerar känslig information och dataintegritet. Det är viktigt att konfigurera lämpliga säkerhetsgrupper för att begränsa åtkomsten till godkända IP-adresser, instanser eller portar.

Allvarlighetsgrad: Medel

Nätverksisolering bör aktiveras för AWS SageMaker-modeller

Beskrivning: Defender för molnet har identifierat att AWS SageMaker-modeller inte använder nätverksisolering. Nätverksisolering begränsar modeller till en privat nätverksmiljö, vilket förhindrar direkt kommunikation med offentliga Internetresurser. Utan den här isoleringen riskerar dina modeller att exponeras för obehörig åtkomst och potentiell dataavlyssning under tränings- och slutsatsdragningsaktiviteter.

Allvarlighetsgrad: Medel

Nätverksisolering ska aktiveras på AWS SageMaker-slutpunkter

Beskrivning: Defender för molnet identifierade inaktiverad nätverksisolering i AWS SageMaker-slutpunkter. Nätverksisolering begränsar slutpunktskommunikationen till godkända privata kanaler i stället för offentliga nätverk. Utan den exponeras slutpunkter för obehörig åtkomst och dataläckagerisker, vilket potentiellt äventyrar känsliga maskininlärningsåtgärder. Genom att aktivera nätverksisolering ser du till att kommunikationen förblir säker och reglerad.

Allvarlighetsgrad: Medel

Överblivna VPN-gatewayer ska tas bort från AWS VPC

Beskrivning: Defender for Cloud identifierade en överbliven VPN-gateway i din virtuella AWS-dator. En överbliven VPN-gateway är en AWS VPN Gateway (VGW) som inte är ansluten till någon VPC, vilket innebär att den inte har något funktionellt syfte. Detta ökar attackytan och kan oavsiktligt exponera routningsinformation. Om du tar bort överblivna virtuella datorer kan du säkerställa en ren och säker nätverksstatus.

Allvarlighetsgrad: Låg

Rätt VPC-konfiguration ska vara aktiverad på AWS SageMaker-slutpunkter

Beskrivning: Defender for Cloud identifierade en saknad VpcConfig på din AWS SageMaker-slutpunkt. En VpcConfig används för att begränsa åtkomsten till interna nätverk, vilket säkerställer säker kommunikation med AWS-resurser. Utan den kan slutpunkten exponeras för offentlig åtkomst och riskerar obehörig åtkomst och dataintrång. Mer information om hur du skyddar slutpunkten finns i vår vägledning. Läs mer.

Allvarlighetsgrad: Medel

Begränsad åtkomst ska konfigureras för VPC-säkerhetsgrupper

Beskrivning: Defender för molnet identifierade alltför tillåtande ingressregler i dina VPC-säkerhetsgrupper. VPC-säkerhetsgrupper är virtuella brandväggar som styr nätverkstrafiken genom att framtvinga regler för inkommande anslutningar. Utvärderingen identifierade regler som tillåter trafik från 0.0.0.0/0, vilket kringgår principen om lägsta behörighet. Detta innebär en risk för obehörig åtkomst och råstyrkeattacker som kan leda till utnyttjande av sårbarheter.

Allvarlighetsgrad: Hög

Referens till säkerhetsgrupper ska aktiveras på AWS Transit Gateway

Beskrivning: Defender för molnet har identifierat att säkerhetsgruppens referensfunktion är inaktiverad på en AWS Transit Gateway. Med hänvisning till säkerhetsgrupper kan anslutna virtuella datorer referera till säkerhetsgrupper över VPC-gränser, vilket kan utöka förtroenderelationer. Den här konfigurationen utgör en risk genom att öka ytan för laterala attacker och oavsiktliga behörighetsläckor, vilket äventyrar nätverkssegmenteringen i miljöer med flera virtuella nätverk.

Allvarlighetsgrad: Medel

Servernamnindikatorn (SNI) ska vara aktiverad väg 53-hälsokontroll

Beskrivning: Defender för molnet identifierade HTTPS Route 53-hälsokontroller utan stöd för servernamnindikator (SNI) i AWS Route 53. HTTPS-hälsokontroller använder TLS för att verifiera en servers certifikat genom att matcha det med det förväntade värdnamnet, och SNI är den mekanism som kommunicerar värdnamnet under TLS-handskakningen. Utan SNI kan hälsokontrollen rikta in sig på en oavsiktlig värd eller certifikatvalidering som misslyckas, vilket leder till felaktig övervakning och potentiella redundansproblem.

Allvarlighetsgrad: Medel

Obehöriga internetgateway- och utgående internetgatewayvägar bör blockeras i VPC-routningstabeller

Beskrivning: Defender for Cloud identifierade obehöriga Internet Gateway-vägar (IGW) och Egress-Only Internet Gateway (Egress-Only IGW) i dina VPC-routningstabeller. VPC-routningstabeller avgör trafikflödet i nätverket, och dessa vägar tillåter oavsiktlig offentlig och säker IPv6-åtkomst, vilket potentiellt kan utsätta interna resurser för risker som dataexfiltrering och obehörig åtkomst.

Allvarlighetsgrad: Hög

Oanvända listor över nätverksåtkomstkontroll bör tas bort

Beskrivning: Den här kontrollen kontrollerar om det finns några oanvända listor för nätverksåtkomstkontroll (ACL). Kontrollen kontrollerar objektkonfigurationen för resursen "AWS::EC2::NetworkAcl" och avgör nätverks-ACL:ns relationer. Om den enda relationen är den virtuella nätverks-ACL:n misslyckas kontrollen. Om andra relationer visas skickas kontrollen.

Allvarlighetsgrad: Låg

Giltigt mål ska konfigureras i VPC-flödesloggar

Beskrivning: Defender för molnet identifierade en giltig LogDestination-konfiguration som saknas i dina AWS VPC-flödesloggar. VPC-flödesloggar registrerar nätverkstrafikdata som är viktiga för säkerhetsundersökningar och avvikelseidentifiering. Utan att skicka loggarna till ett angivet mål, till exempel CloudWatch-loggar eller S3, kan din miljö missa att identifiera skadlig aktivitet och kan stöta på efterlevnadsproblem.

Allvarlighetsgrad: Hög

VPC-konfigurationen ska vara aktiverad på åtkomstpunkter

Beskrivning: Defender för molnet identifierade åtkomstpunkter som inte har konfigurerats med ett virtuellt privat moln (VPC) i din miljö. En VPC tillhandahåller ett isolerat, privat nätverk som begränsar den offentliga internetexponeringen, vilket säkerställer att känsliga data förblir säkra. Utan den här konfigurationen är dina åtkomstpunkter mer sårbara för obehörig åtkomst och dataintrång, vilket kan äventyra din övergripande nätverkssäkerhet.

Allvarlighetsgrad: Medel

Endast VPC-nätverksåtkomst ska konfigureras på AWS SageMaker-domäner

Beskrivning: Defender för molnet har identifierat att AWS SageMaker-domäner inte har konfigurerats för endast VPC-nätverksåtkomst. Den här utvärderingen kontrollerar om domänkommunikation är begränsad till ditt virtuella privata moln (VPC), vilket säkerställer att ingen direkt offentlig Internetåtkomst tillåts. Att sakna den här konfigurationen innebär en risk genom att exponera känsliga data för potentiella hot och äventyra efterlevnaden av strikta säkerhetsstandarder. Läs mer.

Allvarlighetsgrad: Medel

VpcConfig ska konfigureras för AWS SageMaker-modeller

Beskrivning: Defender för molnet identifierade AWS SageMaker-modeller utan konfigurerad VpcConfig. VpcConfig (konfiguration av virtuellt privat moln) säkerställer att nätverkstrafiken mellan dina SageMaker-modeller och andra AWS-resurser är begränsad till en privat och säker miljö. Utan den här isoleringen riskerar dina modeller att exponeras för det offentliga Internet, vilket ökar sannolikheten för obehörig åtkomst och potentiella dataintrång.

Allvarlighetsgrad: Medel

VPC:s standardsäkerhetsgrupp bör begränsa all trafik

Beskrivning: Säkerhetsgruppen bör begränsa all trafik för att minska resursexponeringen.

Allvarlighetsgrad: Låg

GCP-nätverksrekommendationer

Klustervärdar ska konfigureras för att endast använda privata, interna IP-adresser för åtkomst till Google-API:er

Beskrivning: Den här rekommendationen utvärderar om egenskapen privateIpGoogleAccess för ett undernät är inställd på false.

Allvarlighetsgrad: Hög

Beräkningsinstanser bör använda en lastbalanserare som är konfigurerad för att använda en HTTPS-målproxy

Beskrivning: Den här rekommendationen utvärderar om egenskapen selfLink för targetHttpProxy-resursen matchar målattributet i vidarebefordringsregeln och om vidarebefordransregeln innehåller ett loadBalancingScheme-fält inställt på Externt.

Allvarlighetsgrad: Medel

Auktoriserade nätverk för kontrollplan ska vara aktiverade i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar egenskapen masterAuthorizedNetworksConfig för ett kluster för nyckel/värde-paret, "enabled": false.

Allvarlighetsgrad: Hög

Regeln för nekande av utgående trafik ska anges i en brandvägg för att blockera oönskad utgående trafik

Beskrivning: Den här rekommendationen utvärderar om egenskapen destinationRanges i brandväggen är inställd på 0.0.0.0/0 och den nekade egenskapen innehåller nyckel/värde-paret. 'IPProtocol': 'all.'

Allvarlighetsgrad: Låg

Se till att brandväggsregler för instanser bakom IAP (IAP) endast tillåter trafik från Google Cloud Loadbalancer (GCLB) hälsokontroll och proxyadresser

Beskrivning: Åtkomst till virtuella datorer bör begränsas av brandväggsregler som endast tillåter IAP-trafik genom att se till att endast anslutningar som anges av IAP tillåts. För att säkerställa att belastningsutjämning fungerar korrekt bör hälsokontroller också tillåtas. IAP säkerställer att åtkomsten till virtuella datorer styrs genom att inkommande begäranden autentiseras. Men om den virtuella datorn fortfarande är tillgänglig från andra IP-adresser än IAP kan det fortfarande vara möjligt att skicka oautentiserade begäranden till instansen. Var noga med att se till att belastningskontrollerna inte blockeras eftersom detta hindrar lastbalanseraren från att känna till den virtuella datorns hälsotillstånd korrekt och belastningsutjämningen på rätt sätt.

Allvarlighetsgrad: Medel

Se till att äldre nätverk inte finns för ett projekt

Beskrivning: För att förhindra användning av äldre nätverk bör ett projekt inte ha konfigurerat ett äldre nätverk. Äldre nätverk har ett enda IPv4-prefixintervall för nätverket och en enda gateway-IP-adress för hela nätverket. Nätverket är globalt i omfånget och omfattar alla molnregioner. Undernät kan inte skapas i ett äldre nätverk och kan inte växla från äldre till automatiska eller anpassade undernätsnätverk. Äldre nätverk kan påverka projekt med hög nätverkstrafik och är föremål för en enda konkurrenspunkt eller ett fel.

Allvarlighetsgrad: Medel

Se till att databasflaggan "log_hostname" för Cloud SQL PostgreSQL-instansen är korrekt inställd

Beskrivning: PostgreSQL loggar endast IP-adressen för de anslutande värdarna. Flaggan "log_hostname" styr loggningen av "värdnamn" utöver de IP-adresser som loggas. Prestandaträffen beror på konfigurationen av miljön och konfigurationen av värdnamnsmatchningen. Den här parametern kan bara anges i filen "postgresql.conf" eller på serverns kommandorad. Loggning av värdnamn kan medföra omkostnader för serverprestanda som för varje instruktion som loggas, DNS-matchning krävs för att konvertera IP-adress till värdnamn. Beroende på konfigurationen kan detta vara försumbart. Dessutom kan IP-adresserna som loggas matchas till deras DNS-namn senare när loggarna granskas, exklusive de fall där dynamiska värdnamn används. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Låg

Se till att inga HTTPS- eller SSL-proxylastbalanserare tillåter SSL-principer med svaga chiffersviter

Beskrivning: SSL-principer (Secure Sockets Layer) avgör vilka TLS-funktioner (Transport Layer Security) som klienter får använda när de ansluter till lastbalanserare. För att förhindra användning av osäkra funktioner bör SSL-principer använda (a) minst TLS 1.2 med MODERN-profilen. eller (b) RESTRICTED-profilen, eftersom den i praktiken kräver att klienter använder TLS 1.2 oavsett den valda lägsta TLS-versionen. eller (3) en ANPASSAD profil som inte stöder någon av följande funktioner: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Lastbalanserare används för att effektivt distribuera trafik över flera servrar. Både SSL-proxy och HTTPS-lastbalanserare är externa lastbalanserare, vilket innebär att de distribuerar trafik från Internet till ett GCP-nätverk. GCP-kunder kan konfigurera SSL-principer för lastbalanserare med en lägsta TLS-version (1.0, 1.1 eller 1.2) som klienter kan använda för att upprätta en anslutning, tillsammans med en profil (kompatibel, modern, begränsad eller anpassad) som anger tillåtna chiffersviter. För att följa användare som använder inaktuella protokoll kan GCP-lastbalanserare konfigureras för att tillåta osäkra chiffersviter. I själva verket använder GCP:s standardprincip för SSL en lägsta TLS-version av 1.0 och en kompatibel profil, vilket möjliggör det bredaste utbudet av osäkra chiffersviter. Därför är det enkelt för kunderna att konfigurera en lastbalanserare utan att ens veta att de tillåter inaktuella chiffersviter.

Allvarlighetsgrad: Medel

Kontrollera att DNS-loggning i molnet är aktiverad för alla VPC-nätverk

Beskrivning: Cloud DNS-loggning registrerar frågorna från namnservrarna i din VPC till Stackdriver. Loggade frågor kan komma från virtuella datorer med beräkningsmotorn, GKE-containrar eller andra GCP-resurser som etablerats i den virtuella datorn. Säkerhetsövervakning och kriminalteknik kan inte enbart bero på IP-adresser från VPC-flödesloggar, särskilt med tanke på dynamisk IP-användning av molnresurser, HTTP-routning av virtuella värdar och annan teknik som kan dölja DNS-namnet som används av en klient från IP-adressen. Övervakning av Cloud DNS-loggar ger insyn i DNS-namn som begärs av klienterna i VPC. Dessa loggar kan övervakas för avvikande domännamn, utvärderas mot hotinformation och

För fullständig avbildning av DNS måste brandväggen blockera utgående UDP/53 (DNS) och TCP/443 (DNS via HTTPS) för att förhindra att klienten använder den externa DNS-namnservern för matchning.

Allvarlighetsgrad: Hög

Kontrollera att DNSSEC är aktiverat för Cloud DNS

Beskrivning: Cloud Domain Name System (DNS) är ett snabbt, tillförlitligt och kostnadseffektivt domännamnssystem som driver miljontals domäner på Internet. Med DNSSEC (Domain Name System Security Extensions) i Cloud DNS kan domänägare vidta enkla åtgärder för att skydda sina domäner mot DNS-kapning och man-in-the-middle och andra attacker. DNSSEC (Domain Name System Security Extensions) ökar säkerheten i DNS-protokollet genom att dns-svar kan verifieras. Att ha en tillförlitlig DNS som översätter ett domännamn som www.example.com dess associerade IP-adress är en allt viktigare byggsten i dagens webbaserade program. Angripare kan kapa den här processen med domän-/IP-sökning och omdirigera användare till en skadlig webbplats via DNS-kapning och man-in-the-middle-attacker. DNSSEC hjälper till att minska risken för sådana attacker genom att kryptografiskt signera DNS-poster. Därför hindrar det angripare från att utfärda falska DNS-svar som kan vilseleda webbläsare till skändliga webbplatser.

Allvarlighetsgrad: Medel

Kontrollera att RDP-åtkomsten är begränsad från Internet

Beskrivning: GCP-brandväggsregler är specifika för ett VPC-nätverk. Varje regel tillåter eller nekar trafik när dess villkor uppfylls. Dess villkor gör det möjligt för användare att ange typen av trafik, till exempel portar och protokoll, och källan eller målet för trafiken, inklusive IP-adresser, undernät och instanser. Brandväggsregler definieras på VPC-nätverksnivå och är specifika för det nätverk där de definieras. Reglerna i sig kan inte delas mellan nätverk. Brandväggsregler stöder endast IPv4-trafik. När du anger en källa för en ingressregel eller ett mål för en utgående regel efter adress kan en IPv4-adress eller IPv4-block i CIDR-notation användas. Generisk (0.0.0.0/0) inkommande trafik från Internet till en VPC- eller VM-instans med RDP på port 3389 kan undvikas. GCP-brandväggsregler i ett VPC-nätverk. Dessa regler gäller för utgående (utgående) trafik från instanser och inkommande (inkommande) trafik till instanser i nätverket. Utgående och inkommande trafikflöden styrs även om trafiken stannar i nätverket (till exempel instans-till-instans-kommunikation). För att en instans ska ha utgående Internetåtkomst måste nätverket ha en giltig Internet-gatewayväg eller anpassad väg vars mål-IP har angetts. Den här vägen definierar helt enkelt sökvägen till Internet för att undvika det mest allmänna mål-IP-intervallet (0.0.0.0/0) som anges från Internet via RDP med standardport 3389. Allmän åtkomst från Internet till ett specifikt IP-intervall bör begränsas.

Allvarlighetsgrad: Hög

Kontrollera att RSASHA1 inte används för nyckelsigneringsnyckeln i CLOUD DNSSEC

Beskrivning: DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. DNSSEC-algoritmnummer (Domain Name System Security Extensions) i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. När du aktiverar DNSSEC för en hanterad zon eller skapar en hanterad zon med DNSSEC kan användaren välja DNSSEC-signeringsalgoritmerna och typen denial-of-existence. Att ändra DNSSEC-inställningarna gäller endast för en hanterad zon om DNSSEC inte redan är aktiverat. Om du behöver ändra inställningarna för en hanterad zon där den har aktiverats stänger du av DNSSEC och återaktiverar den med olika inställningar.

Allvarlighetsgrad: Medel

Kontrollera att RSASHA1 inte används för zonsigneringsnyckeln i CLOUD DNSSEC

Beskrivning: DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. DNSSEC-algoritmnummer i det här registret kan användas i CERT RRs. Zonsignering (DNSSEC) och transaktionssäkerhetsmekanismer (SIG(0) och TSIG) använder särskilda delmängder av dessa algoritmer. Algoritmen som används för nyckelsignering bör vara rekommenderad och bör vara stark. När du aktiverar DNSSEC för en hanterad zon eller skapar en hanterad zon med DNSSEC, kan DNSSEC-signeringsalgoritmerna och typen denial-of-existence väljas. Att ändra DNSSEC-inställningarna gäller endast för en hanterad zon om DNSSEC inte redan är aktiverat. Om det finns behov av att ändra inställningarna för en hanterad zon där den har aktiverats stänger du av DNSSEC och återaktiverar den med olika inställningar.

Allvarlighetsgrad: Medel

Kontrollera att SSH-åtkomsten är begränsad från Internet

Beskrivning: GCP-brandväggsregler är specifika för ett VPC-nätverk. Varje regel tillåter eller nekar trafik när dess villkor uppfylls. Dess villkor gör det möjligt för användaren att ange typen av trafik, till exempel portar och protokoll, och källan eller målet för trafiken, inklusive IP-adresser, undernät och instanser. Brandväggsregler definieras på VPC-nätverksnivå och är specifika för det nätverk där de definieras. Reglerna i sig kan inte delas mellan nätverk. Brandväggsregler stöder endast IPv4-trafik. När du anger en källa för en ingressregel eller ett mål för en utgående regel efter adress kan endast en IPv4-adress eller IPv4-block i CIDR-notation användas. Generisk (0.0.0.0/0) inkommande trafik från Internet till VPC- eller VM-instans med SSH på port 22 kan undvikas. GCP-brandväggsregler i ett VPC-nätverk gäller för utgående (utgående) trafik från instanser och inkommande (inkommande) trafik till instanser i nätverket. Utgående och inkommande trafikflöden styrs även om trafiken stannar i nätverket (till exempel instans-till-instans-kommunikation). För att en instans ska ha utgående Internetåtkomst måste nätverket ha en giltig Internet-gatewayväg eller anpassad väg vars mål-IP har angetts. Den här vägen definierar helt enkelt sökvägen till Internet för att undvika det mest allmänna mål-IP-intervallet (0.0.0.0/0) som anges från Internet via SSH med standardporten "22". Allmän åtkomst från Internet till ett specifikt IP-intervall måste begränsas.

Allvarlighetsgrad: Hög

Kontrollera att standardnätverket inte finns i ett projekt

Beskrivning: För att förhindra användning av "standardnätverk" bör ett projekt inte ha ett "standardnätverk". Standardnätverket har en förkonfigurerad nätverkskonfiguration och genererar automatiskt följande osäkra brandväggsregler:

• default-allow-internal: Tillåter inkommande anslutningar för alla protokoll och portar mellan instanser i nätverket.
• default-allow-ssh: Tillåter inkommande anslutningar på TCP-port 22 (SSH) från valfri källa till valfri instans i nätverket.
• default-allow-rdp: Tillåter inkommande anslutningar på TCP-port 3389(RDP) från valfri källa till valfri instans i nätverket.
• default-allow-icmp: Tillåter inkommande ICMP-trafik från valfri källa till valfri instans i nätverket.

Dessa automatiskt skapade brandväggsregler blir inte granskningsloggade och kan inte konfigureras för att aktivera brandväggsregelloggning. Dessutom är standardnätverket ett automatiskt lägesnätverk, vilket innebär att dess undernät använder samma fördefinierade intervall med IP-adresser, och därför går det inte att använda Cloud VPN eller VPC Network Peering med standardnätverket. Baserat på organisationens säkerhet och nätverkskrav bör organisationen skapa ett nytt nätverk och ta bort standardnätverket.

Allvarlighetsgrad: Medel

Kontrollera att loggmåttfiltret och aviseringarna finns för VPC-nätverksändringar

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i VPC-nätverket (Virtual Private Cloud). Det går att ha mer än en VPC i ett projekt. Dessutom är det möjligt att skapa en peer-anslutning mellan två virtuella datorer som gör att nätverkstrafik kan dirigeras mellan virtuella datorer. Genom att övervaka ändringar i en VPC kan du se till att VPC-trafikflödet inte påverkas.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för ändringar av VPC Network Firewall-regeln

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för regeländringar för virtuellt privat moln (VPC) nätverksbrandvägg. Övervakning av regelhändelser för skapa eller uppdatera brandvägg ger insikter om ändringar i nätverksåtkomsten och kan minska den tid det tar att identifiera misstänkt aktivitet.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för VPC-nätverksvägsändringar

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för ändringar av VPC-nätverksvägen (Virtual Private Cloud). GCP-vägar (Google Cloud Platform) definierar de sökvägar som nätverkstrafiken tar från en virtuell datorinstans till ett annat mål. Det andra målet kan finnas i organisationens VPC-nätverk (till exempel en annan virtuell dator) eller utanför det. Varje väg består av ett mål och ett nästa hopp. Trafik vars mål-IP ligger inom målintervallet skickas till nästa hopp för leverans. Genom att övervaka ändringar i routningstabeller ser du till att all VPC-trafik flödar genom en förväntad sökväg.

Allvarlighetsgrad: Låg

Kontrollera att databasflaggan "log_connections" för Cloud SQL PostgreSQL-instansen är inställd på "på"

Beskrivning: Om du aktiverar inställningen log_connections loggas varje försök till anslutning till servern, tillsammans med att klientautentiseringen har slutförts. Det går inte att ändra den här parametern när sessionen har startats. PostgreSQL loggar inte anslutningsförsök som standard. Om du aktiverar inställningen log_connections skapas loggposter för varje anslutningsförsök samt lyckad slutförande av klientautentisering, vilket kan vara användbart vid felsökning av problem och för att fastställa eventuella ovanliga anslutningsförsök till servern. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "log_disconnections" för Cloud SQL PostgreSQL-instansen är inställd på "på"

Beskrivning: Om du aktiverar inställningen log_disconnections loggas slutet av varje session, inklusive sessionsvaraktigheten. PostgreSQL loggar inte sessionsinformation som varaktighet och sessionsslut som standard. Om du aktiverar inställningen log_disconnections skapas loggposter i slutet av varje session, vilket kan vara användbart vid felsökning av problem och fastställa ovanliga aktiviteter under en tidsperiod. Den log_disconnections och log_connections arbeta hand i hand och i allmänhet skulle paret aktiveras/inaktiveras tillsammans. Den här rekommendationen gäller för PostgreSQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att VPC-flödesloggar är aktiverade för varje undernät i ett VPC-nätverk

Beskrivning: Flödesloggar är en funktion som gör det möjligt för användare att samla in information om IP-trafik som går till och från nätverksgränssnitt i organisationens VPC-undernät. När en flödeslogg har skapats kan användaren visa och hämta sina data i Stackdriver-loggning. Vi rekommenderar att flödesloggar aktiveras för varje affärskritiskt VPC-undernät. VPC-nätverk och undernät ger logiskt isolerade och säkra nätverkspartitioner där GCP-resurser kan startas. När flödesloggar är aktiverade för ett undernät börjar virtuella datorer i undernätet rapportera om alla TCP-flöden (Transmission Control Protocol) och UDP-flöden (User Datagram Protocol). Varje virtuell dator tar exempel på TCP- och UDP-flöden som den ser, inkommande och utgående, om flödet är till eller från en annan virtuell dator, en värd i det lokala datacentret, en Google-tjänst eller en värd på Internet. Om två virtuella GCP-datorer kommunicerar och båda finns i undernät som har VPC-flödesloggar aktiverade rapporterar båda de virtuella datorerna flödena. Flödesloggar stöder följande användningsfall: 1. Nätverksövervakning. 2. Förstå nätverksanvändning och optimera kostnader för nätverkstrafik. 3. Nätverkstekniker. 4. Flödesloggar för säkerhetsanalys i realtid ger insyn i nätverkstrafik för varje virtuell dator i undernätet och kan användas för att identifiera avvikande trafik eller insikter under säkerhetsarbetsflöden.

Allvarlighetsgrad: Låg

Loggning av brandväggsregel ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar egenskapen logConfig i brandväggsmetadata för att se om den är tom eller innehåller nyckel/värde-paret "enable": false.

Allvarlighetsgrad: Medel

Brandväggen ska inte konfigureras för att vara öppen för offentlig åtkomst

Beskrivning: Den här rekommendationen utvärderar sourceRanges och tillåtna egenskaper för en av två konfigurationer:

Egenskapen sourceRanges innehåller 0.0.0.0/0 och den tillåtna egenskapen innehåller en kombination av regler som innehåller protokoll eller protokoll:port, förutom följande:

• Icmp
• tcp: 22
• tcp: 443
• tcp: 3389
• udp: 3389
• sctp: 22

Egenskapen sourceRanges innehåller en kombination av IP-intervall som innehåller alla icke-privata IP-adresser och den tillåtna egenskapen innehåller en kombination av regler som tillåter antingen alla tcp-portar eller alla udp-portar.

Allvarlighetsgrad: Hög

Brandväggen bör inte konfigureras för att ha en öppen CASSANDRA-port som tillåter allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen CISCOSECURE_WEBSM port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och port: TCP: 9090.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen DIRECTORY_SERVICES port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 445 och UDP: 445.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen DNS-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 53 och UDP: 53.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen ELASTICSEARCH-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 9200, 9300.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen FTP-port som tillåter allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och port: TCP: 21.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen HTTP-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 80.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen LDAP-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 389, 636 och UDP: 389.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen MEMCACHED-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 11211, 11214-11215 och UDP: 11211, 11214-11215.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen MONGODB-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 27017-27019.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen MYSQL-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och port: TCP: 3306.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen NETBIOS-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 137-139 och UDP: 137-139.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen ORACLEDB-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 1521, 2483-2484 och UDP: 2483-2484.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen POP3-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och port: TCP: 110.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen PostgreSQL-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar den tillåtna egenskapen i brandväggsmetadata för följande protokoll och portar: TCP: 5432 och UDP: 5432.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen REDIS-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar om den tillåtna egenskapen i brandväggsmetadata innehåller följande protokoll och port: TCP: 6379.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen SMTP-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar om den tillåtna egenskapen i brandväggsmetadata innehåller följande protokoll och port: TCP: 25.

Allvarlighetsgrad: Låg

Brandväggen ska inte konfigureras för att ha en öppen SSH-port som ger allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar om den tillåtna egenskapen i brandväggsmetadata innehåller följande protokoll och portar: TCP: 22 och SCTP: 22.

Allvarlighetsgrad: Låg

Brandväggen bör inte konfigureras för att ha en öppen TELNET-port som tillåter allmän åtkomst

Beskrivning: Den här rekommendationen utvärderar om den tillåtna egenskapen i brandväggsmetadata innehåller följande protokoll och port: TCP: 23.

Allvarlighetsgrad: Låg

GKE-kluster bör ha alias-IP-intervall aktiverade

Beskrivning: Den här rekommendationen utvärderar om fältet useIPAliases i ipAllocationPolicy i ett kluster är inställt på false.

Allvarlighetsgrad: Låg

Anpassat VPC-nätverk ska konfigureras för Minnesarkiv för Memcached-instans

Beskrivning: Defender för molnet identifierade användningen av ett globalt VPC-standardnätverk som det auktoriserade nätverket för en Memorystore för Memcached-instans. Standard-VPC-nätverket, som ofta är brett konfigurerat med tillåtande brandväggsregler, ökar risken för oavsiktlig intern åtkomst och lateral förflyttning mellan system. Genom att använda ett dedikerat eller strikt kontrollerat VPC-nätverk ser du till att endast explicit auktoriserade arbetsbelastningar kan komma åt cachelagrade data, vilket minskar attackytan.

Allvarlighetsgrad: Medel

Anpassat VPC-nätverk ska konfigureras för Memorystore för Redis-instanser

Beskrivning: Defender för molnet identifierade användningen av det globala standardnätverket för VPC för Memorystore för Redis-instanser. Standard-VPC-nätverket är brett omfångsbegränsat och har vanligtvis tillåtande brandväggsregler, vilket ökar risken för att obehöriga interna tjänster kan komma åt cachelagrade data och flyttas i sidled mellan system. Att konfigurera ett dedikerat eller strikt kontrollerat VPC-nätverk kan endast begränsa åtkomsten till auktoriserade arbetsbelastningar.

Allvarlighetsgrad: Medel

Anpassat VPC-nätverk ska konfigureras på Filestore-instanser

Beskrivning: Defender för molnet identifierade Filarkivinstanser som körs i standardnätverket för VPC. Standardnätverket är en delad miljö som vanligtvis saknar de strikta segmenterings- och isolerade brandväggsgränser som krävs för känslig datalagring. Den här konfigurationen ökar risken för lateral förflyttning och obehörig åtkomst. Om du distribuerar Filestore i anpassade VPC-nätverk kan du få strängare isolering och förbättrade nätverkskontroller. Läs mer.

Allvarlighetsgrad: Medel

Anpassad vägexport bör inaktiveras på VPC-nätverkspeering

Beskrivning: Defender för molnet identifierade anpassad vägexport aktiverad i dina VPC-nätverkspeeringskonfigurationer. Med anpassad vägexport kan icke-interna vägar växlas mellan peer-kopplade nätverk, vilket kan göra isolerade miljöer tillgängliga för obehörig lateral förflyttning om ett nätverk komprometteras.

Allvarlighetsgrad: Låg

Standardschema för säkerhetskopiering för nya databaser ska vara aktiverat

Beskrivning: Defender för molnet har identifierat att offentlig IP-adress är aktiverad på din AlloyDB-instans. Genom att aktivera offentlig IP-adress kan en instans ta emot en extern IP-adress som direkt exponerar den för Internet. Denna ökade exponering och kan leda till råstyrkeattacker och utnyttjande av sårbarheter. Om du inaktiverar offentliga IP-adresser och använder privata anslutningar kan du upprätthålla en säker och begränsad åtkomstmiljö.

Allvarlighetsgrad: Hög

Överskjutande tillåtna portar bör begränsas till viktiga tjänster i GCP-vidarebefordransregler

Beskrivning: Defender för molnet identifierade överdriven portexponering i GCP-vidarebefordransregler. Utvärderingen visade att när allPorts-egenskapen är aktiverad på interna TCP/UDP-lastbalanserare tillåter den trafik på alla portar (1-65535) och kringgår layer-4-säkerhetskontroller. Detta ökar risken för oavsiktlig lateral förflyttning inom VPC. Om portarna begränsas till de portar som krävs för viktiga tjänster minskar denna exploateringsrisk.

Allvarlighetsgrad: Medel

GKE-kluster bör ha privata kluster aktiverade

Beskrivning: Den här rekommendationen utvärderar om fältet enablePrivateNodes i egenskapen privateClusterConfig är inställt på false.

Allvarlighetsgrad: Hög

Global åtkomst ska inaktiveras för GCP Private Service Connect-slutpunkter

Beskrivning: Defender för molnet har identifierat global åtkomst aktiverad på dina GCP Private Service Connect-slutpunkter. I det här sammanhanget tillåter egenskapen allowPscGlobalAccess en regional slutpunkt att acceptera anslutningar från andra regioner, vilket oavsiktligt kan exponera känsliga tjänstbilagor för obehöriga anslutningar mellan regioner. Detta kan öka risken för dataintrång och kompromettera trafiksegregering, så att begränsa slutpunkter till den lokala regionen rekommenderas.

Allvarlighetsgrad: Medel

Molnloggning som saknas ska vara aktiverad på Load Balancer Backend Services

Beskrivning: Defender för molnet identifierade inaktiverad loggning i Load Balancer Backend Services. Dessa tjänster distribuerar nätverkstrafik mellan serverdelsservrar och förlitar sig på detaljerad loggning för att samla in begärande- och anslutningsmetadata. Utan loggning är det svårare att analysera trafikmönster och identifiera potentiella säkerhetsincidenter, vilket kan hindra kriminaltekniska undersökningar och övergripande funktioner för hotidentifiering. Mer information finns i https://cloud.google.com/load-balancing/docs/https/https-logging-monitoring.

Allvarlighetsgrad: Låg

Neka alla nätverks-ACL saknas på VPC

Beskrivning: Defender for Cloud har identifierat att din VPC använder sin standardnätverks-ACL. En nätverks-ACL är en brandvägg på undernätsnivå som styr både inkommande och utgående trafik. Att använda standardkonfigurationen allow-all utgör en risk för dina resurser eftersom den inte begränsar trafiken förrän det uttryckligen tillåts, vilket potentiellt möjliggör obehörig åtkomst och dataintrång.

Allvarlighetsgrad: Hög

Nätverksprincipen ska vara aktiverad i GKE-kluster

Beskrivning: Den här rekommendationen utvärderar fältet networkPolicy i egenskapen addonsConfig för nyckel/värde-paret, "disabled": true.

Allvarlighetsgrad: Medel

Private Service Connect ska vara aktiverat i AlloyDB-kluster

Beskrivning: Defender för molnet identifierade AlloyDB-kluster utan Private Service Connect (PSC) aktiverat. PSC gör att kluster kan nås via dedikerade slutpunkter i stället för traditionell VPC-peering. Utan PSC är kluster fortfarande exponerade för nätverksrisker som överlappande IP-adresser och ökade chanser till lateral förflyttning över peer-kopplade nätverk. Att aktivera PSC förbättrar isoleringen och ger dig större kontroll över slutpunktshantering, vilket minskar dessa risker.

Allvarlighetsgrad: Låg

Begränsningar för offentlig åtkomst bör konfigureras för CodeArtifact-domäner

Beskrivning: Defender för molnet identifierade AWS CodeArtifact-domäner med åtkomstprinciper som tillåter jokerteckenobjekt. Dessa principer gör det möjligt för alla AWS-identiteter, inklusive de från externa konton, att interagera med domänen. Detta innebär en risk för obehöriga auktoriseringstokenutfärdare, skapande av icke godkända lagringsplatser och administrativa ändringar. Det är viktigt att begränsa åtkomsten till explicit betrodda huvudkonton för att upprätthålla säkra gränser och minska exponeringen.

Allvarlighetsgrad: Hög

Begränsningar för överföring av extern paketinmatning bör aktiveras på CodeArtifact-lagringsplatser

Beskrivning: Defender for Cloud identifierade transitiv extern paketinmatning i CodeArtifact-lagringsplatser. Utvärderingsflaggade lagringsplatser som ärver externa anslutningar från överordnade källor i stället för att använda direkt, explicit konfiguration. Den här transitiva förtroendevägen gör det möjligt för paket från offentliga källor att flöda till interna system utan korrekt granskning, vilket ökar risken för att sårbara eller overifierade paket introduceras i beroendekedjor och underordnade byggsystem.

Allvarlighetsgrad: Hög

Stark autentisering bör aktiveras i CodePipeline Webhook-konfiguration

Beskrivning: Defender för molnet identifierade svag autentisering i din CodePipeline webhook-konfiguration. CodePipeline-webhooks är utformade för att endast utlösa åtgärder från betrodda och verifierade källor. Utan stark autentisering kan en obehörig part utlösa webhooken, vilket leder till oönskade åtgärder, överdriven resursanvändning eller till och med ett DoS-villkor (Denial-of-Service).

Allvarlighetsgrad: Hög

Undernätsgrupper bör konfigureras på DAX-kluster med privata undernät

Beskrivning: Defender för molnet har identifierat att DITT DAX-kluster använder standardundernätsgruppen eller inte har en konfigurerad undernätsgrupp. Standardundernätgrupper innehåller offentliga undernät med direkt internetroutning och automatisk offentlig IP-tilldelning, vilket gör klustret utsatt för onödiga säkerhetsrisker. En korrekt konfigurerad undernätsgrupp med privata undernät är nödvändig för att isolera och skydda DAX-klustret från obehörig nätverksåtkomst. Privata undernät säkerställer skydd på djupet genom att förhindra direkt internetåtkomst till databascachen.

Allvarlighetsgrad: Medel

Obegränsad global åtkomst bör inaktiveras för GCP-interna vidarebefordransregler

Beskrivning: Defender för molnet har identifierat obegränsad global åtkomst i dina interna GCP-regler för vidarebefordran. Flaggan allowGlobalAccess är aktiverad, vilket gör att interna lastbalanserare kan acceptera trafik från alla regioner inom samma VPC i stället för att begränsas till en viss region. Detta ökar risken för att bryta mot regionala krav på datahemvist och utökar den potentiella explosionsradien i en säkerhetsöverträdelse.

Allvarlighetsgrad: Låg

Relaterat innehåll

• Vad är säkerhetsprinciper, initiativ och rekommendationer?
• Anpassa säkerhetsrekommendationer