Doporučení k zabezpečení dat
Tento článek obsahuje seznam všech doporučení zabezpečení dat, která se můžou zobrazit v programu Microsoft Defender for Cloud.
Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.
Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.
Tip
Pokud popis doporučení neobsahuje žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení.
Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je nainstalované řešení ochrany koncového bodu (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení má zásadu. Omezení zásad jenom na základní doporučení zjednodušuje správu zásad.
Doporučení k datům Azure
Azure Cosmos DB by měla zakázat přístup k veřejné síti.
Popis: Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš účet Cosmos DB nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení účtu služby Cosmos DB. Další informace. (Související zásady: Azure Cosmos DB by měla zakázat přístup k veřejné síti).
Závažnost: Střední
(Povolit v případě potřeby) Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/cosmosdb-cmk. (Související zásady: Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).
Závažnost: Nízká
(Povolit v případě potřeby) Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem (CMK) Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče CMK se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/azureml-workspaces-cmk. (Související zásady: Pracovní prostory Služby Azure Machine Learning by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
Závažnost: Nízká
Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější.
Popis: Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, aby k azure SQL Database bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. (Související zásady: Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější).
Závažnost: Střední
Spravované instance Azure SQL by měly zakázat přístup k veřejné síti.
Popis: Zakázání veřejného síťového přístupu (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze ze svých virtuálních sítí nebo prostřednictvím privátních koncových bodů. Přečtěte si další informace o přístupu k veřejné síti. (Související zásady: Spravované instance Azure SQL by měly zakázat přístup k veřejné síti).
Závažnost: Střední
Účty Cosmos DB by měly používat privátní propojení
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Když se privátní koncové body mapují na váš účet služby Cosmos DB, sníží se riziko úniku dat. Přečtěte si další informace o privátních propojeních. (Související zásady: Účty Cosmos DB by měly používat privátní propojení).
Závažnost: Střední
(Povolit v případě potřeby) Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. (Související zásady: Pro servery MySQL by měla být povolená ochrana dat s vlastním klíčem.
Závažnost: Nízká
(Povolit v případě potřeby) Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. (Související zásady: U serverů PostgreSQL by měla být povolená ochrana dat s vlastním klíčem.
Závažnost: Nízká
(Povolit v případě potřeby) Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. (Související zásady: Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).
Závažnost: Nízká
(Povolit v případě potřeby) Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. (Související zásady: SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).
Závažnost: Nízká
(Povolit v případě potřeby) Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).
Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Zabezpečte svůj účet úložiště s větší flexibilitou pomocí klíčů spravovaných zákazníkem (CMK). Když zadáte klíč CMK, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití cmk poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptograficky vymazat data. (Související zásady: Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).
Závažnost: Nízká
Veřejný přístup k účtu úložiště by se měl nepovolit.
Popis: Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje.
Související zásady: Veřejný přístup k účtu úložiště by se měl nepovolit.
Závažnost: Střední
Všechny typy rozšířené ochrany před internetovými útoky by měly být povolené v pokročilých nastaveních zabezpečení dat spravované instance SQL.
Popis: Doporučujeme povolit všechny typy rozšířené ochrany před hrozbami ve spravovaných instancích SQL. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami. (Žádné související zásady)
Závažnost: Střední
V rozšířených nastaveních zabezpečení dat SQL Serveru by měly být povolené všechny typy rozšířené ochrany před internetovými útoky.
Popis: Doporučujeme povolit na sql serverech všechny pokročilé typy ochrany před hrozbami. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami. (Žádné související zásady)
Závažnost: Střední
Služby API Management by měly používat virtuální síť.
Popis: Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v rámci sítě nebo místně. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. (Související zásady: Služby API Management by měly používat virtuální síť).
Závažnost: Střední
Konfigurace aplikace by měla používat privátní propojení.
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. (Související zásady: Konfigurace aplikace by měla používat privátní propojení).
Závažnost: Střední
Uchovávání auditu pro SQL servery by mělo být nastaveno alespoň na 90 dnů.
Popis: Auditování SQL serverů nakonfigurovaných s dobou uchovávání auditování kratší než 90 dnů. (Související zásady: SERVERY SQL by měly být nakonfigurované s 90denním uchováváním auditování nebo vyššími.)
Závažnost: Nízká
Auditování na SQL Serveru by mělo být povolené.
Popis: Povolte auditování SQL Serveru, abyste mohli sledovat databázové aktivity napříč všemi databázemi na serveru a ukládat je do protokolu auditu. (Související zásady: Auditování na SQL Serveru by mělo být povolené).
Závažnost: Nízká
Automatické zřizování agenta Log Analytics by mělo být povolené u předplatných.
Popis: Monitorování ohrožení zabezpečení a hrozeb shromažďuje Microsoft Defender for Cloud data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure. (Související zásady: Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics).
Závažnost: Nízká
Azure Cache for Redis by se měl nacházet ve virtuální síti.
Popis: Nasazení služby Azure Virtual Network (VNet) poskytuje rozšířené zabezpečení a izolaci pro vaši službu Azure Cache for Redis a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná a dá se k ní přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. (Související zásady: Azure Cache for Redis by se měl nacházet ve virtuální síti).
Závažnost: Střední
Azure Database for MySQL by měl mít zřízený správce Azure Active Directory.
Popis: Zřízení správce Azure AD pro službu Azure Database for MySQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft (související zásady: Pro servery MySQL by měl být zřízen správce Azure Active Directory).
Závažnost: Střední
Azure Database for PostgreSQL by měl mít zřízený správce Azure Active Directory.
Popis: Zřízení správce Azure AD pro službu Azure Database for PostgreSQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft
(Související zásady: Správce Azure Active Directory by měl být zřízený pro servery PostgreSQL).
Závažnost: Střední
Flexibilní server Azure Database for PostgreSQL by měl mít povolené pouze ověřování Microsoft Entra.
Popis: Zakázání místních metod ověřování a vyžadování ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server Azure Database for PostgreSQL byl přístupný pouze identitami Microsoft Entra (související zásady: Flexibilní server Azure PostgreSQL by měl mít povolené ověřování pouze Microsoft Entra).
Závažnost: Střední
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall.
Popis: Pravidla brány firewall by měla být definovaná u účtů služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. (Související zásady: Účty služby Azure Cosmos DB by měly mít pravidla brány firewall).
Závažnost: Střední
Domény Služby Azure Event Grid by měly používat privátní propojení
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na domény Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. (Související zásady: Domény Služby Azure Event Grid by měly používat privátní propojení.
Závažnost: Střední
Témata služby Azure Event Grid by měla používat privátní propojení
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše témata místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. (Související zásady: Témata služby Azure Event Grid by měla používat privátní propojení).
Závažnost: Střední
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/azureml-workspaces-privatelink. (Související zásady: Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení).
Závažnost: Střední
Služba Azure SignalR by měla používat privátní propojení.
Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředky SignalR místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/asrs/privatelink. (Související zásady: Služba Azure SignalR by měla používat privátní propojení).
Závažnost: Střední
Azure Spring Cloud by měl používat injektáž sítě
Popis: Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. (Související zásady: Azure Spring Cloud by měl používat injektáž sítě).
Závažnost: Střední
Sql Servery by měly mít zřízený správce Azure Active Directory.
Popis: Zřízení správce Azure AD pro sql server pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. (Související zásady: Správce Azure Active Directory by měl být zřízený pro SQL servery).
Závažnost: Vysoká
Režim ověřování pracovního prostoru Azure Synapse by měl být jenom Azure Active Directory.
Popis: Režim ověřování pracovního prostoru Azure Synapse by měl být pouze Azure Active Directory, pouze azure Active Directory, což zlepšuje zabezpečení tím, že zajistí, aby pracovní prostory Synapse k ověřování výhradně vyžadovaly identity Azure AD. Další informace. (Související zásady: Pracovní prostory Synapse by měly používat pouze identity Azure Active Directory pro ověřování).
Závažnost: Střední
Úložiště kódu by měla mít vyřešená zjištění kontroly kódu.
Popis: Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady)
Závažnost: Střední
Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabotu.
Popis: Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady)
Závažnost: Střední
Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu
Popis: Defender for DevOps našel infrastrukturu jako problémy s konfigurací zabezpečení kódu v úložištích. Níže uvedené problémy byly zjištěny v souborech šablon. Pokud chcete zlepšit stav zabezpečení souvisejících cloudových prostředků, důrazně doporučujeme tyto problémy napravit. (Žádné související zásady)
Závažnost: Střední
Úložiště kódu by měla mít vyřešená zjištění kontroly tajných kódů.
Popis: Defender for DevOps našel tajný kód v úložištích kódu. Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení. Tajné kódy nalezené v úložištích můžou být únikem nebo zjištěním nežádoucími osobami, což vede k ohrožení aplikace nebo služby. V případě Azure DevOps nástroj Microsoft Security DevOps CredScan kontroluje pouze buildy, na kterých je nakonfigurované ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích. (Žádné související zásady)
Závažnost: Vysoká
Účty služeb Cognitive Services by měly povolit šifrování dat.
Popis: Tato zásada audituje všechny účty služeb Cognitive Services, které nepoužívají šifrování dat. Pro každý účet s úložištěm byste měli povolit šifrování dat pomocí spravovaného zákazníkem nebo spravovaného klíče Microsoftu. (Související zásady: Účty služeb Cognitive Services by měly povolit šifrování dat).
Závažnost: Nízká
Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat.
Popis: Tato zásada audituje všechny účty služeb Cognitive Services, které nepoužívají úložiště vlastněné zákazníkem ani šifrování dat. Pro každý účet cognitive Services s úložištěm použijte úložiště vlastněné zákazníkem nebo povolte šifrování dat. Odpovídá srovnávacímu testu Microsoft Cloud Security. (Související zásady: Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat.)
Závažnost: Nízká
Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené.
Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené.
Závažnost: Nízká
Diagnostické protokoly ve službě Data Lake Analytics by měly být povolené.
Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Data Lake Analytics by měly být povolené.
Závažnost: Nízká
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.
Popis: Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v některém z vašich předplatných, povolte e-mailová oznámení pro upozornění s vysokou závažností v defenderu pro cloud. (Související zásady: E-mailové oznámení pro upozornění s vysokou závažností by mělo být povoleno).
Závažnost: Nízká
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.
Popis: Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailových oznámení pro výstrahy s vysokou závažností v defenderu pro cloud. (Související zásady: E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno).
Závažnost: Střední
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL.
Popis: Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. (Související zásady: Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL).
Závažnost: Střední
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL.
Popis: Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. (Související zásady: Pro databázové servery PostgreSQL by mělo být povolené vynucení připojení SSL).
Závažnost: Střední
Aplikace funkcí by měly mít vyřešená zjištění ohrožení zabezpečení
Popis: Kontrola chyb zabezpečení modulu runtime pro kontrolu funkcí v aplikacích funkcí vyhledá ohrožení zabezpečení a zveřejňuje podrobná zjištění. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení bezserverových aplikací a chránit je před útoky. (Žádné související zásady)
Závažnost: Vysoká
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování.
Popis: Azure Database for MariaDB umožňuje zvolit možnost redundance pro databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování.
Závažnost: Nízká
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.
Popis: Azure Database for MySQL umožňuje zvolit možnost redundance pro váš databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: U služby Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování.
Závažnost: Nízká
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování.
Popis: Azure Database for PostgreSQL umožňuje zvolit možnost redundance pro váš databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: U služby Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování.
Závažnost: Nízká
Úložiště GitHubu by měla mít povolenou kontrolu kódu.
Popis: GitHub používá ke kontrole kódu analýzu kódu, aby v kódu zjistil ohrožení zabezpečení a chyby. Kontrolu kódu je možné použít k vyhledání, třídění a určení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavedení nových problémů. Kontroly je možné naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když v úložišti dojde k určité události, jako je například nabízení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí v úložišti upozornění. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu. (Žádné související zásady)
Závažnost: Střední
Úložiště GitHubu by měla mít povolenou kontrolu Dependabot.
Popis: GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato ohrožená závislost způsobit celou řadu problémů. (Žádné související zásady)
Závažnost: Střední
Úložiště GitHubu by měla mít povolenou kontrolu tajných kódů.
Popis: GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHubu, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu. (Žádné související zásady)
Závažnost: Vysoká
Servery Microsoft Defenderu pro Azure SQL Database by měly být povolené.
Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat.
Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné servery Azure SQL Database, nebudou se vám účtovat žádné poplatky. Pokud později vytvoříte servery Azure SQL Database v tomto předplatném, budou automaticky chráněny a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech.
Další informace najdete v úvodu do Microsoft Defenderu pro SQL. (Související zásady: Měly by být povolené servery Azure Defenderu pro Azure SQL Database).
Závažnost: Vysoká
Měl by být povolený Microsoft Defender pro DNS.
Popis: Microsoft Defender for DNS poskytuje další vrstvu ochrany vašich cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z vašich prostředků Azure. Defender for DNS vás upozorní na podezřelou aktivitu ve vrstvě DNS. Další informace najdete v úvodu do Microsoft Defenderu pro DNS. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si o podrobnostech o cenách v jednotlivých oblastech na stránce s cenami Defenderu for Cloud: Ceny Defenderu pro cloud. (Žádné související zásady)
Závažnost: Vysoká
Je potřeba povolit Microsoft Defender pro opensourcové relační databáze.
Popis: Microsoft Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace najdete v úvodu do Programu Microsoft Defender pro opensourcové relační databáze.
Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Pokud v tomto předplatném nemáte žádné opensourcové relační databáze, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte jakékoli opensourcové relační databáze, budou automaticky chráněny a poplatky začnou v tuto chvíli. (Žádné související zásady)
Závažnost: Vysoká
Měl by být povolený Microsoft Defender for Resource Manager.
Popis: Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Defender for Cloud detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace najdete v úvodu do Programu Microsoft Defender for Resource Manager. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si o podrobnostech o cenách v jednotlivých oblastech na stránce s cenami Defenderu for Cloud: Ceny Defenderu pro cloud. (Žádné související zásady)
Závažnost: Vysoká
V pracovních prostorech by měl být povolený Microsoft Defender pro SQL na počítačích.
Popis: Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu jsou vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Žádné související zásady)
Závažnost: Střední
Na počítačích by se měl povolit Microsoft Defender pro SQL servery.
Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat.
Náprava tohoto doporučení způsobí, že se budou účtovat poplatky za ochranu sql serverů na počítačích. Pokud nemáte žádné SQL servery na počítačích v tomto předplatném, nebudou vám účtovány žádné poplatky. Pokud v budoucnu vytvoříte na počítačích s tímto předplatným všechny servery SQL, budou automaticky chráněny a poplatky začnou v tuto chvíli. Přečtěte si další informace o Microsoft Defenderu pro SQL servery na počítačích. (Související zásady: Na počítačích by se měl povolit Azure Defender pro SQL servery).
Závažnost: Vysoká
Microsoft Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.
Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Objeví a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly znamenat hrozbu pro vaši databázi. Microsoft Defender pro SQL se fakturuje, jak je znázorněno v podrobnostech o cenách v jednotlivých oblastech. (Související zásady: Na sql serverech by mělo být povolené pokročilé zabezpečení dat).
Závažnost: Vysoká
U nechráněných spravovaných instancí SQL by měl být povolený Microsoft Defender pro SQL
Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Objeví a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly znamenat hrozbu pro vaši databázi. Microsoft Defender pro SQL se fakturuje, jak je znázorněno v podrobnostech o cenách v jednotlivých oblastech. (Související zásady: Ve službě SQL Managed Instance by mělo být povolené pokročilé zabezpečení dat).
Závažnost: Vysoká
Měl by být povolený Microsoft Defender pro úložiště.
Popis: Microsoft Defender pro úložiště detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití.
Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné účty Azure Storage, nebudou se vám účtovat žádné poplatky. Pokud později v tomto předplatném vytvoříte účty Azure Storage, budou automaticky chráněny a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech. Další informace najdete v úvodu do Microsoft Defenderu pro úložiště. (Související zásady: Měla by být povolená služba Azure Defender for Storage).
Závažnost: Vysoká
Služba Network Watcher by měla být povolená.
Popis: Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy v zobrazení na úrovni sítě od začátku do konce. Nástroje pro diagnostiku a vizualizaci sítě dostupné ve službě Network Watcher vám pomůžou pochopit, diagnostikovat a získat přehledy o vaší síti v Azure. (Související zásady: Měla by být povolena služba Network Watcher).
Závažnost: Nízká
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.
Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. (Související zásady: Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená).
Závažnost: Střední
Privátní koncový bod by měl být povolený pro servery MariaDB.
Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery MariaDB).
Závažnost: Střední
Privátní koncový bod by měl být povolený pro servery MySQL.
Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery MySQL).
Závažnost: Střední
Privátní koncový bod by měl být povolený pro servery PostgreSQL.
Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery PostgreSQL).
Závažnost: Střední
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný.
Popis: Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k azure SQL Database bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný).
Závažnost: Střední
Přístup k veřejné síti by měl být zakázaný pro účty služeb Cognitive Services.
Popis: Tato zásada audituje všechny účty služeb Cognitive Services ve vašem prostředí s povoleným přístupem k veřejné síti. Přístup k veřejné síti by měl být zakázaný, aby byla povolena pouze připojení z privátních koncových bodů. (Související zásady: Přístup k veřejné síti by měl být pro účty služeb Cognitive Services zakázaný).
Závažnost: Střední
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.
Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti by měl být pro servery MariaDB zakázaný).
Závažnost: Střední
Přístup k veřejné síti by měl být pro servery MySQL zakázaný.
Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti by měl být pro servery MySQL zakázaný).
Závažnost: Střední
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný.
Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti.
Závažnost: Střední
Redis Cache by měla povolit přístup pouze přes PROTOKOL SSL.
Popis: Povolte pouze připojení přes PROTOKOL SSL ke službě Redis Cache. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace. (Související zásady: Je potřeba povolit pouze zabezpečená připojení ke službě Azure Cache for Redis).
Závažnost: Vysoká
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení
Popis: Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace (Související zásady: Chyby zabezpečení ve vašich databázích SQL by se měly napravit).
Závažnost: Vysoká
Spravované instance SQL by měly mít nakonfigurované posouzení ohrožení zabezpečení
Popis: Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. (Související zásady: Ve spravované instanci SQL by se mělo povolit posouzení ohrožení zabezpečení.
Závažnost: Vysoká
Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích
Popis: Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace (Související zásady: Chyby zabezpečení na sql serverech na počítači by se měly napravit).
Závažnost: Vysoká
Sql Servery by měly mít zřízený správce Azure Active Directory.
Popis: Zřízení správce Azure AD pro sql server pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. (Související zásady: Správce Azure Active Directory by měl být zřízený pro SQL servery).
Závažnost: Vysoká
Sql Servery by měly mít nakonfigurované posouzení ohrožení zabezpečení
Popis: Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. (Související zásady: Na vašich sql serverech by se mělo povolit posouzení ohrožení zabezpečení.
Závažnost: Vysoká
Účet úložiště by měl používat připojení privátního propojení
Popis: Privátní propojení vynucují zabezpečenou komunikaci tím, že poskytují privátní připojení k účtu úložiště (související zásady: Účet úložiště by měl používat připojení privátního propojení).
Závažnost: Střední
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru.
Popis: Pokud chcete využívat nové funkce v Azure Resource Manageru, můžete migrovat existující nasazení z modelu nasazení Classic. Resource Manager umožňuje vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení založené na ARM a zásady správného řízení, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Další informace (Související zásady: Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru).
Závažnost: Nízká
Účty úložiště by měly zabránit přístupu ke sdíleným klíčům
Popis: Požadavek na audit služby Azure Active Directory (Azure AD) k autorizaci požadavků na váš účet úložiště Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace poskytuje Azure AD vynikající zabezpečení a snadné použití u sdíleného klíče a doporučuje ho Microsoft. (Související zásady: zásady)
Závažnost: Střední
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.
Popis: Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na IP adresách. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. (Související zásady: Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě).
Závažnost: Střední
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením
Popis: Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte kontakt zabezpečení pro příjem e-mailových oznámení z Defenderu pro cloud. (Související zásady: Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením.
Závažnost: Nízká
transparentní šifrování dat v databázích SQL by měly být povolené
Popis: Povolení transparentního šifrování dat pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů (související zásady: transparentní šifrování dat u databází SQL by měly být povolené).
Závažnost: Nízká
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení
Popis: Auditujte šablony Image Builderu virtuálních počítačů, které nemají nakonfigurovanou virtuální síť. Pokud není nakonfigurovaná virtuální síť, vytvoří se veřejná IP adresa a použije se místo toho, která by mohla přímo zveřejnit prostředky na internetu a zvýšit potenciální prostor pro útoky. (Související zásady: Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení.
Závažnost: Střední
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.
Popis: Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí nebo oblastí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. (Související zásady: Firewall webových aplikací (WAF) by měl být povolený pro Službu Application Gateway.
Závažnost: Nízká
Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service.
Popis: Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí nebo oblastí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. (Související zásady: Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service?)
Závažnost: Nízká
Doporučení k datům AWS
Clustery Amazon Aurora by měly mít povolené navracení
Popis: Tento ovládací prvek zkontroluje, jestli clustery Amazon Aurora mají povolené navracení. Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Také posiluje odolnost vašich systémů. Zpětné navracení Aurora zkracuje dobu obnovení databáze k určitému bodu v čase. K tomu nevyžaduje obnovení databáze. Další informace o navracení v Aurora naleznete v tématu Navracení clusteru Aurora DB v uživatelské příručce Amazon Aurora.
Závažnost: Střední
Snímky Amazon EBS by neměly být veřejně obnovitelné
Popis: Snímky Amazon EBS by neměly být veřejně obnovitelné všemi, pokud nejsou explicitně povoleny, aby se zabránilo náhodnému vystavení dat. Kromě toho by oprávnění ke změně konfigurací Amazon EBS mělo být omezeno pouze na autorizované účty AWS.
Závažnost: Vysoká
Definice úloh Amazon ECS by měly mít zabezpečené síťové režimy a definice uživatelů.
Popis: Tento ovládací prvek kontroluje, zda aktivní definice úlohy Amazon ECS, která má hostitelský síťový režim, má také privilegované definice kontejneru nebo uživatele. Ovládací prvek selže pro definice úloh, které mají režim sítě hostitele a definice kontejneru, kde privileged=false nebo je prázdný a user=root nebo je prázdný. Pokud má definice úlohy zvýšená oprávnění, je to proto, že se zákazník výslovně přihlásil k této konfiguraci. Tento ovládací prvek kontroluje neočekávanou eskalaci oprávnění, pokud je v definici úlohy povolená síť hostitelů, ale zákazník se nepřihlásil ke zvýšeným oprávněním.
Závažnost: Vysoká
Domény služby Amazon Elasticsearch by měly šifrovat data odesílaná mezi uzly.
Popis: Tento ovládací prvek zkontroluje, jestli mají domény Amazon ES povolené šifrování mezi uzly. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v odposlouchávání nebo manipulaci s síťovým provozem pomocí útoku typu person-in-the-middle nebo podobných útoků. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Povolení šifrování mezi uzly pro domény Amazon ES zajišťuje šifrování komunikace uvnitř clusteru při přenosu. K této konfiguraci může být přidruženo snížení výkonu. Před povolením této možnosti byste měli vědět a otestovat kompromis mezi výkonem.
Závažnost: Střední
Domény služby Amazon Elasticsearch by měly mít povolené šifrování neaktivních uložených dat.
Popis: Je důležité povolit šifrování zbytku domén Amazon ES za účelem ochrany citlivých dat.
Závažnost: Střední
Databáze Amazon RDS by měla být šifrovaná pomocí klíče spravovaného zákazníkem.
Popis: Tato kontrola identifikuje databáze RDS, které jsou šifrované pomocí výchozích klíčů Služby správy klíčů, a ne pomocí klíčů spravovaných zákazníkem. Jako hlavní postup používejte klíče spravované zákazníkem k šifrování dat v databázích RDS a udržování kontroly nad klíči a daty v citlivých úlohách.
Závažnost: Střední
Instance Amazon RDS by měla být nakonfigurovaná s automatickým nastavením zálohování.
Popis: Tato kontrola identifikuje instance RDS, které nejsou nastaveny pomocí nastavení automatického zálohování. Pokud je nastavená automatická záloha, služba RDS vytvoří snímek svazku úložiště vaší instance databáze, zálohuje celou instanci databáze a ne jenom jednotlivé databáze, které poskytují obnovení k určitému bodu v čase. Automatické zálohování probíhá během zadané doby zálohování a uchovává zálohy po omezenou dobu, jak je definováno v období uchovávání. Doporučujeme nastavit automatické zálohování důležitých serverů RDS, které pomáhají v procesu obnovení dat.
Závažnost: Střední
Clustery Amazon Redshift by měly mít povolené protokolování auditu.
Popis: Tento ovládací prvek zkontroluje, jestli má cluster Amazon Redshift povolené protokolování auditu. Protokolování auditu Amazon Redshift poskytuje další informace o připojeních a aktivitách uživatelů ve vašem clusteru. Tato data je možné ukládat a zabezpečit v AmazonU S3 a můžou být užitečná při auditech zabezpečení a šetřeních. Další informace najdete v tématu Protokolování auditu databáze v Průvodci správou clusteru Amazon Redshift.
Závažnost: Střední
Clustery Amazon Redshift by měly mít povolené automatické snímky.
Popis: Tento ovládací prvek kontroluje, jestli mají clustery Amazon Redshift povolené automatizované snímky. Také zkontroluje, jestli je doba uchování snímku větší nebo rovna sedmi. Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Posiluje odolnost vašich systémů. Amazon Redshift ve výchozím nastavení provádí pravidelné snímky. Tento ovládací prvek zkontroluje, jestli jsou povolené a uchovány automatické snímky po dobu nejméně sedmi dnů. Další informace o automatizovaných snímcích Amazon Redshift naleznete v tématu Automatizované snímky v Průvodci správou clusteru Amazon Redshift.
Závažnost: Střední
Clustery Amazon Redshift by měly zakázat veřejný přístup.
Popis: Doporučujeme clustery Amazon Redshift, aby se zabránilo veřejné přístupnosti vyhodnocením pole veřejně nepřístupné v položce konfigurace clusteru.
Závažnost: Vysoká
Amazon Redshift by měl mít povolené automatické upgrady na hlavní verze.
Popis: Tento ovládací prvek zkontroluje, jestli jsou pro cluster Amazon Redshift povolené automatické upgrady hlavních verzí. Povolení automatických upgradů hlavních verzí zajišťuje, že se během časového období údržby nainstalují nejnovější aktualizace hlavní verze clusterů Amazon Redshift. Tyto aktualizace můžou zahrnovat opravy zabezpečení a opravy chyb. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.
Závažnost: Střední
Fronty Amazon SQS by měly být zašifrované v klidovém stavu.
Popis: Tento ovládací prvek zkontroluje, jestli jsou neaktivní neaktivní zašifrované fronty Amazon SQS. Šifrování na straně serveru (SSE) umožňuje přenášet citlivá data v šifrovaných frontách. K ochraně obsahu zpráv ve frontách používá služba SSE klíče spravované v AWS KmS. Další informace najdete v tématu Šifrování neaktivních uložených dat v příručce pro vývojáře služby Amazon Simple Queue Service.
Závažnost: Střední
Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události clusteru.
Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s povolenými oznámeními pro následující typ zdroje: Páry klíč-hodnota kategorie událostí. DBCluster: [Údržba a selhání]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.
Závažnost: Nízká
Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události instance databáze.
Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje: Páry klíč-hodnota kategorie událostí. DBInstance
: [Údržba, změna konfigurace a selhání].
Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu.
Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.
Závažnost: Nízká
Odběr oznámení událostí RDS by se měl nakonfigurovat pro události kritické skupiny parametrů databáze.
Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje: Páry klíč-hodnota kategorie událostí. DBParameterGroup: ["configuration","change"]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.
Závažnost: Nízká
Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události skupiny zabezpečení databáze.
Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje: Páry klíč-hodnota kategorie událostí. DBSecurityGroup: [Konfigurace, změna, selhání]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odpověď. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.
Závažnost: Nízká
Mělo by se povolit protokolování rozhraní REST brány API a rozhraní API WebSocket.
Popis: Tento ovládací prvek kontroluje, jestli jsou povolené všechny fáze rozhraní REST služby Amazon API Gateway nebo rozhraní WebSocket API. Ovládací prvek selže, pokud není protokolování povolené pro všechny metody fáze nebo pokud úroveň protokolování není CHYBA ani INFORMACE. Fáze rozhraní API Gateway REST nebo WebSocket API by měly mít povolené relevantní protokoly. Protokolování spouštění rozhraní API Gateway a rozhraní WebSocket API poskytuje podrobné záznamy požadavků provedených ve fázích rozhraní REST služby API Gateway a rozhraní WebSocket API. Mezi fáze patří back-endové odpovědi integrace rozhraní API, odpovědi autorizátoru Lambda a ID požadavku pro koncové body integrace AWS.
Závažnost: Střední
Neaktivní uložená data mezipaměti rozhraní REST API služby API brány API by se měla šifrovat.
Popis: Tento ovládací prvek zkontroluje, jestli jsou všechny metody ve fázích rozhraní REST API služby API brány API s povolenou mezipamětí zašifrované. Tento ovládací prvek selže, pokud je ve fázi rozhraní REST API služby API Gateway nakonfigurovaná nějaká metoda pro ukládání do mezipaměti a mezipaměť není šifrovaná. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Přidá další sadu řízení přístupu, která omezí přístup k datům neoprávněným uživatelům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením. Mezipaměti ROZHRANÍ REST API služby API Gateway by měly být zašifrované v klidovém stavu pro přidanou vrstvu zabezpečení.
Závažnost: Střední
Fáze rozhraní REST API brány API by měly být nakonfigurované tak, aby pro ověřování back-endu používaly certifikáty SSL.
Popis: Tento ovládací prvek zkontroluje, jestli fáze rozhraní REST API služby Amazon API Gateway mají nakonfigurované certifikáty SSL. Back-endové systémy tyto certifikáty používají k ověření, že příchozí požadavky pocházejí z brány rozhraní API. Fáze rozhraní REST API služby API Gateway by měly být nakonfigurované s certifikáty SSL, které umožňují back-endovým systémům ověřovat požadavky pocházející z brány rozhraní API.
Závažnost: Střední
Fáze rozhraní REST API brány API by měly mít povolené trasování X-Ray AWS.
Popis: Tento ovládací prvek zkontroluje, jestli je pro fáze rozhraní REST API služby Amazon API Gateway povolené aktivní trasování AWS X-Ray. Aktivní trasování X-Ray umožňuje rychlejší reakci na změny výkonu v základní infrastruktuře. Změny výkonu můžou vést k nedostatku dostupnosti rozhraní API. Aktivní trasování X-Ray poskytuje metriky uživatelských požadavků v reálném čase, které procházejí operacemi rozhraní REST API brány API a připojenými službami.
Závažnost: Nízká
Brána rozhraní API by měla být přidružená k webovému seznamu ACL AWS WAF.
Popis: Tento ovládací prvek zkontroluje, jestli fáze brány rozhraní API používá seznam řízení přístupu k webu AWS WAF (ACL). Tento ovládací prvek selže, pokud není webový seznam ACL AWS WAF připojený k dílčí fázi služby REST API Gateway. AWS WAF je firewall webových aplikací, který pomáhá chránit webové aplikace a rozhraní API před útoky. Umožňuje nakonfigurovat seznam ACL, což je sada pravidel, která povolují, blokují nebo spočítávají webové požadavky na základě přizpůsobitelných pravidel a podmínek zabezpečení webu, které definujete. Ujistěte se, že je vaše fáze brány rozhraní API přidružená k webovému seznamu ACL WAF AWS, aby byla chráněná před škodlivými útoky.
Závažnost: Střední
Protokolování aplikací a klasických nástrojů pro vyrovnávání zatížení by mělo být povolené.
Popis: Tento ovládací prvek zkontroluje, jestli má nástroj pro vyrovnávání zatížení aplikace a Nástroj pro vyrovnávání zatížení Classic povolené protokolování. Pokud je ovládací prvek false, ovládací prvek selže access_logs.s3.enabled
.
Elastic Load Balance poskytuje protokoly přístupu, které zaznamenávají podrobné informace o požadavcích odesílaných do vašeho nástroje pro vyrovnávání zatížení. Každý protokol obsahuje informace, jako je čas přijetí požadavku, IP adresa klienta, latence, cesty požadavků a odpovědi na server. Protokoly přístupu můžete použít k analýze vzorů provozu a k řešení problémů.
Další informace najdete v protokolech Accessu pro Nástroj pro vyrovnávání zatížení Classic v uživatelské příručce pro nástroje pro vyrovnávání zatížení Classic.
Závažnost: Střední
Připojené svazky EBS by měly být šifrované v klidovém stavu.
Popis: Tento ovládací prvek zkontroluje, jestli jsou svazky EBS v připojeném stavu šifrované. Aby bylo možné tuto kontrolu předat, musí se svazky EBS používat a šifrovat. Pokud není svazek EBS připojený, nebude se na něj tato kontrola vztahovat. Pro přidanou vrstvu zabezpečení citlivých dat ve svazcích EBS byste měli povolit šifrování EBS v klidovém stavu. Šifrování Amazon EBS nabízí jednoduché řešení šifrování pro vaše prostředky EBS, které nevyžadují vytváření, údržbu a zabezpečení vlastní infrastruktury pro správu klíčů. Při vytváření šifrovaných svazků a snímků používá hlavní klíče zákazníka AWS KMS (CMK). Další informace o šifrování Amazon EBS najdete v tématu Šifrování Amazon EBS v uživatelské příručce Amazon EC2 pro instance Linuxu.
Závažnost: Střední
Instance replikace AWS Database Migration Service by neměly být veřejné
Popis: Ochrana replikovaných instancí před hrozbami Instance privátní replikace by měla mít privátní IP adresu, ke které nemáte přístup mimo síť replikace. Instance replikace by měla mít privátní IP adresu, pokud jsou zdrojové a cílové databáze ve stejné síti a síť je připojená k VPC replikační instance pomocí sítě VPN, AWS Direct Connect nebo partnerského vztahu VPC. Měli byste také zajistit, aby byl přístup ke konfiguraci instance AWS DMS omezený jenom na oprávněné uživatele. Chcete-li to provést, omezte oprávnění IAM uživatelů k úpravě nastavení a prostředků AWS DMS.
Závažnost: Vysoká
Klasické naslouchací procesy load Balanceru by měly být nakonfigurované s ukončením protokolu HTTPS nebo TLS.
Popis: Tento ovládací prvek zkontroluje, jestli jsou naslouchací procesy Load Balanceru Classic nakonfigurované s protokolem HTTPS nebo TLS pro připojení front-endu (klienta k nástroji pro vyrovnávání zatížení). Ovládací prvek se dá použít, pokud má Load Balancer naslouchací procesy Classic. Pokud váš Load Balancer pro Classic nemá nakonfigurovaný naslouchací proces, nebude ovládací prvek hlásit žádná zjištění. Tento ovládací prvek se předá, pokud jsou naslouchací procesy Load Balanceru Classic nakonfigurované s protokolem TLS nebo HTTPS pro front-endová připojení. Tento ovládací prvek selže, pokud není naslouchací proces nakonfigurovaný s protokolem TLS nebo HTTPS pro připojení front-endu. Než začnete používat nástroj pro vyrovnávání zatížení, musíte přidat jeden nebo více naslouchacích procesů. Naslouchací proces, který ke kontrole požadavků na připojení používá nakonfigurovaný protokol a port. Naslouchací procesy můžou podporovat protokoly HTTP i HTTPS/TLS. Vždy byste měli použít naslouchací proces HTTPS nebo TLS, aby nástroj pro vyrovnávání zatížení fungoval při přenosu šifrování a dešifrování.
Závažnost: Střední
Klasické nástroje pro vyrovnávání zatížení by měly mít povolené vyprazdňování připojení.
Popis: Tento ovládací prvek zkontroluje, jestli mají klasické nástroje pro vyrovnávání zatížení povolené vyprazdňování připojení. Povolení vyprázdnění připojení u klasických nástrojů pro vyrovnávání zatížení zajišťuje, že nástroj pro vyrovnávání zatížení přestane odesílat požadavky na instance, které se neregistrují nebo nejsou v pořádku. Stávající připojení jsou otevřená. To je užitečné pro instance ve skupinách automatického škálování, aby se zajistilo, že připojení nejsou náhle přerušena.
Závažnost: Střední
Distribuce cloudových adres by měly mít povolenou službu AWS WAF.
Popis: Tento ovládací prvek zkontroluje, jestli jsou distribuce CloudFront přidružené k webovým seznamům AWS WAF nebo AWS WAFv2. Pokud není distribuce přidružená k webovému seznamu ACL, ovládací prvek selže. AWS WAF je firewall webových aplikací, který pomáhá chránit webové aplikace a rozhraní API před útoky. Umožňuje nakonfigurovat sadu pravidel označovaných jako seznam řízení přístupu k webu (web ACL), který povoluje, blokuje nebo počítá webové požadavky na základě přizpůsobitelných pravidel a podmínek zabezpečení webu, které definujete. Ujistěte se, že je vaše distribuce CloudFront přidružená k webovému seznamu ACL AWS WAF, aby byla chráněná před škodlivými útoky.
Závažnost: Střední
Distribuce CloudFront by měly mít povolené protokolování.
Popis: Tento ovládací prvek zkontroluje, jestli je v distribucích CloudFront povolené protokolování přístupu k serveru. Pokud není pro distribuci povolené protokolování přístupu, ovládací prvek selže. Protokoly přístupu CloudFront poskytují podrobné informace o každém požadavku uživatele, který cloudfront obdrží. Každý protokol obsahuje informace, jako je datum a čas přijetí požadavku, IP adresa prohlížeče, který požadavek provedl, zdroj požadavku a číslo portu požadavku od prohlížeče. Tyto protokoly jsou užitečné pro aplikace, jako jsou audity zabezpečení a přístup a forenzní šetření. Další informace o analýze protokolů přístupu najdete v tématu Dotazování protokolů Amazon CloudFront v uživatelské příručce Amazon Athena.
Závažnost: Střední
Distribuce CloudFront by měly vyžadovat šifrování během přenosu.
Popis: Tento ovládací prvek zkontroluje, jestli distribuce Amazon CloudFront vyžaduje, aby čtenáři používali https přímo nebo jestli používá přesměrování. Ovládací prvek selže, pokud je ViewerProtocolPolicy nastaven na allow-all pro defaultCacheBehavior nebo cacheBehaviors. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v používání útoku typu person-in-the-middle nebo podobných útoků k odposlouchnutí síťového provozu nebo manipulaci s ním. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS.
Závažnost: Střední
Protokoly CloudTrail by se měly šifrovat v klidovém stavu pomocí klíčů CMK Služby správy klíčů.
Popis: Doporučujeme nakonfigurovat CloudTrail pro použití SSE-KMS. Konfigurace CloudTrail pro použití služby SSE-KMS poskytuje více ovládacích prvků důvěrnosti dat protokolu, protože daný uživatel musí mít oprávnění ke čtení S3 v odpovídajícím kontejneru protokolů a musí mít udělené dešifrovací oprávnění zásadami CMK.
Závažnost: Střední
Při přenosu by se měla šifrovat připojení ke clusterům Amazon Redshift.
Popis: Tento ovládací prvek kontroluje, jestli jsou připojení ke clusterům Amazon Redshift nutné k použití šifrování během přenosu. Kontrola selže, pokud parametr clusteru Amazon Redshift require_SSL není nastavený na hodnotu 1. Tls se dá použít k tomu, aby zabránil potenciálním útočníkům v používání útoku mezi dvěma osobami nebo podobným útokům, které odposlouchávaly nebo manipulovaly se síťovým provozem. Měla by být povolena pouze šifrovaná připojení přes protokol TLS. Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS.
Závažnost: Střední
Připojení k doménám Elasticsearch by měla být šifrovaná pomocí protokolu TLS 1.2.
Popis: Tento ovládací prvek zkontroluje, jestli se k používání protokolu TLS 1.2 vyžadují připojení k doménám Elasticsearch. Kontrola selže, pokud doména Elasticsearch TLSSecurityPolicy není Policy-Min-TLS-1-2-2019-07. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v používání útoku typu person-in-the-middle nebo podobných útoků k odposlouchnutí síťového provozu nebo manipulaci s ním. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS. Protokol TLS 1.2 poskytuje několik vylepšení zabezpečení oproti předchozím verzím protokolu TLS.
Závažnost: Střední
Tabulky DynamoDB by měly mít povolené obnovení k určitému bodu v čase.
Popis: Tento ovládací prvek zkontroluje, jestli je pro tabulku Amazon DynamoDB povolená obnovení k určitému bodu v čase . Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Také posiluje odolnost vašich systémů. Obnovení DynamoDB k určitému bodu v čase automatizuje zálohy pro tabulky DynamoDB. Zkracuje dobu obnovení z náhodných operací odstranění nebo zápisu. Tabulky DynamoDB, které mají povolenou funkci PITR, je možné obnovit k libovolnému bodu v čase za posledních 35 dnů.
Závažnost: Střední
Výchozí šifrování EBS by mělo být povolené.
Popis: Tento ovládací prvek zkontroluje, jestli je pro Amazon Elastic Block Store (Amazon EBS) ve výchozím nastavení povolené šifrování na úrovni účtu. Pokud není povolené šifrování na úrovni účtu, ovládací prvek selže. Pokud je pro váš účet povolené šifrování, svazky Amazon EBS a kopie snímků se šifrují v klidovém stavu. Tím se pro vaše data přidá další vrstva ochrany. Další informace naleznete v tématu Šifrování ve výchozím nastavení v uživatelské příručce Amazon EC2 pro instance Linux.
Následující typy instancí nepodporují šifrování: R1, C1 a M1.
Závažnost: Střední
Prostředí Elastic Beanstalk by měla mít povolené vylepšené generování sestav o stavu.
Popis: Tento ovládací prvek zkontroluje, jestli je pro vaše prostředí AWS Elastic Beanstalk povolené vylepšené generování sestav stavu. Elastic Beanstalk vylepšené generování sestav o stavu umožňuje rychlejší reakci na změny ve stavu základní infrastruktury. Tyto změny můžou mít za následek nedostatek dostupnosti aplikace. Elastic Beanstalk enhanced health reporting poskytuje popisovač stavu ke zjištění závažnosti zjištěných problémů a identifikaci možných příčin, které se mají prozkoumat. Agent stavu Elastic Beanstalk, který je součástí podporovaných imagí počítačů Amazon (AMI), vyhodnocuje protokoly a metriky instancí EC2 prostředí.
Závažnost: Nízká
Aktualizace spravované platformy Elastic Beanstalk by měly být povolené.
Popis: Tento ovládací prvek zkontroluje, jestli jsou pro prostředí Elastic Beanstalk povolené aktualizace spravované platformy. Povolení aktualizací spravované platformy zajišťuje, že jsou nainstalované nejnovější dostupné opravy, aktualizace a funkce pro prostředí. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.
Závažnost: Vysoká
Elastic Load Balancer by neměl mít za 90 dnů vypršení platnosti certifikátu ACM nebo vypršení platnosti certifikátu ACM.
Popis: Tato kontrola identifikuje elastické nástroje pro vyrovnávání zatížení (ELB), které používají certifikáty ACM, jejichž platnost vypršela nebo vypršela za 90 dnů. AWS Certificate Manager (ACM) je upřednostňovaným nástrojem pro zřizování, správu a nasazování certifikátů serveru. S ACM. Můžete požádat o certifikát nebo nasadit existující certifikát ACM nebo externí certifikát do prostředků AWS. Osvědčeným postupem je znovu importovat certifikáty s vypršenou platností nebo vypršením platnosti při zachování přidružení ELB původního certifikátu.
Závažnost: Vysoká
Protokolování chyb domény Elasticsearch do protokolů CloudWatch by mělo být povolené.
Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované tak, aby odesílaly protokoly chyb do protokolů CloudWatch. Pro domény Elasticsearch byste měli povolit protokoly chyb a odesílat tyto protokoly do protokolů CloudWatch pro uchovávání informací a odpovědi. Protokoly chyb domény můžou pomoct s audity zabezpečení a přístupu a můžou pomoct diagnostikovat problémy s dostupností.
Závažnost: Střední
Domény Elasticsearch by měly být nakonfigurované alespoň se třemi vyhrazenými hlavními uzly.
Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované alespoň se třemi vyhrazenými hlavními uzly. Tento ovládací prvek selže, pokud doména nepoužívá vyhrazené hlavní uzly. Tento ovládací prvek se předá, pokud mají domény Elasticsearch pět vyhrazených hlavních uzlů. Použití více než tří hlavních uzlů ale nemusí zmírnit riziko dostupnosti a bude mít za následek vyšší náklady. Doména Elasticsearch vyžaduje alespoň tři vyhrazené hlavní uzly pro zajištění vysoké dostupnosti a odolnosti proti chybám. Vyhrazené prostředky hlavního uzlu je možné zatížit během modrých nebo zelených nasazení datového uzlu, protože je potřeba spravovat více uzlů. Nasazení domény Elasticsearch s alespoň třemi vyhrazenými hlavními uzly zajišťuje dostatečnou kapacitu prostředků hlavního uzlu a operace clusteru v případě selhání uzlu.
Závažnost: Střední
Domény Elasticsearch by měly mít aspoň tři datové uzly.
Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované s alespoň třemi datovými uzly a zoneAwarenessEnabled je true. Doména Elasticsearch vyžaduje alespoň tři datové uzly pro zajištění vysoké dostupnosti a odolnosti proti chybám. Nasazení domény Elasticsearch s alespoň třemi datovými uzly zajišťuje operace clusteru v případě selhání uzlu.
Závažnost: Střední
Domény Elasticsearch by měly mít povolené protokolování auditu.
Popis: Tento ovládací prvek zkontroluje, jestli mají domény Elasticsearch povolené protokolování auditu. Tento ovládací prvek selže, pokud doména Elasticsearch nemá povolené protokolování auditu. Protokoly auditu jsou vysoce přizpůsobitelné. Umožňují sledovat aktivity uživatelů v clusterech Elasticsearch, včetně úspěšných a neúspěšných ověřování, požadavků na OpenSearch, změn indexu a příchozích vyhledávacích dotazů.
Závažnost: Střední
Rozšířené monitorování by mělo být nakonfigurované pro instance a clustery služby RDS DB.
Popis: Tento ovládací prvek zkontroluje, jestli je pro instance služby RDS DB povolené rozšířené monitorování. Rozšířené monitorování v Amazon RDS umožňuje rychlejší reakci na změny výkonu v základní infrastruktuře. Tyto změny výkonu můžou vést k nedostatku dostupnosti dat. Rozšířené monitorování poskytuje metriky operačního systému v reálném čase, na kterém běží vaše instance služby RDS DB. V instanci se nainstaluje agent. Agent může získat metriky přesněji, než je možné z vrstvy hypervisoru. Rozšířené metriky monitorování jsou užitečné, když chcete zjistit, jak různé procesy nebo vlákna v instanci databáze využívají procesor. Další informace naleznete v části Rozšířené monitorování v uživatelské příručce Amazon RDS.
Závažnost: Nízká
Ujistěte se, že je povolená obměně sad CMK vytvořených zákazníkem.
Popis: AWS Služba správy klíčů (KmS) umožňuje zákazníkům obměňovat záložní klíč, což je materiál klíčů uložený v rámci Služby správy klíčů, který je svázán s ID klíče hlavního klíče zákazníka vytvořeného zákazníkem (CMK). Jedná se o záložní klíč, který slouží k provádění kryptografických operací, jako je šifrování a dešifrování. Automatizovaná obměna klíčů v současné době uchovává všechny předchozí záložní klíče, aby bylo možné transparentní dešifrování šifrovaných dat. Doporučujeme povolit obměnu klíčů CMK. Obměna šifrovacích klíčů pomáhá snížit potenciální dopad ohroženého klíče, protože data zašifrovaná pomocí nového klíče nelze získat přístup pomocí předchozího klíče, který by mohl být vystaven.
Závažnost: Střední
Ujistěte se, že je v kontejneru CloudTrail S3 povolené protokolování přístupu ke kontejneru S3 kontejneru S3.
Popis: Protokolování přístupu ke kontejneru S3 generuje protokol obsahující záznamy přístupu, aby protokolování přístupu S3 bylo povoleno v kontejneru CloudTrail S3 pro každou žádost provedenou v kontejneru S3. Záznam protokolu přístupu obsahuje podrobnosti o požadavku, jako je typ požadavku, prostředky zadané v požadavku fungovaly a čas a datum zpracování požadavku. Doporučujeme povolit protokolování přístupu k kbelíku v kontejneru CloudTrail S3. Povolením protokolování kbelíku S3 v cílových kontejnerech S3 je možné zachytit všechny události, které můžou ovlivnit objekty v cílových kontejnerech. Konfigurace protokolů, které se mají umístit do samostatného kontejneru, umožňuje přístup k informacím protokolu, což může být užitečné v pracovních postupech reakce na incidenty a zabezpečení.
Závažnost: Nízká
Ujistěte se, že kontejner S3 používaný k ukládání protokolů CloudTrail není veřejně přístupný.
Popis: CloudTrail zaznamená záznam každého volání rozhraní API provedeného ve vašem účtu AWS. Tyto soubory protokolu se ukládají do kontejneru S3. Doporučuje se, aby zásady kontejneru nebo seznam řízení přístupu (ACL) použité v kontejneru S3, který protokoly CloudTrail znemožňovaly veřejný přístup k protokolům CloudTrail. Povolení veřejného přístupu k obsahu protokolu CloudTrail může nežádoucí identifikaci slabých stránek v použití nebo konfiguraci ovlivněného účtu pomoct nežádoucím uživatelům.
Závažnost: Vysoká
IAM by neměl mít prošlé certifikáty SSL/TLS
Popis: Tato kontrola identifikuje prošlé certifikáty SSL/TLS. Pokud chcete povolit připojení HTTPS k webu nebo aplikaci v AWS, potřebujete certifikát serveru SSL/TLS. K ukládání a nasazování certifikátů serveru můžete použít ACM nebo IAM. Odebrání certifikátů SSL/TLS s vypršenou platností eliminuje riziko, že se neplatný certifikát nasadí omylem do prostředku, jako je AWS Elastic Load Balancer (ELB), což může poškodit důvěryhodnost aplikace nebo webu za ELB. Tato kontrola vygeneruje výstrahy, pokud jsou v AWS IAM uložené nějaké certifikáty SSL/TLS s vypršenou platností. Osvědčeným postupem je odstranit prošlé certifikáty.
Závažnost: Vysoká
Importované certifikáty ACM by se měly prodloužit po zadaném časovém období.
Popis: Tento ovládací prvek zkontroluje, jestli jsou certifikáty ACM ve vašem účtu označené k vypršení platnosti do 30 dnů. Kontroluje importované certifikáty i certifikáty poskytované Správcem certifikátů AWS. ACM může automaticky obnovit certifikáty, které používají ověřování DNS. U certifikátů, které používají ověření e-mailu, musíte odpovědět na ověřovací e-mail domény. ACM také automaticky neobnoví certifikáty, které importujete. Importované certifikáty je nutné obnovit ručně. Další informace o spravovaném prodlužování platnosti certifikátů ACM naleznete v části Spravované obnovení certifikátů ACM v uživatelské příručce správce certifikátů AWS.
Závažnost: Střední
V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění creep (PCI).
Popis: V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití.
Závažnost: Střední
Automatické upgrady podverze RDS by měly být povolené.
Popis: Tento ovládací prvek zkontroluje, jestli jsou pro instanci databáze RDS povolené automatické upgrady podverze. Povolení automatických upgradů podverze zajistí instalaci nejnovějších aktualizací podverze systému pro správu relačních databází (RDBMS). Tyto upgrady můžou zahrnovat opravy zabezpečení a opravy chyb. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.
Závažnost: Vysoká
Snímky clusteru RDS a snímky databáze by měly být zašifrované v klidovém stavu.
Popis: Tento ovládací prvek zkontroluje, jestli jsou snímky databáze RDS šifrované. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro snímky instancí Aurora DB, instancí Společnosti Jupitere DB a clusterů Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Šifrování neaktivních uložených dat snižuje riziko, že neověřený uživatel získá přístup k datům uloženým na disku. Data ve snímcích RDS by se měla šifrovat v klidovém stavu pro přidanou vrstvu zabezpečení.
Závažnost: Střední
Clustery RDS by měly mít povolenou ochranu před odstraněním.
Popis: Tento ovládací prvek zkontroluje, jestli mají clustery RDS povolenou ochranu před odstraněním. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro instance Aurora DB, instance Db Jupiteru a clustery Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Povolení ochrany před odstraněním clusteru je další vrstva ochrany před náhodným odstraněním nebo odstraněním databáze neoprávněnou entitou. Pokud je povolená ochrana před odstraněním, cluster RDS se nedá odstranit. Než bude žádost o odstranění úspěšná, musí být ochrana před odstraněním zakázaná.
Závažnost: Nízká
Clustery RDS DB by měly být nakonfigurované pro více Zóny dostupnosti
Popis: Clustery RDS DB by měly být nakonfigurované pro více uložených dat. Nasazení do více Zóny dostupnosti umožňuje automatizovat Zóny dostupnosti zajistit dostupnost převzetí služeb při selhání v případě problému s dostupností zóny dostupnosti a během běžných událostí údržby rdS.
Závažnost: Střední
Clustery RDS DB by měly být nakonfigurované tak, aby zkopírovaly značky do snímků.
Popis: Identifikace a inventář vašich IT prostředků je zásadním aspektem zásad správného řízení a zabezpečení. Potřebujete mít přehled o všech clusterech RDS DB, abyste mohli posoudit jejich stav zabezpečení a reagovat na potenciální oblasti slabosti. Snímky by měly být označené stejným způsobem jako nadřazené databázové clustery RDS. Povolením tohoto nastavení zajistíte, že snímky dědí značky nadřazených databázových clusterů.
Závažnost: Nízká
Instance služby RDS DB by měly být nakonfigurované tak, aby zkopírovaly značky do snímků.
Popis: Tento ovládací prvek zkontroluje, jestli jsou instance služby RDS DB nakonfigurované tak, aby při vytváření snímků zkopírovaly všechny značky do snímků. Identifikace a inventář vašich IT prostředků je zásadním aspektem zásad správného řízení a zabezpečení. Potřebujete mít přehled o všech instancích služby RDS DB, abyste mohli posoudit jejich stav zabezpečení a podniknout kroky týkající se potenciálních oblastí slabosti. Snímky by měly být označené stejným způsobem jako nadřazené instance databáze RDS. Povolením tohoto nastavení zajistíte, že snímky dědí značky nadřazených instancí databáze.
Závažnost: Nízká
Instance služby RDS DB by měly být nakonfigurované s více Zóny dostupnosti
Popis: Tento ovládací prvek zkontroluje, jestli je pro instance služby RDS DB povolená vysoká dostupnost. Instance RDS DB by měly být nakonfigurované pro více Zóny dostupnosti (AZ). Tím se zajistí dostupnost uložených dat. Nasazení multi-AZ umožňují automatizované převzetí služeb při selhání, pokud dojde k problému s dostupností zóny dostupnosti a během pravidelné údržby vzdálené plochy.
Závažnost: Střední
Instance databáze RDS by měly mít povolenou ochranu před odstraněním.
Popis: Tento ovládací prvek zkontroluje, jestli vaše instance služby RDS DB, které používají některý z uvedených databázových strojů, mají povolenou ochranu proti odstranění. Povolení ochrany odstranění instance je další vrstva ochrany před náhodným odstraněním nebo odstraněním databáze neoprávněnou entitou. I když je povolená ochrana před odstraněním, instanci databáze RDS nejde odstranit. Než bude žádost o odstranění úspěšná, musí být ochrana před odstraněním zakázaná.
Závažnost: Nízká
Instance služby RDS DB by měly mít povolené šifrování neaktivních uložených dat.
Popis: Tento ovládací prvek zkontroluje, jestli je pro vaše instance Amazon RDS DB povolené šifrování úložiště. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro instance Aurora DB, instance Db Jupiteru a clustery Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Pro přidanou vrstvu zabezpečení citlivých dat v instancích služby RDS DB byste měli nakonfigurovat, aby se instance vzdálené plochy zašifrovaly v klidovém stavu. Pokud chcete zašifrovat instance a snímky služby RDS DB v klidovém stavu, povolte možnost šifrování pro vaše instance služby RDS DB. Data, která jsou zašifrovaná v klidovém stavu, zahrnují základní úložiště pro instance databáze, jeho automatizované zálohy, repliky pro čtení a snímky. Šifrované instance databáze RDS používají otevřený standardní šifrovací algoritmus AES-256 k šifrování dat na serveru, který je hostitelem instancí služby RDS DB. Po zašifrování dat zpracovává Amazon RDS ověřování přístupu a dešifrování dat transparentně s minimálním dopadem na výkon. Abyste mohli používat šifrování, nemusíte upravovat databázové klientské aplikace. Šifrování Amazon RDS je aktuálně dostupné pro všechny databázové stroje a typy úložišť. Šifrování Amazon RDS je k dispozici pro většinu tříd instancí databáze. Další informace o třídách instancí databáze, které nepodporují šifrování Amazon RDS, najdete v části Šifrování prostředků Amazon RDS v uživatelské příručce Amazon RDS.
Závažnost: Střední
Instance služby RDS DB by měly zakázat veřejný přístup.
Popis: Doporučujeme také zajistit, aby byl přístup ke konfiguraci vaší instance RDS omezen pouze na autorizované uživatele tím, že omezíte oprávnění IAM uživatelů k úpravě nastavení a prostředků instancí vzdálené plochy.
Závažnost: Vysoká
Snímky RDS by měly zakázat veřejný přístup
Popis: Doporučujeme povolit přístup k snímku jenom autorizovaným objektům zabezpečení a změnit konfiguraci Amazon RDS.
Závažnost: Vysoká
Odebrání nepoužívaných tajných kódů Správce tajných kódů
Popis: Tento ovládací prvek zkontroluje, jestli byly vaše tajné kódy přístupné během zadaného počtu dnů. Výchozí hodnota je 90 dní. Pokud tajný kód nebyl během definovaného počtu dnů přístupný, tento ovládací prvek selže. Odstranění nepoužívaných tajných kódů je stejně důležité jako obměna tajných kódů. Nepoužité tajné kódy mohou zneužít jejich bývalí uživatelé, kteří už k těmto tajným kódům nepotřebují přístup. Navíc, protože více uživatelů získá přístup k tajnému kódu, někdo by mohl ošetřit a unikl ho neoprávněné entitě, což zvyšuje riziko zneužití. Odstranění nepoužívaných tajných kódů pomáhá odvolat přístup k tajným kódům uživatelům, kteří ho už nepotřebují. Pomáhá také snížit náklady na používání Správce tajných kódů. Proto je nezbytné pravidelně odstraňovat nepoužívané tajné kódy.
Závažnost: Střední
Kontejnery S3 by měly mít povolenou replikaci mezi oblastmi.
Popis: Povolení replikace S3 mezi oblastmi zajišťuje, že více verzí dat je k dispozici v různých různých oblastech. To vám umožní chránit kontejner S3 před útoky DDoS a událostmi poškození dat.
Závažnost: Nízká
Kontejnery S3 by měly mít povolené šifrování na straně serveru.
Popis: Povolte šifrování na straně serveru pro ochranu dat v kontejnerech S3. Šifrování dat může zabránit přístupu k citlivým datům v případě porušení zabezpečení dat.
Závažnost: Střední
Tajné kódy Správce tajných kódů nakonfigurované pomocí automatické obměna by se měly úspěšně otočit.
Popis: Tento ovládací prvek zkontroluje, jestli se tajný kód AWS Secrets Manager úspěšně otočil na základě plánu obměna. Ovládací prvek selže, pokud RotationOccurringAsScheduled je false. Ovládací prvek nevyhodnocuje tajné kódy, které nemají nakonfigurovanou rotaci. Správce tajných kódů pomáhá zlepšit stav zabezpečení vaší organizace. Tajné kódy zahrnují přihlašovací údaje databáze, hesla a klíče rozhraní API třetích stran. Pomocí Správce tajných kódů můžete ukládat tajné kódy centrálně, šifrovat tajné kódy automaticky, řídit přístup k tajným kódům a bezpečně a automaticky obměňovat tajné kódy. Správce tajných kódů může obměňovat tajné kódy. Obměně můžete nahradit dlouhodobé tajné kódy krátkodobými tajnými kódy. Obměně tajných kódů omezuje dobu, po jakou může neoprávněný uživatel použít ohrožený tajný kód. Z tohoto důvodu byste měli často obměňovat tajné kódy. Kromě konfigurace tajných kódů pro automatické obměna byste měli zajistit, aby se tyto tajné kódy úspěšně otáčely na základě plánu obměna. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.
Závažnost: Střední
Tajné kódy Správce tajných kódů by se měly obměňovat během zadaného počtu dnů.
Popis: Tento ovládací prvek kontroluje, jestli byly tajné kódy obměněné alespoň jednou během 90 dnů. Rotace tajných kódů vám může pomoct snížit riziko neoprávněného použití tajných kódů ve vašem účtu AWS. Mezi příklady patří přihlašovací údaje databáze, hesla, klíče rozhraní API třetích stran a dokonce libovolný text. Pokud tajné kódy po dlouhou dobu nezměníte, pravděpodobně dojde k ohrožení zabezpečení tajných kódů. S tím, jak více uživatelů získá přístup k tajnému kódu, může být pravděpodobnější, že někdo chybně ošetřel a unikl ho neoprávněné entitě. Tajné kódy mohou být unikly prostřednictvím protokolů a dat mezipaměti. Dají se sdílet pro účely ladění a po dokončení ladění se nedají změnit ani odvolat. Z těchto důvodů by se tajné kódy měly často obměňovat. Tajné kódy můžete nakonfigurovat pro automatickou obměnu ve Správci tajných kódů AWS. Díky automatické obměně můžete dlouhodobé tajné kódy nahradit krátkodobými tajnými klíči, což výrazně snižuje riziko ohrožení. Security Hub doporučuje povolit obměnu tajných kódů Správce tajných kódů. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.
Závažnost: Střední
Témata SNS by se měla šifrovat v klidovém stavu pomocí služby AWS KMS.
Popis: Tento ovládací prvek zkontroluje, jestli je téma SNS šifrované v klidovém stavu pomocí služby AWS KMS. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Přidá také další sadu řízení přístupu, která omezí schopnost neoprávněných uživatelů přistupovat k datům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením. Témata SNS by se měla šifrovat v klidovém stavu pro přidanou vrstvu zabezpečení. Další informace najdete v tématu Šifrování neaktivních uložených dat v Příručce pro vývojáře amazon simple notification service.
Závažnost: Střední
Protokolování toku VPC by mělo být povolené ve všech VPC.
Popis: Protokoly toku VPC poskytují přehled o síťovém provozu, který prochází přes VPC, a dá se použít k detekci neobvyklého provozu nebo přehledu během událostí zabezpečení.
Závažnost: Střední
Doporučení pro data GCP
Ujistěte se, že je příznak databáze 3625 (příznak trasování) pro instanci cloudového SQL Serveru nastavený na vypnuto.
Popis: Doporučuje se nastavit příznak databáze 3625 (příznak trasování) pro cloudovou instanci SQL Serveru na vypnuto. Příznaky trasování se často používají k diagnostice problémů s výkonem nebo k ladění uložených procedur nebo složitých počítačových systémů, ale můžou je také doporučit podpora Microsoftu k řešení chování, které má negativní dopad na konkrétní úlohu. Všechny zdokumentované příznaky trasování a příznaky doporučené podpora Microsoftu jsou plně podporovány v produkčním prostředí, pokud se používají podle pokynů. "3625(trasovací protokol)" Omezuje množství informací vrácených uživatelům, kteří nejsou členy pevné role serveru správce systému, maskováním parametrů některých chybových zpráv pomocí funkce "******". To může pomoct zabránit zpřístupnění citlivých informací. Proto se doporučuje tento příznak zakázat. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Střední
Ujistěte se, že je příznak databáze s povolenou externími skripty pro instanci Cloudového SQL Serveru SQL Server vypnutý.
Popis: Doporučuje se nastavit příznak databáze s povolenou externími skripty pro cloudovou instanci SQL Serveru na vypnutou. "Povolené externí skripty" umožňují spouštění skriptů s určitými rozšířeními vzdáleného jazyka. Tato vlastnost je ve výchozím nastavení vypnutá. Pokud je nainstalována služba Advanced Analytics Services, může nastavení volitelně nastavit tuto vlastnost na hodnotu true. Protože funkce "Externí skripty povoleny" umožňuje spouštění skriptů externích pro SQL, jako jsou soubory umístěné v knihovně jazyka R, které by mohly nepříznivě ovlivnit zabezpečení systému, proto by to mělo být zakázáno. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Vysoká
Ujistěte se, že je příznak databáze vzdáleného přístupu pro instanci cloudového SQL Serveru SQL Server vypnutý.
Popis: Doporučuje se nastavit příznak databáze vzdáleného přístupu pro instanci Cloudového SQL Serveru na vypnuto. Možnost "vzdálený přístup" řídí spouštění uložených procedur z místních nebo vzdálených serverů, na kterých jsou spuštěné instance SQL Serveru. Tato výchozí hodnota pro tuto možnost je 1. To uděluje oprávnění ke spouštění místních uložených procedur ze vzdálených serverů nebo vzdálených uložených procedur z místního serveru. Chcete-li zabránit spouštění místních uložených procedur ze vzdáleného serveru nebo vzdálených uložených procedur na místním serveru, musí být zakázány. Možnost Vzdáleného přístupu řídí spouštění místních uložených procedur na vzdálených serverech nebo vzdálených uložených procedurách na místním serveru. Funkce vzdáleného přístupu může být zneužita ke spuštění útoku DoS (Denial-of-Service) na vzdálené servery tím, že se zpracování dotazů do cíle nenačítá, proto by mělo být zakázané. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Vysoká
Ujistěte se, že příznak databáze skip_show_database pro instanci Cloud SQL Mysql je nastavený na zapnuto.
Popis: Doporučuje se nastavit příznak databáze "skip_show_database" pro instanci Cloud SQL Mysql na zapnuto. Příznak databáze skip_show_database brání uživatelům v používání příkazu SHOW DATABASES, pokud nemají oprávnění SHOW DATABASES. To může zlepšit zabezpečení, pokud máte obavy o uživatele, kteří vidí databáze patřící jiným uživatelům. Jeho účinek závisí na oprávnění SHOW DATABASES: Pokud je hodnota proměnné zapnutá, příkaz SHOW DATABASES je povolen pouze uživatelům s oprávněním SHOW DATABASES a příkaz zobrazí všechny názvy databází. Pokud je tato hodnota vypnutá, funkce SHOW DATABASES je povolena všem uživatelům, ale zobrazí názvy pouze těch databází, pro které má uživatel oprávnění ZOBRAZIT DATABÁZE nebo jiné oprávnění. Toto doporučení platí pro instance databáze Mysql.
Závažnost: Nízká
Ujistěte se, že pro všechny sady dat BigQuery je zadaný výchozí šifrovací klíč spravovaný zákazníkem (CMEK).
Popis: BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. Data se šifrují pomocí šifrovacích klíčů dat a samotné šifrovací klíče dat se dále šifrují pomocí šifrovacích klíčů klíčů. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pokud ale chcete mít větší kontrolu, můžete šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pro větší kontrolu nad šifrováním je možné šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. Nastavení výchozího šifrovacího klíče spravovaného zákazníkem (CMEK) pro sadu dat zajistí, aby všechny tabulky vytvořené v budoucnu používaly zadaný klíč CMEK, pokud není k dispozici žádný jiný.
Google vaše klíče neukládá na svých serverech a nemá přístup k chráněným datům, pokud ho nezadáte.
To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem.
Závažnost: Střední
Ujistěte se, že všechny tabulky BigQuery jsou šifrované pomocí šifrovacího klíče spravovaného zákazníkem (CMEK).
Popis: BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. Data se šifrují pomocí šifrovacích klíčů dat a samotné šifrovací klíče dat se dále šifrují pomocí šifrovacích klíčů klíčů. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pokud ale chcete mít větší kontrolu, můžete šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. Pokud se použije KLÍČ CMEK, použije se k šifrování šifrovacích klíčů dat místo použití šifrovacích klíčů spravovaných googlem. BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pro větší kontrolu nad šifrováním je možné šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro tabulky BigQuery. Klíč CMEK slouží k šifrování šifrovacích klíčů dat místo použití šifrovacích klíčů spravovaných googlem. BigQuery ukládá přidružení tabulky a CMEK a šifrování/dešifrování se provádí automaticky. Použití výchozích klíčů spravovaných zákazníkem v datových sadách BigQuery zajišťuje, že všechny nové tabulky vytvořené v budoucnu budou zašifrovány pomocí CMEK, ale stávající tabulky je potřeba aktualizovat tak, aby používaly CMEK jednotlivě.
Google vaše klíče neukládá na svých serverech a nemá přístup k chráněným datům, pokud ho nezadáte. To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem.
Závažnost: Střední
Ujistěte se, že datové sady BigQuery nejsou anonymně nebo veřejně přístupné.
Popis: Doporučuje se, aby zásady IAM u datových sad BigQuery nepovolily anonymní nebo veřejný přístup. Udělení oprávnění všem uživatelům nebo allAuthenticatedUsers umožňuje každému přístup k datové sadě. Takový přístup nemusí být žádoucí, pokud jsou citlivá data uložená v datové sadě. Proto se ujistěte, že anonymní nebo veřejný přístup k datové sadě není povolený.
Závažnost: Vysoká
Ujistěte se, že jsou instance cloudové databáze SQL nakonfigurované s automatizovanými zálohami.
Popis: Doporučuje se nastavit všechny instance databáze SQL tak, aby umožňovaly automatizované zálohování. Zálohy poskytují způsob obnovení cloudové instance SQL za účelem obnovení ztracených dat nebo obnovení z problému s danou instancí. Automatizované zálohy je potřeba nastavit pro všechny instance, které obsahují data, která by měla být chráněna před ztrátou nebo poškozením. Toto doporučení platí pro instance SQL Serveru, PostgreSql, MySql generace 1 a MySql generace 2.
Závažnost: Vysoká
Ujistěte se, že instance cloudové databáze SQL nejsou otevřené na světě.
Popis: Databázový server by měl přijímat připojení pouze z důvěryhodných sítí nebo IP adres a omezit přístup ze světa. Pokud chcete minimalizovat prostor pro útoky na instanci databázového serveru, musí být pro připojení k ní schváleny pouze důvěryhodné/známé a požadované IP adresy. Autorizovaná síť by neměla mít IP adresy nebo sítě nakonfigurované na 0.0.0.0/0, což umožní přístup k instanci odkudkoli na světě. Upozorňujeme, že autorizované sítě se vztahují pouze na instance s veřejnými IP adresami.
Závažnost: Vysoká
Ujistěte se, že instance cloudové databáze SQL nemají veřejné IP adresy.
Popis: Doporučujeme nakonfigurovat instanci SQL druhé generace tak, aby místo veřejných IP adres používala privátní IP adresy. Aby se snížil prostor pro útoky organizace, cloudové databáze SQL by neměly mít veřejné IP adresy. Privátní IP adresy poskytují lepší zabezpečení sítě a nižší latenci vaší aplikace.
Závažnost: Vysoká
Ujistěte se, že kontejner cloudového úložiště není anonymně nebo veřejně přístupný.
Popis: Doporučuje se, aby zásady IAM v kontejneru cloudového úložiště nepo povolily anonymní nebo veřejný přístup. Povolení anonymního nebo veřejného přístupu uděluje oprávnění každému, kdo má přístup k obsahu kontejneru. Takový přístup nemusí být žádoucí, pokud ukládáte citlivá data. Proto se ujistěte, že anonymní nebo veřejný přístup k kbelíku není povolený.
Závažnost: Vysoká
Ujistěte se, že kontejnery cloudového úložiště mají povolený jednotný přístup na úrovni kbelíku.
Popis: V kontejnerech cloudového úložiště se doporučuje povolit jednotný přístup na úrovni kbelíku.
Ke sjednocení a zjednodušení přístupu k prostředkům cloudového úložiště se doporučuje použít jednotný přístup na úrovni kbelíku.
Cloud Storage nabízí dva systémy pro udělení oprávnění uživatelům pro přístup k vašim kontejnerům a objektům: CloudOvá správa identit a přístupu (Cloud IAM) a seznamy řízení přístupu (ACL).
Tyto systémy fungují paralelně – aby uživatel mohl přistupovat k prostředku cloudového úložiště, musí mu udělit oprávnění jenom jeden ze systémů.
Cloud IAM se používá v celém Google Cloudu a umožňuje udělit celou řadu oprávnění na úrovni kontejneru a projektu.
Seznamy ACL používají jenom cloudová úložiště a mají omezené možnosti oprávnění, ale umožňují udělit oprávnění pro jednotlivé objekty.
Aby bylo možné podporovat systém jednotného oprávnění, má cloudové úložiště jednotný přístup na úrovni kbelíku. Pomocí této funkce zakážete seznamy ACL pro všechny prostředky cloudového úložiště: přístup k prostředkům cloudového úložiště se pak uděluje výhradně prostřednictvím Cloud IAM. Povolení jednotného přístupu na úrovni kbelíku zaručuje, že pokud kontejner úložiště není veřejně přístupný, není v kontejneru veřejně přístupný žádný objekt.
Závažnost: Střední
Ujistěte se, že výpočetní instance mají povolené důvěrné výpočetní operace.
Popis: Google Cloud šifruje neaktivní uložená data a přenášená data, ale zákaznická data musí být dešifrována ke zpracování. Důvěrné výpočetní prostředí je převratná technologie, která šifruje data při jejich zpracování. Důvěrná výpočetní prostředí udržují data zašifrovaná v paměti a jinde mimo jednotku centrálního zpracování (CPU). Důvěrné virtuální počítače využívají funkci SEV (Secure Encrypted Virtualization) procesorů AMD EPYC. Zákaznická data zůstanou zašifrovaná, když se používají, indexují, dotazují nebo natrénují. Šifrovací klíče se generují v hardwaru, na virtuálním počítači a nedají se exportovat. Díky integrovaným optimalizacím hardwaru jak výkonu, tak zabezpečení, neexistuje žádné významné snížení výkonu pro úlohy důvěrného computingu. Důvěrné výpočetní prostředí umožňuje citlivému kódu zákazníků a dalším datům zašifrovaným v paměti během zpracování. Google nemá přístup k šifrovacím klíčům. Důvěrný virtuální počítač může zmírnit obavy týkající se rizik souvisejících se závislostí na infrastruktuře Google nebo přístupu účastníků programu Google insider k zákaznickým datům v jasné podobě.
Závažnost: Vysoká
Ujistěte se, že zásady uchovávání informací v kontejnerech protokolů jsou nakonfigurované pomocí bucket Locku.
Popis: Povolení zásad uchovávání informací v kontejnerech protokolů chrání protokoly uložené v kontejnerech cloudového úložiště před přepsáním nebo neúmyslným odstraněním. Doporučujeme nastavit zásady uchovávání informací a nakonfigurovat Bucket Lock pro všechny kontejnery úložiště, které se používají jako jímky protokolů. Protokoly je možné exportovat vytvořením jedné nebo více jímek, které obsahují filtr protokolu a cíl. Vzhledem k tomu, že protokolování StackDriveru přijímá nové položky protokolu, porovnává se s jednotlivými jímky. Pokud položka protokolu odpovídá filtru jímky, zapíše se do cíle kopie položky protokolu. Jímky je možné nakonfigurovat tak, aby exportovaly protokoly do kontejnerů úložiště. Doporučujeme nakonfigurovat zásady uchovávání dat pro tyto kontejnery cloudového úložiště a uzamknout zásady uchovávání dat; trvale brání tomu, aby byla zásada snížena nebo odebrána. To znamená, že pokud by útočník nebo zlými úmysly, kteří chtějí pokrýt stopy systému, protokoly aktivit se určitě zachovají pro forenzní a bezpečnostní šetření.
Závažnost: Nízká
Ujistěte se, že cloudová instance databáze SQL vyžaduje, aby všechna příchozí připojení používala protokol SSL.
Popis: Doporučujeme vynutit všechna příchozí připojení k instanci databáze SQL, aby používala protokol SSL. Připojení k databázi SQL, pokud byla úspěšně zachycena (MITM); může odhalit citlivá data, jako jsou přihlašovací údaje, databázové dotazy, výstupy dotazů atd. Pro zabezpečení se doporučuje při připojování k instanci vždy používat šifrování SSL. Toto doporučení platí pro instance Postgresql, MySql generation 1 a MySql generation 2.
Závažnost: Vysoká
Ujistěte se, že je příznak databáze s omezením ověřování databáze pro Cloud SQL v instanci SQL Serveru nastavený na vypnuto.
Popis: Doporučuje se nastavit příznak databáze s omezením ověřování databáze pro Cloud SQL v instanci SQL SERVERU na hodnotu Vypnuto. Obsažená databáze obsahuje všechna nastavení databáze a metadata potřebná k definování databáze a nemá žádné závislosti konfigurace na instanci databázového stroje, kde je databáze nainstalovaná. Uživatelé se můžou k databázi připojit bez ověřování přihlášení na úrovni databázového stroje. Izolace databáze z databázového stroje umožňuje snadno přesunout databázi do jiné instance SQL Serveru. Databáze s omezením mají určité jedinečné hrozby, které by měli správci databázového stroje SQL Serveru pochopit a zmírnit. Většina hrozeb souvisí s procesem ověřování USER WITH PASSWORD, který přesune hranici ověřování z úrovně databázového stroje na úroveň databáze, proto se doporučuje tento příznak zakázat. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Střední
Ujistěte se, že je příznak databáze řetězení vlastnictví napříč databázemi pro instanci Cloudového SQL SQL Serveru nastavený na vypnuto.
Popis: Doporučuje se nastavit příznak databáze "řetězení vlastnictví mezi databázemi" pro instanci Cloud SQL Serveru na vypnuto. Pomocí možnosti zřetězování vlastnictví mezi databázemi můžete nakonfigurovat řetězení vlastnictví mezi databázemi pro instanci Microsoft SQL Serveru. Tato možnost serveru umožňuje řídit řetězení vlastnictví mezi databázemi na úrovni databáze nebo povolit řetězení vlastnictví mezi databázemi pro všechny databáze. Povolení "vlastnictví napříč databázemi" se nedoporučuje, pokud se všechny databáze hostované instancí SQL Serveru nesmí účastnit řetězení vlastnictví mezi databázemi a víte o bezpečnostních dopadech tohoto nastavení. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Střední
Ujistěte se, že je příznak databáze local_infile pro instanci Cloud SQL Mysql nastavený na vypnuto.
Popis: Doporučujeme nastavit příznak databáze local_infile pro instanci Cloud SQL MySQL na vypnutou.
Příznak local_infile řídí funkci LOCAL na straně serveru pro příkazy LOAD DATA. V závislosti na nastavení local_infile server odmítne nebo povolí místní načítání dat klienty, kteří mají na straně klienta povolenou funkci LOCAL.
Pokud chcete explicitně způsobit, že server odmítne příkazy LOAD DATA LOCAL (bez ohledu na to, jak se klientské programy a knihovny konfigurují v době sestavení nebo za běhu), začněte mysqld
local_infile zakázány. local_infile lze také nastavit za běhu.
Kvůli problémům se zabezpečením souvisejícím s příznakem local_infile se doporučuje ho zakázat. Toto doporučení platí pro instance databáze MySQL.
Závažnost: Střední
Ujistěte se, že pro změny oprávnění IAM cloudového úložiště existují filtr metriky protokolu a upozornění.
Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny IAM ve službě Cloud Storage Bucket. Monitorování změn v oprávněních kontejneru cloudového úložiště může zkrátit dobu potřebnou k detekci a opravám oprávnění u citlivých kontejnerů a objektů cloudového úložiště v kontejneru.
Závažnost: Nízká
Ujistěte se, že pro změny konfigurace instance SQL existuje filtr metrik protokolu a upozornění.
Popis: Doporučuje se vytvořit filtr metriky a alarm pro změny konfigurace instance SQL. Monitorování změn konfigurace instance SQL může zkrátit dobu potřebnou ke zjištění a opravě chybných konfigurací provedených na SQL Serveru. Níže je několik konfigurovatelných možností, které můžou ovlivnit stav zabezpečení instance SQL:
- Povolení automatických záloh a vysoké dostupnosti: Chybná konfigurace může nepříznivě ovlivnit provozní kontinuitu, zotavení po havárii a vysokou dostupnost.
- Autorizace sítí: Chybná konfigurace může zvýšit vystavení nedůvěryhodným sítím.
Závažnost: Nízká
Ujistěte se, že pro každý účet služby existují pouze klíče účtu spravovaného GCP.
Popis: Účty služby spravované uživatelem by neměly mít klíče spravované uživatelem. Každý, kdo má přístup ke klíčům, bude mít přístup k prostředkům prostřednictvím účtu služby. Klíče spravované GCP používají služby cloudové platformy, jako je app engine a výpočetní modul. Tyto klíče nelze stáhnout. Google klíče nechá a automaticky je otočí přibližně týdně. Uživatelem spravované klíče se vytvářejí, stahují a spravují uživatelé. Platnost vyprší 10 let od vytvoření. U klíčů spravovaných uživatelem musí uživatel převzít vlastnictví aktivit správy klíčů, mezi které patří:
- Úložiště klíčů
- Distribuce klíčů
- Odvolání klíče
- Obměna klíčů
- Ochrana klíčů před neoprávněnými uživateli
- Obnovení klíče
I v případě bezpečnostních opatření vlastníka klíčů můžou klíče snadno uniknout méně než optimálními běžnými postupy vývoje, jako je kontrola klíčů ve zdrojovém kódu nebo jejich ponechání v adresáři Stažené soubory nebo jejich náhodné opuštění na blogu nebo kanálech podpory. Doporučuje se zabránit klíčům účtu služby spravované uživatelem.
Závažnost: Nízká
Ujistěte se, že je pro instanci Cloudového SQL Serveru nastaven příznak připojení uživatelů.
Popis: Doporučuje se nastavit příznak databáze "připojení uživatelů" pro instanci cloudového SQL Serveru SQL Server podle hodnoty definované organizací. Možnost Připojení uživatelů určuje maximální počet souběžných uživatelských připojení, která jsou povolena v instanci SQL Serveru. Skutečný počet povolených uživatelských připojení závisí také na verzi SQL Serveru, kterou používáte, a také omezení aplikací nebo aplikací a hardwaru. SQL Server umožňuje maximálně 32 767 uživatelských připojení. Vzhledem k tomu, že uživatelská připojení jsou dynamická (samoobslužná konfigurace), SQL Server podle potřeby upraví maximální počet uživatelských připojení automaticky až do maximální povolené hodnoty. Pokud je například přihlášeno pouze 10 uživatelů, přidělí se 10 objektů připojení uživatelů. Ve většině případů nemusíte měnit hodnotu této možnosti. Výchozí hodnota je 0, což znamená, že jsou povolená maximální (32 767) uživatelská připojení. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Nízká
Ujistěte se, že není nakonfigurovaný příznak databáze možnosti uživatele pro instanci cloudového SQL Serveru SQL.
Popis: Doporučuje se, aby se příznak databáze "možnosti uživatele" pro instanci Cloudového SQL Serveru SQL Server nenakonfiguroval. Možnost Možnosti uživatele určuje globální výchozí hodnoty pro všechny uživatele. Seznam výchozích možností zpracování dotazů se vytvoří po dobu trvání pracovní relace uživatele. Nastavení možností uživatele umožňuje změnit výchozí hodnoty možností SET (pokud výchozí nastavení serveru není vhodné). Uživatel může tyto výchozí hodnoty přepsat pomocí příkazu SET. Možnosti uživatelů můžete dynamicky konfigurovat pro nová přihlášení. Po změně nastavení uživatelských možností nové přihlašovací relace používají nové nastavení; aktuální relace přihlášení nejsou ovlivněny. Toto doporučení platí pro instance databáze SQL Serveru.
Závažnost: Nízká
Protokolování clusterů GKE by mělo být povolené.
Popis: Toto doporučení vyhodnocuje, jestli vlastnost loggingService clusteru obsahuje umístění Cloudové protokolování, které by mělo použít k zápisu protokolů.
Závažnost: Vysoká
Správa verzí objektů by měla být povolená v kontejnerech úložiště, kde jsou nakonfigurované jímky.
Popis: Toto doporučení vyhodnotí, jestli je povolené pole ve vlastnosti správy verzí kbelíku nastaveno na true.
Závažnost: Vysoká
V projektech by se měly vyšetřovat nadřízené identity, aby se snížil index oprávnění (PCI).
Popis: Nadřízené identity v projektech by se měly prozkoumat, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití.
Závažnost: Střední
Projekty s kryptografickými klíči by neměly mít uživatele s oprávněními vlastníka.
Popis: Toto doporučení vyhodnocuje zásadu povolení IAM v metadatech projektu pro objekty zabezpečení přiřazené role nebo vlastníka.
Závažnost: Střední
Kontejnery úložiště používané jako jímka protokolů by neměly být veřejně přístupné
Popis: Toto doporučení vyhodnotí zásady IAM kontejneru pro objekty zabezpečení allUsers nebo allAuthenticatedUsers, které udělují veřejný přístup.
Závažnost: Vysoká