Sdílet prostřednictvím


Doporučení k zabezpečení sítí

Tento článek obsahuje seznam všech doporučení zabezpečení sítě, která se můžou zobrazit v programu Microsoft Defender for Cloud.

Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Tip

Pokud popis doporučení neobsahuje žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení.

Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je nainstalované řešení ochrany koncového bodu (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení zásadu. Omezení zásad jenom na základní doporučení zjednodušuje správu zásad.

Doporučení pro sítě Azure

Přístup k účtům úložiště s konfigurací brány firewall a virtuální sítě by měl být omezený.

Popis: Zkontrolujte nastavení síťového přístupu v nastavení brány firewall účtu úložiště. Doporučujeme nakonfigurovat pravidla sítě tak, aby k účtu úložiště měli přístup jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. (Související zásady: Účty úložiště by měly omezit přístup k síti).

Závažnost: Nízká

Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.

Popis: Defender for Cloud analyzoval vzory komunikace internetového provozu virtuálních počítačů uvedených níže a zjistil, že stávající pravidla ve skupině zabezpečení sítě, která jsou k nim přidružená, jsou příliš permisivní, což vede ke zvýšení potenciálního prostoru pro útoky. K tomu obvykle dochází v případě, že tato IP adresa s tímto prostředkem nekomunikuje pravidelně. Případně se IP adresa označí jako škodlivá zdroji analýzy hrozeb v Defenderu pro cloud. (Související zásady: Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích).

Závažnost: Vysoká

Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.

Popis: Defender for Cloud identifikoval některá příchozí pravidla skupin zabezpečení sítě, aby byla příliš přesvědčivá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. (Související zásady: Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači).

Závažnost: Vysoká

Měla by být povolená služba Azure DDoS Protection Úrovně Standard.

Popis: Defender for Cloud zjistil virtuální sítě s prostředky služby Application Gateway, které služba ochrany před útoky DDoS nechránila. Tyto prostředky obsahují veřejné IP adresy. Povolte zmírnění útoků na svazky sítě a protokoly. (Související zásady: Měla by být povolená služba Azure DDoS Protection Úrovně Standard).

Závažnost: Střední

Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.

Popis: Chraňte virtuální počítač před potenciálními hrozbami tím, že k němu omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí nebo mimo stejnou podsíť. Aby byl počítač co nejbezpečnější, musí být přístup k internetu virtuální počítač omezený a v podsíti by měla být povolená skupina zabezpečení sítě. Virtuální počítače s vysokou závažností jsou internetové virtuální počítače. (Související zásady: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě).

Závažnost: Vysoká

Předávání IP na virtuálním počítači by mělo být zakázané.

Popis: Defender for Cloud zjistil, že na některých vašich virtuálních počítačích je povolené předávání IP. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. (Související zásady: Předávání IP na virtuálním počítači by mělo být zakázané).

Závažnost: Střední

Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku

Popis: Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server společnosti Microsoft nebo síť. Toto doporučení uvádí seznam vystavených portů, které je potřeba pro trvalé zabezpečení zavřít. Ilustruje také potenciální hrozbu každého portu. (Žádné související zásady)

Závažnost: Vysoká

Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

Popis: Defender for Cloud identifikoval některá příliš trvalá příchozí pravidla pro porty pro správu ve skupině zabezpečení sítě. Povolte řízení přístupu za běhu a chraňte virtuální počítač před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům podle potřeby (JIT). (Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu).

Závažnost: Vysoká

Porty pro správu by měly být na virtuálních počítačích zavřené.

Popis: Otevření portů pro vzdálenou správu vystavuje virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. (Související zásady: Porty pro správu by měly být na virtuálních počítačích zavřené.

Závažnost: Střední

Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.

Popis: Chraňte svůj ne internetový virtuální počítač před potenciálními hrozbami tím, že k němu omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí, ať už jsou ve stejné podsíti nebo ne. Mějte na paměti, že aby byl počítač co nejbezpečnější, musí být přístup virtuálního počítače k internetu omezený a v podsíti by měla být povolená skupina zabezpečení sítě. (Související zásady: Jiné než internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě).

Závažnost: Nízká

Zabezpečený přenos do účtů úložiště by měl být povolený.

Popis: Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. (Související zásady: Je potřeba povolit zabezpečený přenos do účtů úložiště).

Závažnost: Vysoká

Podsítě by měly být přidružené ke skupině zabezpečení sítě.

Popis: Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla seznamu ACL platí pro všechny instance virtuálních počítačů a integrované služby v této podsíti, ale nevztahují se na interní provoz uvnitř podsítě. Pokud chcete zabezpečit prostředky ve stejné podsíti mezi sebou, povolte skupinu zabezpečení sítě přímo na prostředky. Všimněte si, že následující typy podsítí budou uvedené jako nepoužitelné: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Související zásady: Podsítě by měly být přidružené ke skupině zabezpečení sítě).

Závažnost: Nízká

Virtuální sítě by měly být chráněné službou Azure Firewall.

Popis: Některé virtuální sítě nejsou chráněné bránou firewall. Pomocí služby Azure Firewall omezte přístup k vašim virtuálním sítím a zabraňte potenciálním hrozbám. (Související zásady: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.

Doporučení pro sítě AWS

Amazon EC2 by měl být nakonfigurovaný tak, aby používal koncové body VPC.

Popis: Tento ovládací prvek zkontroluje, jestli je pro každý VPC vytvořen koncový bod služby pro Amazon EC2. Tento ovládací prvek selže, pokud VPC nemá vytvořený koncový bod VPC pro službu Amazon EC2. Pokud chcete zlepšit stav zabezpečení vašeho VPC, můžete nakonfigurovat Amazon EC2 tak, aby používal koncový bod VPC rozhraní. Koncové body rozhraní využívají AWS PrivateLink, technologii, která umožňuje privátní přístup k operacím rozhraní API Amazon EC2. Omezuje veškerý síťový provoz mezi vaším VPC a Amazon EC2 do sítě Amazon. Vzhledem k tomu, že koncové body jsou podporovány pouze ve stejné oblasti, nemůžete vytvořit koncový bod mezi VPC a službou v jiné oblasti. Tím se zabrání nezamýšleným voláním rozhraní API Amazon EC2 do jiných oblastí. Další informace o vytváření koncových bodů VPC pro Amazon EC2 najdete v tématu Koncové body Amazon EC2 a rozhraní VPC v uživatelské příručce Amazon EC2 pro linuxové instance.

Závažnost: Střední

Služby Amazon ECS by neměly mít automaticky přiřazené veřejné IP adresy.

Popis: Veřejná IP adresa je IP adresa, která je dostupná z internetu. Pokud spustíte instance Amazon ECS s veřejnou IP adresou, budou vaše instance Amazon ECS dostupné z internetu. Služby Amazon ECS by neměly být veřejně přístupné, protože to může umožnit nezamýšlený přístup k vašim aplikačním serverům kontejnerů.

Závažnost: Vysoká

Hlavní uzly clusteru Amazon EMR by neměly mít veřejné IP adresy

Popis: Tento ovládací prvek zkontroluje, jestli hlavní uzly v clusterech Amazon EMR mají veřejné IP adresy. Ovládací prvek selže, pokud má hlavní uzel veřejné IP adresy, které jsou přidružené k některé z jejích instancí. Veřejné IP adresy jsou určené v poli PublicIp konfigurace NetworkInterfaces pro instanci. Tento ovládací prvek kontroluje pouze clustery Amazon EMR, které jsou ve stavu SPUŠTĚNO nebo ČEKÁ.

Závažnost: Vysoká

Clustery Amazon Redshift by měly používat vylepšené směrování VPC.

Popis: Tento ovládací prvek zkontroluje, jestli je povolený cluster Amazon Redshift EnhancedVpcRouting. Vylepšené směrování VPC vynutí, aby veškerý provoz COPY a UNLOAD mezi clusterem a úložišti dat procházel vaším VPC. K zabezpečení síťového provozu pak můžete použít funkce VPC, jako jsou skupiny zabezpečení a seznamy řízení přístupu k síti. K monitorování síťového provozu můžete použít také protokoly toku VPC.

Závažnost: Vysoká

Nástroj pro vyrovnávání zatížení aplikace by měl být nakonfigurovaný tak, aby přesměroval všechny požadavky HTTP na HTTPS.

Popis: Pokud chcete vynutit šifrování během přenosu, měli byste použít akce přesměrování s nástroji pro vyrovnávání zatížení aplikace k přesměrování požadavků HTTP klienta na požadavek HTTPS na portu 443.

Závažnost: Střední

Nástroje pro vyrovnávání zatížení aplikací by měly být nakonfigurované tak, aby zahazovaly hlavičky HTTP.

Popis: Tento ovládací prvek vyhodnocuje nástroje pro vyrovnávání zatížení aplikací AWS (ALB), aby se zajistilo, že jsou nakonfigurované tak, aby zahodily neplatné hlavičky HTTP. Pokud je hodnota routing.http.drop_invalid_header_fields.enabled nastavená na false, ovládací prvek selže. Ve výchozím nastavení nejsou alb nakonfigurované tak, aby zahodila neplatné hodnoty hlaviček HTTP. Odebráním těchto hodnot hlaviček zabráníte útokům http desynchronizace.

Závažnost: Střední

Konfigurace funkcí lambda pro VPC

Popis: Tento ovládací prvek zkontroluje, jestli je funkce Lambda v VPC. Nevyhodnocuje konfiguraci směrování podsítě VPC za účelem určení veřejné dostupnosti. Všimněte si, že pokud se v účtu nachází Lambda@Edge, vygeneruje tento ovládací prvek neúspěšná zjištění. Chcete-li těmto zjištěním zabránit, můžete tento ovládací prvek zakázat.

Závažnost: Nízká

Instance EC2 by neměly mít veřejnou IP adresu.

Popis: Tento ovládací prvek kontroluje, jestli instance EC2 mají veřejnou IP adresu. Ovládací prvek selže, pokud je pole publicIp v položce konfigurace instance EC2. Tento ovládací prvek platí jenom pro adresy IPv4. Veřejná IPv4 adresa je IP adresa, která je dostupná z internetu. Pokud spustíte instanci s veřejnou IP adresou, bude vaše instance EC2 dostupná z internetu. Privátní IPv4 adresa je IP adresa, která není dostupná z internetu. Privátní IPv4 adresy můžete použít ke komunikaci mezi instancemi EC2 ve stejném VPC nebo v připojené privátní síti. Adresy IPv6 jsou globálně jedinečné, a proto jsou dostupné z internetu. Ve výchozím nastavení ale všechny podsítě mají atribut adresování IPv6 nastavený na false. Další informace o protokolu IPv6 najdete v tématu Přidělování IP adres v nástroji VPC v uživatelské příručce Amazon VPC. Pokud máte legitimní případ použití k udržování instancí EC2 s veřejnými IP adresami, můžete zjištění z tohoto ovládacího prvku potlačit. Další informace o možnostech front-endové architektury najdete v blogu O architektuře AWS nebo v řadě This Is My Architecture(Tato architektura).

Závažnost: Vysoká

Instance EC2 by neměly používat více eni

Popis: Tento ovládací prvek kontroluje, zda instance EC2 používá více elastických síťových rozhraní (ENI) nebo elastických adaptérů infrastruktury (EFA). Tento ovládací prvek se předá, pokud se použije jeden síťový adaptér. Ovládací prvek obsahuje volitelný seznam parametrů pro identifikaci povolených eni. Několik eni může způsobit duální domácí instance, což znamená instance, které mají více podsítí. To může přidat složitost zabezpečení sítě a zavést nezamýšlené síťové cesty a přístup.

Závažnost: Nízká

Instance EC2 by měly používat IMDSv2

Popis: Tento ovládací prvek zkontroluje, jestli je vaše verze metadat instance EC2 nakonfigurovaná se službou Instance Metadata Service verze 2 (IMDSv2). Ovládací prvek se předá, pokud je pro IMDSv2 nastavená hodnota HttpTokens nastavená na "required". Pokud je vlastnost HttpTokens nastavená na volitelnou, ovládací prvek selže. Metadata instance slouží ke konfiguraci nebo správě spuštěné instance. IMDS poskytuje přístup k dočasným a často obměňovaným přihlašovacím údajům. Tyto přihlašovací údaje odeberou potřebu pevného kódu nebo distribuovat citlivé přihlašovací údaje do instancí ručně nebo programově. IMDS je připojen místně ke každé instanci EC2. Běží na speciální místní IP adrese odkazu 169.254.169.254. Tato IP adresa je přístupná pouze softwarem, který běží na instanci. Verze 2 IMDS přidává nové ochrany pro následující typy ohrožení zabezpečení. Tato ohrožení zabezpečení se dají použít k pokusu o přístup k IMDS.

  • Otevření firewallů webových aplikací
  • Otevřít reverzní proxy servery
  • Ohrožení zabezpečení požadavků na straně serveru (SSRF)
  • Open Layer 3 firewalls and network address translation (NAT) Security Hub doporučuje nakonfigurovat instance EC2 pomocí IMDSv2.

Závažnost: Vysoká

Podsítě EC2 by neměly automaticky přiřazovat veřejné IP adresy

Popis: Tento ovládací prvek zkontroluje, jestli přiřazení veřejných IP adres v podsítích Amazon Virtual Private Cloud (Amazon VPC) má vlastnost MapPublicIpOnLaunch nastavenou na HODNOTU FALSE. Ovládací prvek se předá, pokud je příznak nastaven na FALSE. Všechny podsítě mají atribut, který určuje, jestli síťové rozhraní vytvořené v podsíti automaticky obdrží veřejnou adresu IPv4. Instance spuštěné do podsítí, které mají tento atribut povolený, mají přiřazenou veřejnou IP adresu přiřazenou k primárnímu síťovému rozhraní.

Závažnost: Střední

Ujistěte se, že pro změny konfigurace konfigurace AWS existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro detekci změn konfigurace CloudTrail. Monitorování změn konfigurace AWS pomáhá zajistit trvalou viditelnost položek konfigurace v rámci účtu AWS.

Závažnost: Nízká

Ujistěte se, že pro selhání ověřování konzoly pro správu AWS existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metriky a alarm pro neúspěšné pokusy o ověření konzoly. Monitorování neúspěšných přihlášení ke konzole může zkrátit dobu, kdy se zjistí pokus o útok hrubou silou na přihlašovací údaje, což může poskytnout indikátor, jako je zdrojová IP adresa, která se dá použít v jiné korelaci událostí.

Závažnost: Nízká

Ujistěte se, že pro změny seznamů řízení přístupu k síti (NACL) existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Seznamy NACLs se používají jako bezstavový filtr paketů k řízení příchozího a výchozího provozu pro podsítě v rámci VPC. Doporučuje se vytvořit filtr metriky a alarm pro změny v názvech NAC. Monitorování změn adres NACL pomáhá zajistit, aby prostředky a služby AWS byly neúmyslně vystaveny.

Závažnost: Nízká

Ujistěte se, že pro změny síťových bran existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Síťové brány se vyžadují k odesílání a příjmu provozu do cíle mimo VPC. Doporučuje se vytvořit filtr metrik a alarm pro změny síťových bran. Monitorování změn síťových bran pomáhá zajistit, aby veškerý provoz příchozího a výchozího přenosu procházející ohraničení VPC přes řízenou cestu.

Závažnost: Nízká

Ujistěte se, že pro změny konfigurace CloudTrail existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro detekci změn konfigurace CloudTrail.

Monitorování změn konfigurace CloudTrail pomáhá zajistit trvalou viditelnost aktivit prováděných v účtu AWS.

Závažnost: Nízká

Ujistěte se, že pro zakázání nebo plánovaného odstranění sad CMK vytvořených zákazníkem existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro zákazníky vytvořené cmk, které změnily stav na zakázané nebo plánované odstranění. Data šifrovaná pomocí zakázaných nebo odstraněných klíčů už nebudou přístupná.

Závažnost: Nízká

Ujistěte se, že pro změny zásad IAM existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se zavést filtr metriky a upozornění provedené změny zásad správy identit a přístupu (IAM). Monitorování změn zásad IAM pomáhá zajistit, aby ověřování a autorizační ovládací prvky zůstaly nedotčené.

Závažnost: Nízká

Ujistěte se, že pro přihlášení ke konzole pro správu bez vícefaktorového ověřování existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro přihlášení konzoly, které nejsou chráněné vícefaktorovým ověřováním (MFA). Monitorování pro přihlášení k jednofaktorové konzole zvyšuje přehled o účtech, které nejsou chráněné vícefaktorovým ověřováním.

Závažnost: Nízká

Ujistěte se, že pro změny směrovací tabulky existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Směrovací tabulky se používají ke směrování síťového provozu mezi podsítěmi a síťovými bránami. Doporučuje se vytvořit filtr metrik a alarm pro změny směrovacích tabulek. Monitorování změn směrovacích tabulek pomáhá zajistit, aby veškerý provoz VPC procházel očekávanou cestou.

Závažnost: Nízká

Ujistěte se, že pro změny zásad kontejneru S3 existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro změny zásad kbelíku S3. Monitorování změn v zásadách kbelíku S3 může zkrátit dobu, než zjistí a opraví zásady pro citlivé kontejnery S3.

Závažnost: Nízká

Ujistěte se, že pro změny skupin zabezpečení existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Skupiny zabezpečení jsou stavový filtr paketů, který řídí příchozí a výchozí provoz v rámci VPC. Doporučuje se zavést filtr metrik a alarm změny ve skupinách zabezpečení. Monitorování změn ve skupině zabezpečení pomáhá zajistit, že prostředky a služby nejsou neúmyslně vystavené.

Závažnost: Nízká

Ujistěte se, že pro neautorizovaná volání rozhraní API existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro neautorizovaná volání rozhraní API. Monitorování neautorizovaných volání rozhraní API pomáhá odhalit chyby aplikací a může zkrátit dobu detekce škodlivých aktivit.

Závažnost: Nízká

Ujistěte se, že pro použití kořenového účtu existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metriky a alarm pro pokusy o přihlášení uživatele root.

Monitorování pro přihlášení ke kořenovému účtu poskytuje přehled o využití plně privilegovaného účtu a příležitost snížit jeho využití.

Závažnost: Nízká

Ujistěte se, že pro změny VPC existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. V rámci účtu je možné mít více než jeden VPC. Kromě toho je také možné vytvořit partnerské připojení mezi 2 vpC, které umožňuje síťové přenosy směrovat mezi sítěmi VPN. Doporučuje se vytvořit filtr metriky a alarm pro změny v sítích VPN. Monitorování změn zásad IAM pomáhá zajistit, aby ověřování a autorizační ovládací prvky zůstaly nedotčené.

Závažnost: Nízká

Ujistěte se, že žádné skupiny zabezpečení nepovolují příchozí přenos dat z 0.0.0.0/0 na port 3389.

Popis: Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do prostředků AWS. Doporučuje se, aby žádná skupina zabezpečení nepoužovala neomezený přístup příchozího přenosu dat k portu 3389. Když odeberete nefetterované připojení ke vzdáleným konzolovým službám, jako je RDP, sníží se riziko serveru.

Závažnost: Vysoká

Databáze a clustery RDS by neměly používat výchozí port databázového stroje.

Popis: Tento ovládací prvek zkontroluje, jestli cluster RDS nebo instance používá jiný port než výchozí port databázového stroje. Pokud k nasazení clusteru nebo instance RDS použijete známý port, může útočník odhadnout informace o clusteru nebo instanci. Útočník může tyto informace použít ve spojení s dalšími informacemi pro připojení ke clusteru vzdálené plochy nebo instanci nebo získání dalších informací o vaší aplikaci. Když port změníte, musíte také aktualizovat existující připojovací řetězec, které byly použity pro připojení k původnímu portu. Měli byste také zkontrolovat skupinu zabezpečení instance databáze, abyste měli jistotu, že obsahuje pravidlo příchozího přenosu dat, které umožňuje připojení na novém portu.

Závažnost: Nízká

Instance RDS by se měly nasadit v nástroji VPC.

Popis: Sítě VP poskytují řadu síťových ovládacích prvků pro zabezpečení přístupu k prostředkům RDS. Mezi tyto ovládací prvky patří koncové body VPC, seznamy ACL sítě a skupiny zabezpečení. Pokud chcete tyto ovládací prvky využít, doporučujeme přesunout instance RDS EC2-Classic do EC2-VPC.

Závažnost: Nízká

Kontejnery S3 by měly vyžadovat požadavky na použití protokolu Secure Socket Layer.

Popis: Doporučujeme vyžadovat žádosti o použití protokolu SSL (Secure Socket Layer) ve všech kontejnerech Amazon S3. Kontejnery S3 by měly mít zásady, které vyžadují všechny požadavky (akce: S3:*), aby přijímaly pouze přenos dat přes PROTOKOL HTTPS v zásadách prostředků S3 označené klíčem podmínky aws:SecureTransport.

Závažnost: Střední

Skupiny zabezpečení by neměly umožňovat příchozí přenos dat z 0.0.0.0/0 na port 22.

Popis: Pokud chcete snížit expozici serveru, doporučujeme nepovolit neomezený přístup příchozího přenosu dat k portu 22.

Závažnost: Vysoká

Skupiny zabezpečení by neměly umožňovat neomezený přístup k portům s vysokým rizikem

Popis: Tento ovládací prvek zkontroluje, jestli je neomezený příchozí provoz pro skupiny zabezpečení přístupný určeným portům, které mají nejvyšší riziko. Tento ovládací prvek projde, když žádná z pravidel ve skupině zabezpečení nepovoluje příchozí provoz z 0.0.0.0/0 pro tyto porty. Neomezený přístup (0.0.0.0/0) zvyšuje příležitosti pro škodlivou aktivitu, jako je hacking, útoky na dostupnost služby a ztráta dat. Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do prostředků AWS. Žádná skupina zabezpečení by neměla umožňovat neomezený přístup příchozího přenosu dat k následujícím portům:

  • 3389 (RDP)
  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 110 (POP3)
  • 143 (IMAP)
  • 3306 (MySQL)
  • 8080 (proxy)
  • 1433, 1434 (MSSQL)
  • 9200 nebo 9300 (Elasticsearch)
  • 5601 (Kibana)
  • 25 (SMTP)
  • 445 (CIFS)
  • 135 (RPC)
  • 4333 (ahsp)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)

Závažnost: Střední

Skupiny zabezpečení by měly povolit pouze neomezený příchozí provoz pro autorizované porty.

Popis: Tento ovládací prvek zkontroluje, jestli skupiny zabezpečení, které se používají, umožňují neomezený příchozí provoz. Volitelně pravidlo zkontroluje, jestli jsou čísla portů uvedená v parametru "authorizedTcpPorts".

  • Pokud číslo portu pravidla skupiny zabezpečení umožňuje neomezený příchozí provoz, ale číslo portu je zadané v "authorizedTcpPorts", pak řízení projde. Výchozí hodnota pro "authorizedTcpPorts" je 80, 443.
  • Pokud číslo portu pravidla skupiny zabezpečení umožňuje neomezený příchozí provoz, ale číslo portu není zadané ve vstupním parametru authorizedTcpPorts, ovládací prvek selže.
  • Pokud se parametr nepoužívá, ovládací prvek selže pro žádnou skupinu zabezpečení, která má neomezené příchozí pravidlo. Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do AWS. Pravidla skupin zabezpečení by měla dodržovat princip nejnižšího privilegovaného přístupu. Neomezený přístup (IP adresa s příponou /0) zvyšuje příležitost pro škodlivé aktivity, jako je hacking, útoky na dostupnost služby a ztráta dat. Pokud není výslovně povolený port, měl by port odepřít neomezený přístup.

Závažnost: Vysoká

Nepoužité EIPS EC2 by se měly odebrat.

Popis: Elastické IP adresy přidělené VPC by měly být připojené k instancím Amazon EC2 nebo k elastickým síťovým rozhraním (ENI).

Závažnost: Nízká

Nepoužívané seznamy řízení přístupu k síti by se měly odebrat.

Popis: Tento ovládací prvek zkontroluje, jestli existují nepoužívané seznamy řízení přístupu k síti (ACL). Ovládací prvek zkontroluje konfiguraci položky prostředku AWS::EC2::NetworkAcl a určí vztahy seznamu ACL sítě. Pokud je jediným vztahem seznam ACL sítě VPC, ovládací prvek selže. Pokud jsou uvedené další relace, předá se ovládací prvek.

Závažnost: Nízká

Výchozí skupina zabezpečení VPC by měla omezit veškerý provoz.

Popis: Skupina zabezpečení by měla omezit veškerý provoz, aby se snížila expozice prostředků.

Závažnost: Nízká

Doporučení pro sítě GCP

Hostitelé clusteru by měli být nakonfigurovaní tak, aby používali jenom privátní interní IP adresy pro přístup k rozhraním GOOGLE API.

Popis: Toto doporučení vyhodnotí, jestli je vlastnost privateIpGoogleAccess podsítě nastavená na false.

Závažnost: Vysoká

Výpočetní instance by měly používat nástroj pro vyrovnávání zatížení nakonfigurovaný tak, aby používaly cílový proxy server HTTPS.

Popis: Toto doporučení vyhodnotí, jestli vlastnost selfLink cílového prostředkuHttpProxy odpovídá cílovému atributu v pravidle předávání a pokud pravidlo předávání obsahuje pole loadBalancingScheme nastavené na External.

Závažnost: Střední

V clusterech GKE by měly být povolené autorizované sítě řídicí roviny.

Popis: Toto doporučení vyhodnotí vlastnost masterAuthorizedNetworksConfig clusteru pro dvojici klíč-hodnota s povolenou hodnotou: false.

Závažnost: Vysoká

Pravidlo zamítnutí odchozího přenosu dat by mělo být nastavené na bráně firewall, aby blokoval nežádoucí odchozí provoz.

Popis: Toto doporučení vyhodnotí, jestli je vlastnost destinationRanges v bráně firewall nastavená na hodnotu 0.0.0.0/0 a vlastnost denied obsahuje dvojici klíč-hodnota. 'IPProtocol': 'all.'

Závažnost: Nízká

Ujistěte se, že pravidla brány firewall pro instance za proxy serverem IAP (Identity Aware Proxy) povolují pouze provoz z kontroly stavu a proxy adres Google Cloud Loadbalancer (GCLB).

Popis: Přístup k virtuálním počítačům by měl být omezen pravidly brány firewall, která povolují pouze přenosy protokolu IAP tím, že zajišťují, že jsou povolená pouze připojení přesměrovaná protokolem IAP. Aby vyrovnávání zatížení fungovalo správně, měly by být také povoleny kontroly stavu. Protokol IAP zajišťuje, aby byl přístup k virtuálním počítačům řízen ověřováním příchozích požadavků. Pokud je ale virtuální počítač stále přístupný z IP adres kromě protokolu IAP, může být stále možné do instance odesílat neověřené požadavky. Je potřeba dbát na to, aby se zajistilo, že kontroly stavu loadblanceru nejsou zablokované, protože by nástroj pro vyrovnávání zatížení správně věděl o stavu virtuálního počítače a vyrovnávání zatížení.

Závažnost: Střední

Ujistěte se, že starší verze sítí pro projekt neexistuje.

Popis: Aby se zabránilo použití starších sítí, projekt by neměl mít nakonfigurovanou starší síť. Starší sítě mají jeden rozsah předpon IPv4 sítě a jednu IP adresu brány pro celou síť. Síť je globální v oboru a zahrnuje všechny cloudové oblasti. Podsíť nelze vytvořit ve starší síti a nejde přepnout ze starší verze na sítě automatických nebo vlastních podsítí. Starší sítě můžou mít vliv na projekty s vysokým síťovým provozem a podléhají jedinému kolizímu nebo selhání.

Závažnost: Střední

Ujistěte se, že je správně nastaven příznak databáze log_hostname pro instanci Cloud SQL PostgreSQL.

Popis: PostgreSQL protokoluje pouze IP adresu připojujících se hostitelů. Příznak "log_hostname" řídí protokolování názvů hostitelů kromě zaprotokolovaných IP adres. Dosažení výkonu závisí na konfiguraci prostředí a nastavení překladu názvů hostitelů. Tento parametr lze nastavit pouze v souboru postgresql.conf nebo na příkazovém řádku serveru. Protokolování názvů hostitelů může mít za následek režii na výkon serveru, protože každý protokolovaný příkaz vyžaduje překlad DNS pro převod IP adresy na název hostitele. V závislosti na nastavení to může být nezanedbatelné. Ip adresy, které jsou protokolované, se navíc dají později přeložit na jejich názvy DNS při kontrole protokolů s výjimkou případů, kdy se používají dynamické názvy hostitelů. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že žádné nástroje pro vyrovnávání zatížení proxy protokolu HTTPS nebo SSL nepovolí zásady SSL se slabými šifrovacími sadami.

Popis: Zásady SSL (Secure Sockets Layer) určují, jaké funkce protokolu TLS (Port Transport Layer Security) mají klienti povoleno používat při připojování k nástrojům pro vyrovnávání zatížení. Aby se zabránilo použití nezabezpečených funkcí, měly by zásady SSL používat (a) alespoň TLS 1.2 s profilem MODERN; nebo (b) profil RESTRICTED, protože efektivně vyžaduje, aby klienti používali protokol TLS 1.2 bez ohledu na zvolenou minimální verzi protokolu TLS; nebo (3) vlastní profil, který nepodporuje žádnou z následujících funkcí: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Nástroje pro vyrovnávání zatížení se používají k efektivní distribuci provozu mezi více serverů. Proxy server SSL i nástroje pro vyrovnávání zatížení HTTPS jsou externí nástroje pro vyrovnávání zatížení, což znamená, že distribuují provoz z internetu do sítě GCP. Zákazníci GCP můžou nakonfigurovat zásady SSL nástroje pro vyrovnávání zatížení s minimální verzí protokolu TLS (1.0, 1.1 nebo 1.2), kterou můžou klienti použít k navázání připojení spolu s profilem (kompatibilní, moderní, omezený nebo vlastní), který určuje přípustné šifrovací sady. Aby bylo možné vyhovět uživatelům, kteří používají zastaralé protokoly, je možné nakonfigurovat nástroje pro vyrovnávání zatížení GCP tak, aby povolovaly nezabezpečené šifrovací sady. Výchozí zásady SSL GCP ve skutečnosti používají minimální verzi protokolu TLS 1.0 a kompatibilní profil, který umožňuje nejširší škálu nezabezpečených šifrovacích sad. V důsledku toho je pro zákazníky snadné nakonfigurovat nástroj pro vyrovnávání zatížení, aniž by museli vědět, že povolují zastaralé šifrovací sady.

Závažnost: Střední

Ujistěte se, že je povolené protokolování DNS cloudu pro všechny sítě VPC.

Popis: Protokolování DNS v cloudu zaznamenává dotazy z názvových serverů v rámci vašeho VPC na StackDriver. Protokolované dotazy můžou pocházet z virtuálních počítačů výpočetního stroje, kontejnerů GKE nebo jiných prostředků GCP zřízených v rámci VPC. Monitorování zabezpečení a forenzní analýza nemohou záviset výhradně na IP adresách z protokolů toku VPC, zejména při zvažování dynamického využití IP adres cloudových prostředků, směrování virtuálního hostitele HTTP a dalších technologií, které můžou zakrýt název DNS používaný klientem z IP adresy. Monitorování protokolů Cloud DNS poskytuje přehled o názvech DNS požadovaných klienty v rámci VPC. Tyto protokoly je možné monitorovat pro neobvyklé názvy domén, vyhodnotit je na základě analýzy hrozeb a

Pro úplné zachytávání DNS musí brána firewall blokovat výchozí přenos dat UDP/53 (DNS) a TCP/443 (DNS přes HTTPS), aby klient nemohl k překladu použít externí názvový server DNS.

Závažnost: Vysoká

Ujistěte se, že je pro Cloud DNS povolený protokol DNSSEC.

Popis: Cloud Domain Name System (DNS) je rychlý, spolehlivý a nákladově efektivní systém názvů domén, který využívá miliony domén na internetu. Rozšíření DNSSEC (Domain Name System Security Extensions) v cloudovém DNS umožňují vlastníkům domén snadno chránit své domény před napadením DNS a man-in-the-middle a dalšími útoky. Rozšíření DNSSEC (Domain Name System Security Extensions) přidávají zabezpečení do protokolu DNS tím, že umožňují ověření odpovědí DNS. Důvěryhodná služba DNS, která překládá název domény jako www.example.com na přidruženou IP adresu, je stále důležitějším stavebním blokem dnešních webových aplikací. Útočníci můžou tento proces vyhledávání domén/IP adres zneužít a přesměrovat uživatele na škodlivý web prostřednictvím útoku DNS a útoku man-in-the-middle. DNSSEC pomáhá zmírnit riziko takových útoků kryptografickým podepisováním záznamů DNS. V důsledku toho zabrání útočníkům v vydávání falešných odpovědí DNS, které by mohly nesprávně směrovat prohlížeče na nechutné weby.

Závažnost: Střední

Ujistěte se, že přístup RDP je omezený z internetu.

Popis: Pravidla brány firewall GCP jsou specifická pro síť VPC. Každé pravidlo buď povolí nebo odmítne provoz, když jsou splněny jeho podmínky. Jeho podmínky umožňují uživatelům určit typ provozu, jako jsou porty a protokoly, a zdroj nebo cíl provozu, včetně IP adres, podsítí a instancí. Pravidla brány firewall jsou definována na úrovni sítě VPC a jsou specifická pro síť, ve které jsou definovány. Samotná pravidla se nedají sdílet mezi sítěmi. Pravidla brány firewall podporují pouze provoz IPv4. Když zadáte zdroj pro pravidlo příchozího přenosu dat nebo cíl pravidla výchozího přenosu dat podle adresy, dá se použít blok IPv4 nebo IPv4 v zápisu CIDR. Můžete se vyhnout obecného příchozího provozu (0.0.0.0/0) z internetu do instance VPC nebo virtuálního počítače pomocí protokolu RDP na portu 3389. Pravidla brány firewall GCP v síti VPC Tato pravidla platí pro odchozí (výchozí) provoz z instancí a příchozího (příchozího) provozu do instancí v síti. Toky příchozího a příchozího přenosu dat se řídí i v případě, že provoz zůstává v síti (například komunikace instance-instance). Aby instance měla odchozí přístup k internetu, musí mít síť platnou trasu internetové brány nebo vlastní trasu, jejíž cílová IP adresa je zadaná. Tato trasa jednoduše definuje cestu k internetu, aby se zabránilo nejobecnějšímu rozsahu cílových IP adres (0.0.0.0/0) zadaným z internetu přes protokol RDP s výchozím portem 3389. Obecný přístup z internetu k určitému rozsahu IP adres by měl být omezený.

Závažnost: Vysoká

Ujistěte se, že se pro podpisový klíč v Cloud DNSSEC nepoužívá RSASHA1.

Popis: Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Čísla algoritmů DNSSEC (Domain Name System Security Extensions) v tomto registru se můžou používat v CERT RRs. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Když povolíte dnsSEC pro spravovanou zónu nebo vytvoříte spravovanou zónu pomocí DNSSEC, může uživatel vybrat podpisové algoritmy DNSSEC a typ odepření existence. Změna nastavení DNSSEC je platná jenom pro spravovanou zónu, pokud ještě není povolená služba DNSSEC. Pokud je potřeba změnit nastavení pro spravovanou zónu, ve které je povolená, vypněte DNSSEC a pak ho znovu povolte s různými nastaveními.

Závažnost: Střední

Ujistěte se, že RSASHA1 se pro podpisový klíč zóny v Cloud DNSSEC nepoužívá.

Popis: Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Když povolíte dnsSEC pro spravovanou zónu nebo vytvoříte spravovanou zónu pomocí DNSSEC, mohou být vybrány podpisové algoritmy DNSSEC a typ odepření existence. Změna nastavení DNSSEC je platná jenom pro spravovanou zónu, pokud ještě není povolená služba DNSSEC. Pokud je potřeba změnit nastavení spravované zóny, ve které je povolená, vypněte DNSSEC a pak ho znovu povolte s různými nastaveními.

Závažnost: Střední

Ujistěte se, že přístup SSH je omezený z internetu.

Popis: Pravidla brány firewall GCP jsou specifická pro síť VPC. Každé pravidlo buď povolí nebo odmítne provoz, když jsou splněny jeho podmínky. Jeho podmínky uživateli umožňují určit typ provozu, jako jsou porty a protokoly, a zdroj nebo cíl provozu, včetně IP adres, podsítí a instancí. Pravidla brány firewall jsou definována na úrovni sítě VPC a jsou specifická pro síť, ve které jsou definovány. Samotná pravidla se nedají sdílet mezi sítěmi. Pravidla brány firewall podporují pouze provoz IPv4. Pokud zadáte zdroj pro pravidlo příchozího přenosu dat nebo cíl pravidla výchozího přenosu dat podle adresy, je možné použít pouze blok IPv4 nebo IPv4 v zápisu CIDR. Můžete se vyhnout obecným příchozím přenosům z internetu z internetu do instance virtuálního počítače (0.0.0.0.0/0) přes SSH na portu 22. Pravidla brány firewall GCP v síti VPC se vztahují na odchozí (výchozí) provoz z instancí a příchozích (příchozích) přenosů do instancí v síti. Toky příchozího a příchozího přenosu dat se řídí i v případě, že provoz zůstává v síti (například komunikace instance-instance). Aby instance měla odchozí přístup k internetu, musí mít síť platnou trasu internetové brány nebo vlastní trasu, jejíž cílová IP adresa je zadaná. Tato trasa jednoduše definuje cestu k internetu, aby se zabránilo nejběžnějšímu rozsahu IP adres (0.0.0.0/0) zadaným z internetu přes SSH s výchozím portem 22. Je potřeba omezit obecný přístup z internetu k určitému rozsahu IP adres.

Závažnost: Vysoká

Ujistěte se, že výchozí síť v projektu neexistuje.

Popis: Aby se zabránilo použití výchozí sítě, neměl by mít projekt výchozí síť. Výchozí síť má předem nakonfigurovanou konfiguraci sítě a automaticky generuje následující nezabezpečená pravidla brány firewall:

  • default-allow-internal: Umožňuje příchozí připojení pro všechny protokoly a porty mezi instancemi v síti.
  • default-allow-ssh: Povoluje příchozí připojení na portu TCP 22 (SSH) z libovolného zdroje do jakékoli instance v síti.
  • default-allow-rdp: Povoluje příchozí připojení na portu TCP 3389(RDP) z libovolného zdroje do libovolné instance v síti.
  • default-allow-icmp: Povoluje příchozí přenosy PROTOKOLU ICMP z libovolného zdroje do jakékoli instance v síti.

Tato automaticky vytvořená pravidla brány firewall se nezaprotokolují do protokolu auditu a není možné je nakonfigurovat tak, aby povolovala protokolování pravidel brány firewall. Výchozí síť je navíc síť automatického režimu, což znamená, že její podsítě používají stejný předdefinovaný rozsah IP adres a v důsledku toho není možné používat cloudovou síť VPN nebo partnerský vztah sítě VPC s výchozí sítí. Na základě požadavků organizace na zabezpečení a sítě by organizace měla vytvořit novou síť a odstranit výchozí síť.

Závažnost: Střední

Ujistěte se, že pro změny sítě VPC existují filtr metriky protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny sítě virtuálního privátního cloudu (VPC). V rámci projektu je možné mít více než jeden VPC. Kromě toho je také možné vytvořit partnerské připojení mezi dvěma sítěmi VPN, které umožňují síťový provoz směrovat mezi sítěmi VPN. Monitorování změn v nástroji VPC vám pomůže zajistit, aby tok provozu VPC nebyl ovlivněný.

Závažnost: Nízká

Ujistěte se, že filtr metrik protokolu a upozornění existují pro změny pravidel brány firewall sítě VPC.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny pravidel brány firewall sítě virtuálního privátního cloudu (VPC). Monitorování událostí pravidel vytvoření nebo aktualizace brány firewall poskytuje přehled o změnách přístupu k síti a může zkrátit dobu potřebnou ke zjištění podezřelé aktivity.

Závažnost: Nízká

Ujistěte se, že pro změny tras sítě VPC existují filtr metriky protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny tras sítě virtuálního privátního cloudu (VPC). Trasy GCP (Google Cloud Platform) definují cesty síťového provozu z instance virtuálního počítače do jiného cíle. Druhým cílem může být síť VPC organizace (například jiný virtuální počítač) nebo mimo ni. Každá trasa se skládá z cíle a dalšího segmentu směrování. Provoz, jehož cílová IP adresa je v cílovém rozsahu, se odešle do dalšího segmentu směrování pro doručení. Monitorování změn směrovacích tabulek pomůže zajistit, aby veškerý provoz VPC procházel očekávanou cestou.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_connections pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení nastavení log_connections způsobí, že se každé pokus o připojení k serveru zaprotokoluje spolu s úspěšným dokončením ověřování klienta. Tento parametr nelze po spuštění relace změnit. PostgreSQL ve výchozím nastavení neprovádí pokusy o připojení. Povolením nastavení log_connections se vytvoří položky protokolu pro každé pokusné připojení a úspěšné dokončení ověření klienta, což může být užitečné při řešení problémů a k určení jakýchkoli neobvyklých pokusů o připojení k serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Střední

Ujistěte se, že je příznak databáze log_disconnections pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení nastavení log_disconnections protokoluje konec každé relace, včetně doby trvání relace. PostgreSQL ve výchozím nastavení protokoluje podrobnosti relace, jako je doba trvání a konec relace. Povolením nastavení log_disconnections se vytvoří položky protokolu na konci každé relace, což může být užitečné při řešení problémů a určení jakékoli neobvyklé aktivity v časovém období. Log_disconnections a log_connections ruku v ruce a obecně by se dvojice povolila nebo zakázala společně. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Střední

Ujistěte se, že jsou protokoly toku VPC povolené pro každou podsíť v síti VPC.

Popis: Protokoly toku jsou funkce, která uživatelům umožňuje zaznamenávat informace o provozu IP adres procházejících a z síťových rozhraní v podsítích VPC organizace. Po vytvoření protokolu toku může uživatel zobrazit a načíst data v protokolování stackdriveru. Doporučujeme povolit protokoly toku pro každou podsíť VPC pro důležité obchodní informace. Sítě VPC a podsítě poskytují logicky izolované a zabezpečené síťové oddíly, kde je možné spouštět prostředky GCP. Pokud jsou pro podsíť povolené protokoly toku, začnou virtuální počítače v této podsíti vytvářet sestavy pro všechny toky PROTOKOLU TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). Každý virtuální počítač vzorkuje toky TCP a UDP, které vidí, příchozí a odchozí, ať už je tok do nebo z jiného virtuálního počítače, hostitele v místním datacentru, službě Google nebo hostiteli na internetu. Pokud dva virtuální počítače GCP komunikují a oba jsou v podsítích s povolenými protokoly toku VPC, oba virtuální počítače hlásí toky. Protokoly toku podporují následující případy použití: 1. Monitorování sítě. 2. Vysvětlení využití sítě a optimalizace nákladů na síťový provoz 3. Forenzní sítě. 4. Protokoly toku analýzy zabezpečení v reálném čase poskytují přehled o síťovém provozu pro každý virtuální počítač uvnitř podsítě a dají se použít k detekci neobvyklého provozu nebo přehledu během pracovních postupů zabezpečení.

Závažnost: Nízká

Protokolování pravidel brány firewall by mělo být povolené.

Popis: Toto doporučení vyhodnotí vlastnost logConfig v metadatech brány firewall a zjistí, jestli je prázdná nebo obsahuje dvojici klíč-hodnota enable: false.

Závažnost: Střední

Brána firewall by neměla být nakonfigurovaná tak, aby byla otevřená pro veřejný přístup.

Popis: Toto doporučení vyhodnotí vlastnost sourceRanges a povolené vlastnosti pro jednu ze dvou konfigurací:

Vlastnost sourceRanges obsahuje hodnotu 0.0.0.0/0 a povolená vlastnost obsahuje kombinaci pravidel, která zahrnují jakýkoli protokol nebo protokol:port, s výjimkou následujících:

  • Icmp
  • tcp: 22
  • tcp: 443
  • tcp: 3389
  • udp: 3389
  • sctp: 22

Vlastnost sourceRanges obsahuje kombinaci rozsahů IP, které zahrnují všechny ip adresy bezprivate a povolená vlastnost obsahuje kombinaci pravidel, která povolují všechny porty TCP nebo všechny porty UDP.

Závažnost: Vysoká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port CASSANDRA, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený CISCOSECURE_WEBSM port, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP: 9090.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený DIRECTORY_SERVICES port, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 445 a UDP: 445.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port DNS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 53 a UDP: 53.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port ELASTICSEARCH, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 9200, 9300.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port FTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP: 21.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port HTTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 80.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port LDAP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 389, 636 a UDP: 389.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MEMCACHED, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 11211, 11214-11215 a UDP: 11211, 11214-11215.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MONGODB, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 27017-27019.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MYSQL, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP: 3306.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port NETBIOS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 137-139 a UDP: 137-139.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port ORACLEDB, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 1521, 2483-2484 a UDP: 2483-2484.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port POP3, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP: 110.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port PostgreSQL, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP: 5432 a UDP: 5432.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port REDIS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP: 6379.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port SMTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP: 25.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port SSH, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokoly a porty: TCP: 22 a SCTP: 22.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port TELNET, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP: 23.

Závažnost: Nízká

Clustery GKE by měly mít povolené rozsahy IP adres aliasů.

Popis: Toto doporučení vyhodnotí, jestli je pole useIPAliases ipAllocationPolicy v clusteru nastaveno na false.

Závažnost: Nízká

Clustery GKE by měly mít povolené privátní clustery.

Popis: Toto doporučení vyhodnotí, zda je pole enablePrivateNodes vlastnosti privateClusterConfig nastaveno na false.

Závažnost: Vysoká

V clusterech GKE by se měly povolit zásady sítě.

Popis: Toto doporučení vyhodnotí pole networkPolicy vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: true.

Závažnost: Střední