Freigeben über


Berechnen von Sicherheitsempfehlungen

In diesem Artikel werden alle Multicloud-Computesicherheitsempfehlungen aufgeführt, die in Microsoft Defender für Cloud möglicherweise angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.

Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.

Tipp

Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.

Azure Compute-Empfehlungen

Systemupdates sollten auf Ihren Computern installiert sein (über Update Center)

Beschreibung: Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen.

Schweregrad: Niedrig

Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird

Beschreibung: Um sicherzustellen, dass regelmäßige Bewertungen für fehlende Systemupdates alle 24 Stunden automatisch ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf "AutomaticByPlatform" festgelegt werden. Weitere Informationen zur AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode.

Schweregrad: Niedrig

Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein

Beschreibung: Aktivieren Sie Anwendungssteuerelemente, um die Liste der auf Ihren Computern ausgeführten bekannten Anwendungen zu definieren, und benachrichtigen Sie, wenn andere Anwendungen ausgeführt werden. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Defender für Cloud Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. (Verwandte Richtlinie: Adaptive Anwendungssteuerelemente zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert sein.

Schweregrad: hoch

Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden

Beschreibung: Überwachen sie auf Verhaltensänderungen auf Computergruppen, die für die Überwachung durch die adaptiven Anwendungssteuerelemente von Defender für Cloud konfiguriert sind. Defender für Cloud nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. (Verwandte Richtlinie: Zulassungslistenregeln in Der Richtlinie für adaptive Anwendungssteuerungen sollten aktualisiert werden.

Schweregrad: hoch

Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein

Beschreibung: Obwohl SSH selbst eine verschlüsselte Verbindung bereitstellt, lässt die Verwendung von Kennwörtern mit SSH die VM weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie unter Ausführliche Schritte: Erstellen und Verwalten von SSH-Schlüsseln für die Authentifizierung bei einer Linux-VM in Azure. (Verwandte Richtlinie: Überwachen Sie Linux-Computer, die keinen SSH-Schlüssel für die Authentifizierung verwenden).

Schweregrad: Mittel

Automation-Kontovariablen sollten verschlüsselt werden

Beschreibung: Es ist wichtig, die Verschlüsselung von variablen Ressourcen für Automatisierungskonten beim Speichern vertraulicher Daten zu aktivieren. (Verwandte Richtlinie: Automatisierungskontovariablen sollten verschlüsselt werden).

Schweregrad: hoch

Azure Backup sollte für virtuelle Computer aktiviert sein

Beschreibung: Schützen Sie die Daten auf Ihren virtuellen Azure-Computern mit Azure Backup. Azure Backup ist eine Azure-native und kostengünstige Lösung zum Schutz von Daten. Azure Backup erstellt Wiederherstellungspunkte, die in geografisch redundanten Recovery-Tresoren gespeichert werden. Wenn Sie eine Wiederherstellung von einem Wiederherstellungspunkt durchführen, können Sie den gesamten virtuellen Computer oder bestimmte Dateien wiederherstellen. (Verwandte Richtlinie: Azure Backup sollte für virtuelle Computer aktiviert sein).

Schweregrad: Niedrig

(Vorschau) Azure Local machine(s) should meet Secured-core requirements

Beschreibung: Stellen Sie sicher, dass alle lokalen Azure-Computer die Anforderungen für gesicherte Kerne erfüllen. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: Niedrig

(Vorschau) Azure Local machine(s) should have consistently enforced application control policies

Beschreibung: Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen lokalen Azure-Computern an. Angewendete WDAC (Windows Defender Application Control)-Richtlinien müssen auf allen Servern im selben Cluster einheitlich sein. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: hoch

(Vorschau) Azure Local systems should have encrypted volumes

Beschreibung: Verwenden Sie BitLocker, um das Betriebssystem und die Datenvolumes auf lokalen Azure-Systemen zu verschlüsseln. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: hoch

Containerhosts müssen sicher konfiguriert sein.

Beschreibung: Beheben sie Sicherheitsrisiken in Sicherheitskonfigurationseinstellungen auf Computern, auf denen Docker installiert ist, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden.

Schweregrad: hoch

Diagnoseprotokolle in Azure Stream Analytics sollten aktiviert werden

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Azure Stream Analytics sollten aktiviert sein.

Schweregrad: Niedrig

Diagnoseprotokolle in Batch-Konten sollten aktiviert sein

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Batchkonten sollten aktiviert sein).

Schweregrad: Niedrig

Diagnoseprotokolle in Event Hubs sollten aktiviert sein

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Event Hubs sollten aktiviert sein).

Schweregrad: Niedrig

In Logic Apps sollten Diagnoseprotokolle aktiviert sein

Beschreibung: Um sicherzustellen, dass Sie Aktivitätspfade für Untersuchungszwecke neu erstellen können, wenn ein Sicherheitsvorfall auftritt oder Ihr Netzwerk kompromittiert wird, aktivieren Sie die Protokollierung. Wenn Ihre Diagnoseprotokolle nicht an einen Log Analytics-Arbeitsbereich, ein Azure Storage-Konto oder azure Event Hub gesendet werden, stellen Sie sicher, dass Sie Diagnoseeinstellungen konfiguriert haben, um Plattformmetriken und Plattformprotokolle an die relevanten Ziele zu senden. Weitere Informationen finden Sie unter „Erstellen von Diagnoseeinstellungen zum Senden von Plattformprotokollen und Metriken an verschiedene Ziele“. (Verwandte Richtlinie: Diagnoseprotokolle in Logik-Apps sollten aktiviert sein).

Schweregrad: Niedrig

Diagnoseprotokolle in Service Bus aktivieren

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Service Bus sollten aktiviert sein).

Schweregrad: Niedrig

In VM-Skalierungsgruppen sollten Diagnoseprotokolle aktiviert sein

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Skalierungsgruppen für virtuelle Computer sollten aktiviert sein).

Schweregrad: hoch

EDR-Konfigurationsprobleme sollten auf virtuellen Computern behoben werden

Beschreibung: Um virtuelle Computer vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen, beheben Sie alle identifizierten Konfigurationsprobleme mit der installierten Endpunkterkennungs- und Reaktionslösung (EDR). Derzeit gilt diese Empfehlung nur für Ressourcen, für die Microsoft Defender für Endpunkt aktiviert ist.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: Niedrig

EDR-Lösung sollte auf virtuellen Computern installiert sein

Beschreibung: Die Installation einer Endpunkterkennungs- und Reaktionslösung (EDR) auf virtuellen Computern ist wichtig für den Schutz vor erweiterten Bedrohungen. EDRs helfen bei der Verhinderung, Erkennung, Untersuchung und Reaktion auf diese Bedrohungen. Microsoft Defender für Server kann zum Bereitstellen von Microsoft Defender für Endpunkt verwendet werden.

  • Wenn eine Ressource als "Unhealthy" klassifiziert wird, gibt sie das Fehlen einer unterstützten EDR-Lösung an.
  • Wenn eine EDR-Lösung installiert, aber nicht durch diese Empfehlung auffindbar ist, kann sie ausgenommen werden.
  • Ohne eine EDR-Lösung gefährden die virtuellen Computer fortgeschrittene Bedrohungen.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: hoch

Endpoint Protection-Integritätsprobleme in VM-Skalierungsgruppen sollten behoben werden.

Beschreibung: Auf Skalierungssätzen für virtuelle Computer beheben Sie Endpunktschutz-Integritätsfehler, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Die Endpunktschutzlösung sollte auf Skalierungssätzen für virtuelle Computer installiert werden.

Schweregrad: Niedrig

Auf VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) muss Endpoint Protection installiert sein.

Beschreibung: Installieren Sie eine Endpunktschutzlösung auf Ihren VM-Skalierungssätzen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Die Endpunktschutzlösung sollte auf Skalierungssätzen für virtuelle Computer installiert werden.

Schweregrad: hoch

Für Computer sollte die Überwachung der Dateiintegrität aktiviert sein

Beschreibung: Defender für Cloud hat Computer identifiziert, auf denen eine Dateiintegritätsüberwachungslösung fehlt. Aktivieren Sie die Überwachung der Dateiintegrität, um auf Ihren Servern kritische Dateien, Registrierungsschlüssel und mehr zu überwachen. Wenn die Lösung zur Überwachung der Dateiintegrität aktiviert ist, müssen Sie Datensammlungsregeln erstellen, um die zu überwachenden Dateien zu definieren. Um Regeln zu definieren oder die Dateien anzuzeigen, die auf Computern mit vorhandenen Regeln geändert wurden, wechseln Sie zur Verwaltungsseite für die Dateiintegritätsüberwachung. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten skalierungsfähigen virtuellen Linux-Computern, damit Microsoft Defender for Cloud proaktiv die Startintegrität bestätigen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige Linux-VM-Skalierungsgruppen.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Linux-Computern, damit Microsoft Defender for Cloud proaktiv die Startintegrität nachweist und überwacht. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige Linux-VMs.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten Skalierungssätzen für virtuelle Computer, damit Microsoft Defender for Cloud proaktiv die Startintegrität nachweist und überwacht. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige VM-Skalierungsgruppen.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein

Beschreibung: Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern, damit Microsoft Defender für Cloud proaktiv die Startintegrität bestätigen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Erweiterung „Gastkonfiguration“ muss auf den Computern installiert sein.

Beschreibung: Um sichere Konfigurationen von Gasteinstellungen Ihres Computers sicherzustellen, installieren Sie die Gastkonfigurationserweiterung. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z . B. Windows Exploit Guard, sollte aktiviert werden. (Verwandte Richtlinie: Virtuelle Computer sollten über die Erweiterung "Gastkonfiguration" verfügen.

Schweregrad: Mittel

(Vorschau) Host- und VM-Netzwerke sollten auf lokalen Azure-Systemen geschützt sein

Beschreibung: Schützen sie Daten im Netzwerk des lokalen Azure-Hosts und in Netzwerkverbindungen mit virtuellen Computern. (Verwandte Richtlinie: Die Erweiterung für die Gastkonfiguration sollte auf Computern installiert werden – Microsoft Azure).

Schweregrad: Niedrig

Endpoint Protection-Lösung auf virtuellen Computern installieren

Beschreibung: Installieren Sie eine Endpunktschutzlösung auf Ihren virtuellen Computern, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. (Verwandte Richtlinie: Überwachen Fehlender Endpoint Protection im Azure Security Center).

Schweregrad: hoch

Auf Linux-VMS sollte Azure Disk Encryption oder EncryptionAtHost aktiviert werden.

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie die Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger, um Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter "Grundlegendes zur Azure-Computerkonfiguration". (Verwandte Richtlinie: [Vorschau]: Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren.

Ersetzt die älteren empfohlenen virtuellen Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln. Die Empfehlung ermöglicht es Ihnen, die VM-Verschlüsselungscompliance zu überwachen.

Schweregrad: hoch

Virtuelle Linux-Computer sollten eine Überprüfung der Kernelmodulsignatur erzwingen

Beschreibung: Um die Ausführung bösartiger oder nicht autorisierter Code im Kernelmodus zu vermeiden, erzwingen Sie die Kernelmodulsignaturüberprüfung auf unterstützten virtuellen Linux-Computern. Die Überprüfung der Kernelmodulsignatur stellt sicher, dass nur vertrauenswürdige Kernelmodule ausgeführt werden dürfen. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Virtuelle Linux-Computer sollten nur signierte und vertrauenswürdige Startkomponenten verwenden

Beschreibung: Wenn der sichere Start aktiviert ist, müssen alle Betriebssystemstartkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Virtuelle Linux-Computer sollten den sicheren Start verwenden

Beschreibung: Um vor der Installation von malwarebasierten Rootkits und Boot Kits zu schützen, aktivieren Sie den sicheren Start auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Log Analytics-Agent muss auf Linux-basierten Computern mit Azure Arc-Unterstützung installiert sein.

Beschreibung: Defender für Cloud verwendet den Log Analytics-Agent (auch als OMS bezeichnet), um Sicherheitsereignisse von Ihren Azure Arc-Computern zu sammeln. Führen Sie die Schritte zur Problembehebung aus, um den Agent auf allen Azure Arc-Computern bereitzustellen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Wenn die Verwendung von AMA und MMA in Defender für Server abgestützt wird, werden Empfehlungen, die sich auf diese Agents wie diese verlassen, entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024

Log Analytics-Agent muss für VM-Skalierungsgruppen installiert sein.

Beschreibung: Defender für Cloud sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um Sicherheitsrisiken und Bedrohungen zu überwachen. Die Daten werden mithilfe des Log Analytics-Agents (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in Ihren Arbeitsbereich. Sie müssen diese Schritte auch ausführen, wenn die virtuellen Computer von einem verwalteten Azure-Dienst wie Azure Kubernetes Service oder Azure Service Fabric verwendet werden. Sie können nicht die automatische Bereitstellung des Agents für Azure-VM-Skalierungsgruppen konfigurieren. Befolgen Sie zum Bereitstellen des Agents in VM-Skalierungsgruppen (einschließlich derjenigen, die von verwalteten Azure-Diensten wie Azure Kubernetes Service und Azure Service Fabric verwendet werden) das Verfahren in den Wartungsschritten. (Verwandte Richtlinie: Der Log Analytics-Agent sollte auf Ihren Vm-Skalierungssätzen für die Azure Security Center-Überwachung installiert werden.

Wenn die Verwendung von AMA und MMA in Defender für Server abgestützt wird, werden Empfehlungen, die sich auf diese Agents wie diese verlassen, entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024

Schweregrad: hoch

Der Log Analytics-Agent sollte auf virtuellen Computern installiert sein.

Beschreibung: Defender für Cloud sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um Sicherheitsrisiken und Bedrohungen zu überwachen. Die Daten werden mithilfe des Log Analytics-Agents (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Dieser Agent ist auch erforderlich, wenn die VMs von einem verwalteten Azure-Dienst wie Azure Kubernetes Service oder Azure Service Fabric verwendet werden. Wir empfehlen Ihnen, die automatische Bereitstellung des Agents zu konfigurieren. Wenn Sie keine automatische Bereitstellung verwenden möchten, stellen Sie den Agent manuell mithilfe der Anweisungen in den Wartungsschritten auf Ihren virtuellen Computern bereit. (Verwandte Richtlinie: Der Log Analytics-Agent sollte auf Ihrem virtuellen Computer für die Azure Security Center-Überwachung installiert werden.

Wenn die Verwendung von AMA und MMA in Defender für Server abgestützt wird, werden Empfehlungen, die sich auf diese Agents wie diese verlassen, entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024

Schweregrad: hoch

Log Analytics-Agent muss auf Windows-basierten Computern mit Azure Arc-Unterstützung installiert sein.

Beschreibung: Defender für Cloud verwendet den Log Analytics-Agent (auch als MMA bezeichnet), um Sicherheitsereignisse von Ihren Azure Arc-Computern zu sammeln. Führen Sie die Schritte zur Problembehebung aus, um den Agent auf allen Azure Arc-Computern bereitzustellen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Wenn die Verwendung von AMA und MMA in Defender für Server abgestützt wird, werden Empfehlungen, die sich auf diese Agents wie diese verlassen, entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024

Computer müssen sicher konfiguriert sein.

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Computern sollten behoben werden.

Diese Empfehlung hilft Ihnen, den Serversicherheitsstatus zu verbessern. Defender for Cloud verbessert die Benchmarks für Center for Internet Security (CIS), indem Sicherheitsgrundwerte bereitgestellt werden, die von Microsoft Defender Vulnerability Management unterstützt werden. Weitere Informationen

Schweregrad: Niedrig

Computer müssen neu gestartet werden, um Aktualisierungen an der Sicherheitskonfiguration anzuwenden

Beschreibung: Um Sicherheitsupdates anzuwenden und vor Sicherheitsrisiken zu schützen, starten Sie Ihre Computer neu. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Computer sollten über eine Lösung zur Sicherheitsrisikobewertung verfügen.

Beschreibung: Defender für Cloud überprüft regelmäßig Ihre verbundenen Computer, um sicherzustellen, dass sie Tools zur Sicherheitsrisikobewertung ausführen. Verwenden Sie diese Empfehlung, um eine Lösung zur Sicherheitsrisikobewertung bereitzustellen. (Verwandte Richtlinie: Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden.

Schweregrad: Mittel

Ermittelte Sicherheitsrisiken für Computer müssen behoben werden.

Beschreibung: Beheben Sie die Ergebnisse aus den Lösungen für die Sicherheitsrisikobewertung auf Ihren virtuellen Computern. (Verwandte Richtlinie: Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden.

Schweregrad: Niedrig

Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden.

Beschreibung: Defender für Cloud hat einige übermäßig zulässige eingehende Regeln für Verwaltungsports in Ihrer Netzwerksicherheitsgruppe identifiziert. Aktivieren Sie die Just-In-Time-Zugriffssteuerung, um Ihre VM vor Brute-Force-Angriffen aus dem Internet zu schützen. Weitere Informationen finden Sie unter Grundlegendes zum Just-In-Time (JIT)-VM-Zugriff. (Verwandte Richtlinie: Die Verwaltungsports virtueller Computer sollten durch just-in-time-Netzwerkzugriffskontrolle geschützt werden.

Schweregrad: hoch

Microsoft Defender für Server sollte aktiviert sein

Beschreibung: Microsoft Defender für Server bietet Echtzeit-Bedrohungsschutz für Ihre Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. Mit diesen Informationen können Sie schnell Sicherheitsprobleme lösen und die Sicherheit Ihrer Server verbessern.

Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer Server an. Es fallen keine Gebühren an, falls Sie in diesem Abonnement nicht über Server verfügen. Wenn Sie Server in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Server. (Verwandte Richtlinie: Azure Defender für Server sollte aktiviert sein).

Schweregrad: hoch

Microsoft Defender für Server sollte auf Arbeitsbereichen aktiviert sein

Beschreibung: Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmechanismen für Ihre Windows- und Linux-Computer. Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Server. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

Für unterstützte Windows-VMs muss der sichere Start aktiviert werden

Beschreibung: Aktivieren des sicheren Starts auf unterstützten virtuellen Windows-Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung dürfen nur vertrauenswürdige Bootloader, Kernel- und Kerneltreiber ausgeführt werden. Diese Bewertung gilt nur für vertrauenswürdige startfähige Windows-VMs.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen

Beschreibung: Service Fabric bietet drei Schutzebenen (None, Sign, and EncryptAndSign) für die Kommunikation zwischen Knoten und Knoten mithilfe eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen zwei Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. (Verwandte Richtlinie: Service Fabric-Cluster sollten die ClusterProtectionLevel-Eigenschaft auf EncryptAndSign festgelegt haben.

Schweregrad: hoch

Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden

Beschreibung: Ausführen der Clientauthentifizierung nur über Azure Active Directory in Service Fabric (verwandte Richtlinie: Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden).

Schweregrad: hoch

Systemupdates für VM-Skalierungsgruppen sollten installiert werden

Beschreibung: Installieren Sie fehlende Systemsicherheit und wichtige Updates, um Ihre Skalierungssätze für Windows und Linux zu sichern. (Verwandte Richtlinie: Systemupdates auf Skalierungssätzen für virtuelle Computer sollten installiert werden.

Als Verwendung des Azure Monitor Agent (AMA) und des Log Analytics-Agents (auch bekannt als Microsoft Monitoring Agent (MMA)) wird in Defender for Servers eine Phase ausgeführt, empfehlungen, die auf diesen Agents wie diesem basieren, werden entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024. Diese Empfehlungen werden durch neue ersetzt.

Schweregrad: hoch

Systemupdates sollten auf Ihren Computern installiert sein

Beschreibung: Installieren Sie fehlende Systemsicherheit und wichtige Updates, um Ihre virtuellen Windows- und Linux-Computer und -Computer zu schützen (verwandte Richtlinie: Systemupdates sollten auf Ihren Computern installiert werden).

Als Verwendung des Azure Monitor Agent (AMA) und des Log Analytics-Agents (auch bekannt als Microsoft Monitoring Agent (MMA)) wird in Defender for Servers eine Phase ausgeführt, empfehlungen, die auf diesen Agents wie diesem basieren, werden entfernt. Stattdessen verwenden Defender für Server-Features den Microsoft Defender für Endpunkt-Agent oder die agentlose Überprüfung, ohne abhängigkeit von der MMA oder AMA.

Geschätztes Ende: Juli 2024. Diese Empfehlungen werden durch neue ersetzt.

Schweregrad: hoch

Systemupdates sollten auf Ihren Computern installiert sein (über Update Center)

Beschreibung: Ihre Computer fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein

Beschreibung: Verwenden Sie die Verschlüsselung auf host, um End-to-End-Verschlüsselung für Ihren virtuellen Computer und Skalierungsdaten des virtuellen Computers zu erhalten. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter Verwenden der Azure-Portal, um die End-to-End-Verschlüsselung mithilfe der Verschlüsselung auf dem Host zu aktivieren. (Verwandte Richtlinie: Für virtuelle Computer und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein.)

Schweregrad: Mittel

VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden

Beschreibung: Virtuelle Computer (klassisch) sind veraltet, und diese VMs sollten zu Azure Resource Manager migriert werden. Da Azure Resource Manager jetzt über vollständige IaaS-Funktionen und andere Erweiterungen verfügt, haben wir am 28. Februar 2020 begonnen, die Verwaltung von IaaS-VMs über Azure Service Manager (ASM) einzustellen. Diese Funktionalität wird am 1. März 2023 vollständig eingestellt.

Wählen Sie auf der Registerkarte „Verzeichnisse + Abonnements“ alle Ihre Azure-Abonnements aus, um alle betroffenen klassischen virtuellen Computer anzuzeigen.

Verfügbare Ressourcen und Informationen zu diesem Tool und zur Migration: Übersicht über die veralteten virtuellen Computer (klassisch), Schritt-für-Schritt-Prozess für Migration und verfügbare Microsoft-Ressourcen.Details zum Migrationstool "Migration zu Azure Resource Manager".Migrieren Sie mithilfe von PowerShell zu Azure Resource Manager-Migrationstool. (Verwandte Richtlinie: Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden.

Schweregrad: hoch

Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein.

Beschreibung: Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung soll Kompromittierungen der Startkette erkennen, was das Ergebnis einer bootkit Infektion sein rootkit kann. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden

Beschreibung: Für die Gastkonfigurationserweiterung ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen (verwandte Richtlinie: Gastkonfigurationserweiterung sollte auf virtuellen Azure-Computern mit vom System zugewiesener verwalteter Identität bereitgestellt werden).

Schweregrad: Mittel

VM-Skalierungsgruppen (Virtual Machine Scale Sets, VMSS) müssen sicher konfiguriert sein.

Beschreibung: Auf Vm-Skalierungssätzen beheben Sie Sicherheitsrisiken, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Sicherheitsrisiken bei der Sicherheitskonfiguration auf Ihren Skalierungssätzen für virtuelle Computer sollten behoben werden.

Schweregrad: hoch

Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Einen Vergleich der verschiedenen Datenträgerverschlüsselungstechnologien in Azure finden Sie unter Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger. Verwenden Sie Azure Disk Encryption, um sämtliche dieser Daten zu verschlüsseln. In folgenden Fällen sollten Sie diese Empfehlung ignorieren:

Sie verwenden das Feature "Verschlüsselung bei Host" oder die serverseitige Verschlüsselung auf verwalteten Datenträgern erfüllen Ihre Sicherheitsanforderungen. Weitere Informationen zur serverseitigen Verschlüsselung von Azure Disk Storage.

(Zugehörige Richtlinie: Auf virtuellen Computern sollte die Datenträgerverschlüsselung angewendet werden)

Schweregrad: hoch

Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden

Beschreibung: Aktivieren Sie virtuelle TPM-Geräte auf unterstützten virtuellen Computern, um den kontrollierten Start und andere Betriebssystemsicherheitsfeatures zu vereinfachen, die ein TPM erfordern. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs.

  • Der vertrauenswürdige Start erfordert die Erstellung neuer VMs.
  • Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern, um sie vor Angriffen zu schützen. (Verwandte Richtlinie: Linux-Computer sollten die Anforderungen für die Azure-Sicherheitsbasislinie erfüllen.

Schweregrad: Niedrig

Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)

Beschreibung: Beheben Sie Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern, um sie vor Angriffen zu schützen. (Keine zugehörige Richtlinie)

Schweregrad: Niedrig

Windows Defender Exploit Guard muss auf den Computern aktiviert sein.

Beschreibung: Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). (Verwandte Richtlinie: Überwachen von Windows-Computern, auf denen Windows Defender Exploit Guard nicht aktiviert ist).

Schweregrad: Mittel

Auf Windows-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktiviert werden.

Beschreibung: Standardmäßig werden das Betriebssystem und die Datenträger eines virtuellen Computers mithilfe von plattformverwalteten Schlüsseln verschlüsselt, temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden beim Fluss zwischen Compute- und Speicherressourcen nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um alle diese Daten zu verschlüsseln. Besuchen Sie die Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger, um Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter "Grundlegendes zur Azure-Computerkonfiguration". (Verwandte Richtlinie: [Vorschau]: Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren).

Ersetzt die älteren empfohlenen virtuellen Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln. Die Empfehlung ermöglicht es Ihnen, die VM-Verschlüsselungscompliance zu überwachen.

Schweregrad: hoch

Windows-Webserver müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein

Beschreibung: Um den Datenschutz der über das Internet kommunizierten Informationen zu schützen, sollten Ihre Webserver die neueste Version des branchenübden kryptografischen Protokolls,Transport Layer Security (TLS) verwenden. TLS schützt die Kommunikation über ein Netzwerk, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. (Verwandte Richtlinie: Überwachen von Windows-Webservern, die keine sicheren Kommunikationsprotokolle verwenden).

Schweregrad: hoch

AWS Compute-Empfehlungen

Von Systems Manager verwaltete Amazon EC2-Instanzen sollten nach einer Patchinstallation den Patchkonformitätsstatus COMPLIANT aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob der Compliancestatus der Patchcompliance von Amazon EC2 Systems Manager KONFORM ist oder NON_COMPLIANT nach der Patchinstallation auf der Instanz. Es überprüft nur Instanzen, die von AWS Systems Manager Patch Manager verwaltet werden. Es wird nicht überprüft, ob der Patch innerhalb des 30-Tage-Grenzwerts angewendet wurde, der von der PCI DSS-Anforderung "6.2" vorgeschrieben wurde. Außerdem wird nicht überprüft, ob die angewendeten Patches als Sicherheitspatches klassifiziert wurden. Sie sollten Patchgruppen mit den entsprechenden Baselineeinstellungen erstellen und sicherstellen, dass die Systeme innerhalb des relevanten Bereichs von diesen Patchgruppen in Systems Manager verwaltet werden. Weitere Informationen zu Patchgruppen finden Sie im AWS Systems Manager-Benutzerhandbuch.

Schweregrad: Mittel

Amazon EFS sollte so konfiguriert werden, dass ruhende Dateidaten mithilfe von AWS KMS verschlüsselt werden.

Beschreibung: Dieses Steuerelement überprüft, ob amazon Elastic File System für die Verschlüsselung der Dateidaten mit AWS KMS konfiguriert ist. Die Überprüfung schlägt in den folgenden Fällen fehl: *"Encrypted" ist in der DescribeFileSystems-Antwort auf "false" festgelegt. Der Schlüssel "KmsKeyId" in der DescribeFileSystems-Antwort stimmt nicht mit dem KmsKeyId-Parameter für efs-encrypted-check überein. Beachten Sie, dass dieses Steuerelement nicht den Parameter "KmsKeyId" für efs-encrypted-check verwendet. Sie überprüft nur den Wert von „Encrypted“. Um eine weitere Sicherheitsebene für Ihre vertraulichen Daten in Amazon EFS hinzuzufügen, sollten Sie verschlüsselte Dateisysteme erstellen. Amazon EFS unterstützt die Verschlüsselung von Dateisystemen im Ruhezustand. Sie können die Verschlüsselung ruhender Daten beim Erstellen eines Amazon EFS-Dateisystems aktivieren. Weitere Informationen zur Amazon EFS-Verschlüsselung finden Sie unter Datenverschlüsselung in Amazon EFS im Benutzerhandbuch zum Amazon Elastic-Dateisystem.

Schweregrad: Mittel

Amazon EFS-Volumes sollten in Sicherungspläne einbezogen werden.

Beschreibung: Dieses Steuerelement überprüft, ob Amazon Elastic File System (Amazon EFS)-Dateisysteme den Sicherungsplänen in AWS Backup hinzugefügt werden. Das Steuerelement schlägt fehl, wenn Amazon EFS-Dateisysteme nicht in den Sicherungsplänen enthalten sind. Durch das Einschließen von EFS-Dateisystemen in die Sicherungspläne können Sie Ihre Daten vor Löschungen und Datenverlust schützen.

Schweregrad: Mittel

Für Application Load Balancer muss der Löschschutz aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob ein Anwendungslastenausgleichsschutz aktiviert ist. Das Steuerelement schlägt fehl, wenn der Löschschutz nicht konfiguriert ist. Aktivieren Sie den Löschschutz, um das Löschen des Application Load Balancers zu verhindern.

Schweregrad: Mittel

Autoskalierungsgruppen, die einem Lastenausgleichsmodul zugeordnet sind, sollten Integritätsprüfungen verwenden.

Beschreibung: Autoskalierungsgruppen, die einem Lastenausgleichsmodul zugeordnet sind, verwenden die Integritätsprüfungen für den Lastenausgleich. PCI DSS erfordert keinen Lastenausgleich oder hoch verfügbare Konfigurationen. Diese Prüfung richtet sich nach den Best Practices für AWS.

Schweregrad: Niedrig

Für AWS-Konten sollte die automatische Bereitstellung von Azure Arc aktiviert sein.

Beschreibung: Um den Sicherheitsinhalt von Microsoft Defender für Server vollständig sichtbar zu machen, sollten EC2-Instanzen mit Azure Arc verbunden sein. Um sicherzustellen, dass alle berechtigten EC2-Instanzen automatisch Azure Arc erhalten, aktivieren Sie die automatische Bereitstellung von Defender für Cloud auf AWS-Kontoebene. Erfahren Sie mehr über Azure Arc und Microsoft Defender für Server.

Schweregrad: hoch

Für CloudFront-Verteilungen sollte ein Ursprungsfailover konfiguriert sein.

Beschreibung: Dieses Steuerelement überprüft, ob eine Amazon CloudFront-Verteilung mit einer Ursprungsgruppe mit mindestens zwei Ursprüngen konfiguriert ist. Ein Failover des CloudFront-Ursprungs kann die Verfügbarkeit erhöhen. Durch das Ursprungsfailover wird der Datenverkehr automatisch an einen sekundären Ursprung umgeleitet, wenn der primäre Ursprung nicht verfügbar ist oder bestimmte HTTP-Antwortstatuscodes zurückgibt.

Schweregrad: Mittel

CodeBuild-GitHub- oder Bitbucket-Quellrepository-URLs sollten OAuth verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob die GitHub- oder Bitbucket-Quell-Repository-URL entweder persönliche Zugriffstoken oder einen Benutzernamen und ein Kennwort enthält. Anmeldeinformationen für die Authentifizierung sollten niemals in Klartext gespeichert und übertragen oder in der Repository-URL angezeigt werden. Verwenden Sie anstelle von persönlichen Zugriffstoken oder Benutzername und Kennwort OAuth, um die Autorisierung für den Zugriff auf GitHub- oder Bitbucket-Repositorys zu erteilen. Die Verwendung von persönlichen Zugriffstoken oder eines Benutzernamens und Kennworts kann zu einer unbeabsichtigten Offenlegung Ihrer Anmeldeinformationen und nicht autorisiertem Zugriff führen.

Schweregrad: hoch

CodeBuild-Projektumgebungsvariablen sollten keine Anmeldeinformationen enthalten.

Beschreibung: Dieses Steuerelement überprüft, ob das Projekt die Umgebungsvariablen AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY. Die Anmeldeinformationen für die Authentifizierung AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY sollten nie als Klartext gespeichert werden, da dies zu einer unbeabsichtigten Offenlegung von Daten und nicht autorisiertem Zugriff führen kann.

Schweregrad: hoch

DynamoDB Accelerator-Cluster (DAX) sollten im Ruhezustand verschlüsselt werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein DAX-Cluster im Ruhezustand verschlüsselt ist. Durch das Verschlüsseln ruhender Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Benutzer auf Daten zugreift, die auf dem Datenträger gespeichert sind. Durch die Verschlüsselung wird ein weiterer Satz von Zugriffssteuerungen hinzugefügt, um die Datenzugriffsmöglichkeiten nicht autorisierter Benutzer zu begrenzen. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

Schweregrad: Mittel

DynamoDB-Tabellen sollten die Kapazität automatisch nach Bedarf skalieren.

Beschreibung: Dieses Steuerelement überprüft, ob eine AmazonDb-Tabelle die Lese- und Schreibkapazität nach Bedarf skalieren kann. Diese Kontrolle gilt als bestanden, wenn die Tabelle entweder den bedarfsgesteuerten Kapazitätsmodus oder den bereitgestellten Modus mit konfigurierter automatischer Skalierung verwendet. Durch das bedarfsgerechte Skalieren der Kapazität werden Drosselungsausnahmen verhindert, sodass die Verfügbarkeit Ihrer Anwendungen gewährleistet ist.

Schweregrad: Mittel

EC2-Instanzen sollten mit Azure Arc verbunden sein.

Beschreibung: Verbinden Sie Ihre EC2-Instanzen mit Azure Arc, um vollständige Sichtbarkeit für Microsoft Defender for Servers-Sicherheitsinhalte zu erhalten. Erfahren Sie mehr über Azure Arc und Microsoft Defender für Server in einer hybriden Cloudumgebung.

Schweregrad: hoch

EC2-Instanzen sollten über AWS Systems Manager verwaltet werden.

Beschreibung: Der Status der Amazon EC2 Systems Manager-Patchcompliance ist "KOMPATIBEL" oder "NON_COMPLIANT" nach der Patchinstallation auf der Instanz. Es werden nur Instanzen überprüft, die vom AWS Systems Manager Patch Manager verwaltet werden. Patches, die innerhalb des von PCI DSS-Anforderung "6" vorgeschriebenen 30-Tage-Grenzwerts angewendet wurden, werden nicht überprüft.

Schweregrad: Mittel

EDR-Konfigurationsprobleme sollten auf EC2s behoben werden

Beschreibung: Um virtuelle Computer vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen, beheben Sie alle identifizierten Konfigurationsprobleme mit der installierten Endpunkterkennungs- und Reaktionslösung (EDR). Derzeit gilt diese Empfehlung nur für Ressourcen, für die Microsoft Defender für Endpunkt aktiviert ist.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: hoch

EDR-Lösung sollte auf EC2s installiert sein

Beschreibung: Um EC2s zu schützen, installieren Sie eine Endpunkterkennungs- und Reaktionslösung (EDR). EDRs helfen dabei, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Microsoft Defender for Servers, um Microsoft Defender for Endpoint bereitzustellen. Wenn die Ressource als "Unhealthy" klassifiziert wird, ist keine unterstützte EDR-Lösung installiert. Wenn Sie eine EDR-Lösung installiert haben, die von dieser Empfehlung nicht auffindbar ist, können Sie sie ausnehmen.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: hoch

Von Systems Manager verwaltete EC2-Instanzen müssen für eine Zuordnung den Konformitätsstatus COMPLIANT aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob der Status der AWS Systems Manager-Zuordnungscompliance konform oder NON_COMPLIANT ist, nachdem die Zuordnung auf einer Instanz ausgeführt wurde. Die Kontrolle gilt als bestanden, wenn die Zuordnung den Konformitätsstatus COMPLIANT aufweist. Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instanzen zugewiesen wird. Die Konfiguration definiert den Zustand, den Sie für Ihre Instanzen beibehalten möchten. Beispielsweise kann eine Zuordnung angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen. Nach dem Erstellen einer oder mehrerer State Manager-Zuordnungen stehen Ihnen die Informationen zum Konformitätsstatus sofort in der Konsole oder als Antwort auf AWS CLI-Befehle oder entsprechende Systems Manager-API-Vorgänge zur Verfügung. Bei Zuordnungen zeigt die Compliance "Konfiguration" Status von "Konform" oder "Nicht konform" und der schweregrad an, der der Zuordnung zugewiesen ist, z . B. Kritisch oder Mittel. Weitere Informationen zur Compliance der State Manager-Zuordnung finden Sie im AWS Systems Manager-Benutzerhandbuch unter About State Manager association compliance . Sie müssen Ihre im relevanten Bereich befindlichen EC2-Instanzen für die Systems Manager-Zuordnung konfigurieren. Sie müssen auch die Patchbasislinie für die Sicherheitsbewertung des Anbieters von Patches konfigurieren und das Datum für die automatische Genehmigung festlegen, um die PCI DSS 3.2.1-Anforderung 6.2 zu erfüllen. Weitere Anleitungen zum Erstellen einer Zuordnung finden Sie unter Erstellen einer Zuordnung im AWS Systems Manager User Guide. Weitere Informationen zur Arbeit mit Patching in Systems Manager finden Sie im AWS Systems Manager Patch Manager im AWS Systems Manager User Guide.

Schweregrad: Niedrig

Für Lambdafunktionen sollte eine Warteschlange für unzustellbare Nachrichten konfiguriert sein.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob eine Lambda-Funktion mit einer Warteschlange mit inaktiven Buchstaben konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Lambdafunktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Als Alternative zu einem Ziel bei Fehlern können Sie Ihre Funktion mit einer Warteschlange für unzustellbare Nachrichten konfigurieren, um verworfene Ereignisse zur weiteren Verarbeitung zu speichern. Eine Warteschlange für unzustellbare Nachrichten verhält sich genauso wie ein Ziel bei Fehlern. Sie wird verwendet, wenn ein Ereignis bei allen Verarbeitungsversuchen fehlschlägt oder abläuft, ohne verarbeitet zu werden. Mit einer Warteschlange für unzustellbare Nachrichten können Sie auf Fehler oder fehlgeschlagene Anforderungen an Ihre Lambdafunktion zurückblicken, um ungewöhnliches Verhalten zu debuggen oder zu identifizieren. Aus der Sicherheitsperspektive ist es wichtig zu verstehen, warum Ihre Funktion fehlgeschlagen ist, und sicherzustellen, dass Ihre Funktion keine Daten verliert oder deswegen die Datensicherheit gefährdet wird. Wenn Ihre Funktion beispielsweise nicht mit einer zugrunde liegenden Ressource kommunizieren kann, kann dies ein Symptom für einen Denial-of-Service-Angriff (DoS) an anderer Stelle im Netzwerk sein.

Schweregrad: Mittel

Lambdafunktionen sollten unterstützte Runtimes verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob die Lambda-Funktionseinstellungen für Laufzeiten den erwarteten Werten entsprechen, die für die unterstützten Laufzeiten für jede Sprache festgelegt wurden. Dieses Steuerelement überprüft die folgenden Laufzeiten: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda-Runtimes basieren auf einer Kombination aus Betriebssystem, Programmiersprache und Softwarebibliotheken, die Wartungs- und Sicherheitsupdates unterliegen. Wenn eine Runtimekomponente für Sicherheitsupdates nicht mehr unterstützt wird, wird die Runtime von Lambda als veraltet gekennzeichnet. Obwohl Sie keine Funktionen erstellen können, die die veraltete Laufzeit verwenden, steht die Funktion weiterhin zum Verarbeiten von Aufrufereignissen zur Verfügung. Stellen Sie sicher, dass Ihre Lambda-Funktionen aktuell sind und keine veralteten Laufzeitumgebungen verwenden. Weitere Informationen zu den unterstützten Runtimes, welche diese Kontrolle auf die unterstützten Sprachen überprüft, finden Sie unter AWS Lambda-Runtimes im AWS Lambda-Entwicklerhandbuch.

Schweregrad: Mittel

Verwaltungsports von EC2-Instanzen sollten mit Just-in-Time-Netzwerkzugriffssteuerung geschützt werden.

Beschreibung: Microsoft Defender für Cloud identifizierte einige übermäßig zulässige eingehende Regeln für Verwaltungsports in Ihrem Netzwerk. Aktivieren Sie die Just-in-Time-Zugriffssteuerung, um Ihre Instanzen vor internetbasierten Brute-Force-Angriffen zu schützen. Weitere Informationen

Schweregrad: hoch

Nicht verwendete EC2-Sicherheitsgruppen sollten entfernt werden.

Beschreibung: Sicherheitsgruppen sollten an Amazon EC2-Instanzen oder an eine ENI angefügt werden. Gesunde Suche kann darauf hinweisen, dass nicht verwendete Amazon EC2-Sicherheitsgruppen vorhanden sind.

Schweregrad: Niedrig

Empfehlungen für GCP Compute

Compute-Modul-VMs sollten das Container-optimierte Betriebssystem verwenden.

Beschreibung: Diese Empfehlung wertet die Konfigurationseigenschaft eines Knotenpools für das Schlüsselwertpaar "imageType": "COS" aus.

Schweregrad: Niedrig

EDR-Konfigurationsprobleme sollten auf virtuellen GCP-Computern behoben werden

Beschreibung: Um virtuelle Computer vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen, beheben Sie alle identifizierten Konfigurationsprobleme mit der installierten Endpunkterkennungs- und Reaktionslösung (EDR). Derzeit gilt diese Empfehlung nur für Ressourcen, für die Microsoft Defender für Endpunkt aktiviert ist.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: hoch

EDR-Lösung sollte auf virtuellen GCP-Computern installiert sein

Beschreibung: Um virtuelle Computer zu schützen, installieren Sie eine Endpunkterkennungs- und Reaktionslösung (EDR). EDRs helfen dabei, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Microsoft Defender for Servers, um Microsoft Defender for Endpoint bereitzustellen. Wenn die Ressource als "Unhealthy" klassifiziert wird, ist keine unterstützte EDR-Lösung installiert. Wenn Sie eine EDR-Lösung installiert haben, die von dieser Empfehlung nicht auffindbar ist, können Sie sie ausnehmen.

Diese agentlose Endpunktempfehlung ist verfügbar, wenn Sie Defender für Server Plan 2 oder den Defender CSPM-Plan haben. Erfahren Sie mehr über empfehlungen für den agentlosen Endpunktschutz.

Schweregrad: hoch

Stellen Sie sicher, dass "Projektweite SSH-Schlüssel blockieren" für VM-Instanzen aktiviert ist.

Beschreibung: Es wird empfohlen, instanzspezifische SSH-Schlüssel zu verwenden, anstatt allgemeine/freigegebene projektweite SSH-Schlüssel für den Zugriff auf Instanzen zu verwenden. Projektweite SSH-Schlüssel werden in Compute/Project-meta-data gespeichert. Project wide SSH keys can be used to log in all the instances within project. Die Verwendung projektweiter SSH-Schlüssel erleichtert die SSH-Schlüsselverwaltung, stellt jedoch bei Kompromittierung das Sicherheitsrisiko dar, das sich auf alle Instanzen innerhalb des Projekts auswirken kann. Es wird empfohlen, instanzspezifische SSH-Schlüssel zu verwenden, die die Angriffsfläche einschränken können, wenn die SSH-Schlüssel kompromittiert werden.

Schweregrad: Mittel

Compute-Instanzen müssen mit abgeschirmter VM gestartet werden.

Beschreibung: Um vor erweiterten Bedrohungen zu schützen und sicherzustellen, dass das Startladeprogramm und die Firmware auf Ihren virtuellen Computern signiert und entstempelt werden, empfiehlt es sich, Computeinstanzen mit aktiviertem abgeschirmten virtuellen Computer zu starten. Abgeschirmte VMs sind VMs auf der Google Cloud Platform, die durch eine Reihe von Sicherheitskontrollen gehärtet werden, die zur Verteidigung gegen und bootkits.rootkits Eine abgeschirmte VM ermöglicht eine überprüfbare Integrität Ihrer Compute-Modul-VM-Instanzen, sodass Sie sich darauf verlassen können, dass Ihre Instanzen nicht durch Schadsoftware auf Start- oder Kernelebene oder Rootkits kompromittiert wurden. Die überprüfbare Integrität der abgeschirmten VM wird durch Verwendung des sicheren Starts, des kontrollierten Starts über ein vTPM-fähiges Modul (Virtual Trusted Platform) und Integritätsüberwachung erreicht. Abgeschirmte VM-Instanzen führen Firmware aus, die mit der Zertifizierungsstelle von Google signiert und überprüft wird, um sicherzustellen, dass die Firmware der Instanz unverändert ist und der Vertrauensstamm für den sicheren Start eingerichtet wird. Die Integritätsüberwachung hilft Ihnen dabei, den Zustand Ihrer VM-Instanzen zu verstehen und entsprechende Entscheidungen zu treffen. Das vTPM-Modul der abgeschirmten VM ermöglicht einen kontrollierten Start, indem die erforderlichen Maßnahmen zum Erstellen einer einwandfreien Startbaseline, der sogenannten Integritätsrichtlinienbaseline, durchgeführt werden. Die Integritätsrichtlinienbaseline wird für den Vergleich mit Maßnahmen nachfolgender VM-Startvorgänge verwendet, um festzustellen, ob sich etwas geändert hat. Der sicherer Start trägt dazu bei, sicherzustellen, dass auf dem System nur authentische Software ausgeführt wird, indem die digitale Signatur aller Startkomponenten überprüft und der Startvorgang angehalten wird, wenn die Signaturüberprüfung fehlschlägt.

Schweregrad: hoch

Für VM-Instanzen darf die Option zur Verbindungsherstellung mit seriellen Ports nicht aktiviert sein.

Beschreibung: Die Interaktion mit einem seriellen Anschluss wird häufig als serielle Konsole bezeichnet, die mit der Verwendung eines Terminalfensters vergleichbar ist, in dieser Eingabe und Ausgabe vollständig im Textmodus und es gibt keine grafische Schnittstelle oder Mausunterstützung. Wenn Sie die interaktive serielle Konsole für eine Instanz aktivieren, können Clients versuchen, von einer beliebigen IP-Adresse aus eine Verbindung mit dieser Instanz herzustellen. Daher sollte die Unterstützung von interaktiven seriellen Konsolen deaktiviert werden. Eine VM-Instanz verfügt über vier virtuelle serielle Ports. Die Interaktion mit einem seriellen Port ähnelt der Verwendung eines Terminalfensters, in dieser Eingabe und Ausgabe befindet sich vollständig im Textmodus und es gibt keine grafische Schnittstelle oder Mausunterstützung. Das Betriebssystem, das BIOS und andere Entitäten auf Systemebene der Instanz verwenden häufig serielle Ports für die Ausgabe und können über serielle Ports Eingaben wie Befehle oder Antworten auf Eingabeaufforderungen erhalten. In der Regel verwenden diese Entitäten auf Systemebene den ersten seriellen Port (Port 1), der häufig als serielle Konsole bezeichnet wird. Die interaktive serielle Konsole unterstützt keine IP-basierten Zugriffsbeschränkungen wie IP-Zulassungslisten. Wenn Sie die interaktive serielle Konsole für eine Instanz aktivieren, können Clients versuchen, von einer beliebigen IP-Adresse aus eine Verbindung mit dieser Instanz herzustellen. Dadurch kann jeder eine Verbindung mit dieser Instanz herstellen, wenn der richtige SSH-Schlüssel, der Benutzername, die Projekt-ID, die Zone und der Instanzname bekannt sind. Daher sollte die Unterstützung von interaktiven seriellen Konsolen deaktiviert werden.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflag "log_duration" für die Cloud SQL PostgreSQL-Instanz auf "on" festgelegt ist.

Beschreibung: Das Aktivieren der einstellung log_hostname bewirkt, dass die Dauer jeder abgeschlossenen Anweisung protokolliert wird. Dadurch wird der Text der Abfrage nicht protokolliert und verhält sich daher anders als das log_min_duration_statement Flag. Dieser Parameter kann nach dem Start der Sitzung nicht mehr geändert werden. Die Überwachung der Ausführungszeit von Abfragen kann entscheidend sein, um Abfragen zu erkennen, die Ressourcen übermäßig beanspruchen, und die Leistung des Servers zu bewerten. Durch weitere Schritte wie Lastenausgleich und Verwendung optimierter Abfragen können Leistung und Stabilität des Servers sichergestellt werden. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_executor_stats" für die Cloud SQL PostgreSQL-Instanz auf "off" festgelegt ist.

Beschreibung: Der PostgreSQL-Verwalter ist dafür verantwortlich, den vom PostgreSQL-Planer übergebenen Plan auszuführen. Der Executor verarbeitet den Plan rekursiv, um die erforderlichen Zeilen zu extrahieren. Das "log_executor_stats"-Flag steuert die Aufnahme von PostgreSQL-Executor-Leistungsstatistiken für die einzelnen Abfragen in die PostgreSQL-Protokolle. Das Flag "log_executor_stats" ermöglicht eine rohe Profilerstellungsmethode für die Protokollierung von PostgreSQL-Executor-Leistungsstatistiken, die auch bei der Problembehandlung nützlich sein können, kann die Anzahl der Protokolle erheblich erhöhen und einen Leistungsaufwand haben. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_min_error_statement" für die Cloud SQL PostgreSQL-Instanz auf "Error" oder höher festgelegt ist.

Beschreibung: Das Flag "log_min_error_statement" definiert die minimale Schweregrad der Nachricht, die als Fehlerausweisung betrachtet wird. Meldungen für Fehleranzeichen werden mit der SQL-Anweisung protokolliert. Gültige Werte sind "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "HINWEIS", "WARNUNG", "FEHLER", "LOG", "FATAL" und "PANIK". Jeder Schweregrad enthält die oben genannten nachfolgenden Ebenen. Achten Sie darauf, dass der Wert ERROR oder ein strengerer Wert festgelegt ist. Die Überwachung ist der Behandlung von Betriebsproblemen hilfreich und ermöglicht auch forensische Analysen. Wenn "log_min_error_statement" nicht auf den richtigen Wert festgelegt ist, werden Nachrichten möglicherweise nicht entsprechend als Fehlermeldungen klassifiziert. Wenn Sie allgemeine Protokollmeldungen als Fehlermeldungen in Betracht ziehen, ist es schwierig, tatsächliche Fehler zu finden und nur strengere Schweregrade zu berücksichtigen, da Fehlermeldungen möglicherweise tatsächliche Fehler überspringen, um ihre SQL-Anweisungen zu protokollieren. Das "log_min_error_statement"-Flag sollte auf "ERROR" oder strenger festgelegt werden. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_parser_stats" für die Cloud SQL PostgreSQL-Instanz auf "off" festgelegt ist.

Beschreibung: Der PostgreSQL Planner/Optimizer ist dafür verantwortlich, die Syntax der einzelnen vom Server empfangenen Abfragen zu analysieren und zu überprüfen. Wenn die Syntax korrekt ist, wird eine "Analysestruktur" erstellt, andernfalls wird ein Fehler generiert. Das "log_parser_stats"-Flag steuert die Aufnahme von Parser-Leistungsstatistiken für die einzelnen Abfragen in die PostgreSQL-Protokolle. Das Flag "log_parser_stats" ermöglicht eine rohe Profilerstellungsmethode für die Protokollierung von Analyseanalyse-Leistungsstatistiken, die zwar für die Problembehandlung nützlich sein können, die Anzahl der Protokolle kann erheblich erhöht werden und einen Leistungsaufwand haben. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_planner_stats" für die Cloud SQL PostgreSQL-Instanz auf "off" festgelegt ist.

Beschreibung: Dieselbe SQL-Abfrage kann auf mehrere Arten ausgeführt werden und dennoch unterschiedliche Ergebnisse erzeugen. Der PostgreSQL-Planner/Optimizer ist dafür verantwortlich, einen optimalen Ausführungsplan für die jeweilige Abfrage zu erstellen. Das "log_planner_stats"-Flag steuert die Aufnahme von PostgreSQL-Planner-Leistungsstatistiken für die einzelnen Abfragen in die PostgreSQL-Protokolle. Das Flag "log_planner_stats" ermöglicht eine grobe Profilerstellungsmethode für die Protokollierung von PostgreSQL Planner Leistungsstatistiken, die auch bei der Problembehandlung nützlich sein können, kann die Anzahl der Protokolle erheblich erhöhen und leistungsaufwendige Kosten haben. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_statement_stats" für die Cloud SQL PostgreSQL-Instanz auf "off" festgelegt ist.

Beschreibung: Das Flag "log_statement_stats" steuert die Einbeziehung von End-to-End-Leistungsstatistiken einer SQL-Abfrage in den PostgreSQL-Protokollen für jede Abfrage. Dies kann nicht mit anderen Modulstatistiken (log_parser_stats, log_planner_stats, log_executor_stats) aktiviert werden. Das "log_statement_stats"-Flag ermöglicht eine einfache Profilerstellungsmethode zum Protokollieren von End-to-End-Leistungsstatistiken einer SQL-Abfrage. Dies kann für die Problembehandlung hilfreich sein, kann aber die Anzahl der Protokolle erheblich erhöhen und leistungseinbußen haben. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Compute-Instanzen dürfen keine öffentlichen IP-Adressen aufweisen.

Beschreibung: Computeinstanzen sollten nicht für externe IP-Adressen konfiguriert werden. Um Ihre Angriffsfläche zu verringern, sollten Computeinstanzen keine öffentlichen IP-Adressen haben. Stattdessen sollten Instanzen hinter Lastenausgleichsmodulen konfiguriert werden, um die Gefährdung der Instanz im Internet zu minimieren. Instanzen, die von GKE erstellt wurden, sollten ausgeschlossen werden, da einige von ihnen externe IP-Adressen haben und nicht durch Bearbeiten der Instanzeinstellungen geändert werden können. Diese virtuellen Computer weisen Namen auf, die beginnen gke- und mit denen sie beschriftet goog-gke-nodewerden.

Schweregrad: hoch

Stellen Sie sicher, dass Instanzen nicht für die Verwendung des Standarddienstkontos konfiguriert sind.

Beschreibung: Es wird empfohlen, Ihre Instanz so zu konfigurieren, dass das Standardmäßige Compute Engine-Dienstkonto nicht verwendet wird, da sie über die Editor-Rolle im Projekt verfügt. Das standardmäßige Compute Engine-Dienstkonto verfügt über die Rolle "Bearbeiter" für das Projekt, die Lese- und Schreibzugriff auf die meisten Google-Clouddienste ermöglicht. Um sich vor Berechtigungseskalationen zu schützen, wenn Ihre VM kompromittiert ist, und um zu verhindern, dass ein Angreifer Zugriff auf alle Ihre Projekte erhält, empfiehlt es sich, das Standardmäßige Compute Engine-Dienstkonto nicht zu verwenden. Sie sollten stattdessen ein neues Dienstkonto erstellen und nur die für die jeweilige Instanz erforderlichen Berechtigungen zuweisen. Das Standardmäßige Compute Engine-Dienstkonto heißt [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Von GKE erstellte VMs sollten ausgeschlossen werden. Diese virtuellen Computer weisen Namen auf, die beginnen gke- und mit denen sie beschriftet goog-gke-nodewerden.

Schweregrad: hoch

Instanzen dürfen nicht zur Verwendung des standardmäßigen Dienstkontos mit Vollzugriff auf alle Cloud-APIs konfiguriert sein.

Beschreibung: Um das Prinzip der geringsten Rechte zu unterstützen und potenzielle Berechtigungseskalation zu verhindern, wird empfohlen, dass Instanzen nicht dem Standarddienstkonto "Compute Engine-Standarddienstkonto" mit dem Bereich "Vollzugriff auf alle Cloud-APIs zulassen" zugewiesen sind. Zusammen mit der Möglichkeit, benutzerdefinierte Dienstkonten von Benutzern optional zu erstellen, zu verwalten und zu verwenden, bietet Google Compute Engine standardmäßiges Dienstkonto "Compute Engine-Standarddienstkonto" für eine Instanz für den Zugriff auf erforderliche Clouddienste.

Dem standardmäßigen Compute Engine-Dienstkonto ist die Rolle "Projektbearbeiter" zugewiesen, daher verfügt dieses Dienstkonto über fast alle Berechtigungen für alle Clouddienste mit Ausnahme der Abrechnung. Wenn einer Instanz jedoch "Compute Engine-Standarddienstkonto" zugewiesen ist, kann es in drei Bereichen ausgeführt werden.

  • Standardzugriff zulassen: Ermöglicht nur den minimalen Zugriff, der zum Ausführen einer Instanz (geringste Rechte) erforderlich ist.
  • Vollzugriff auf alle Cloud-APIs zulassen: Vollzugriff auf alle Cloud-APIs/Dienste zulassen (zu viel Zugriff).
  • Festlegen des Zugriffs für jede API: Ermöglicht dem Instanzadministrator, nur die APIs auszuwählen, die erforderlich sind, um bestimmte Geschäftsfunktionen auszuführen, die von der Instanz erwartet werden.

Wenn eine Instanz mit dem Bereich "Compute Engine-Standarddienstkonto" mit dem Bereich "Vollzugriff auf alle Cloud-APIs zulassen" konfiguriert ist, basierend auf den dem Benutzer zugewiesenen IAM-Rollen, die auf Instance(en) zugreifen, kann es dem Benutzer ermöglichen, Cloudvorgänge/API-Aufrufe auszuführen, die nicht zu einer erfolgreichen Berechtigungseskalation führen sollen.

Von GKE erstellte VMs sollten ausgeschlossen werden. Diese virtuellen Computer weisen Namen auf, die beginnen gke- und mit denen sie beschriftet goog-gke-nodewerden.

Schweregrad: Mittel

Für Instanzen darf nicht die IP-Weiterleitung aktiviert sein.

Beschreibung: Die Compute Engine-Instanz kann ein Paket nur weiterleiten, wenn die Quell-IP-Adresse des Pakets mit der IP-Adresse der Instanz übereinstimmt. Ebenso überträgt GCP kein Paket, dessen Ziel-IP-Adresse nicht mit der IP-Adresse der Instanz übereinstimmt, die das Paket empfängt. Beide Berechtigungen sind jedoch erforderlich, wenn Sie Instanzen zum Weiterleiten von Paketen verwenden möchten. Die Weiterleitung von Datenpaketen sollte deaktiviert werden, um Datenverluste oder die Offenlegung von Informationen zu verhindern. Die Compute Engine-Instanz kann ein Paket nur weiterleiten, wenn die Quell-IP-Adresse des Pakets mit der IP-Adresse der Instanz übereinstimmt. Ebenso überträgt GCP kein Paket, dessen Ziel-IP-Adresse nicht mit der IP-Adresse der Instanz übereinstimmt, die das Paket empfängt. Beide Berechtigungen sind jedoch erforderlich, wenn Sie Instanzen zum Weiterleiten von Paketen verwenden möchten. Deaktivieren Sie zum Aktivieren dieser Quell- und Ziel-IP-Überprüfung das CanIpForward-Feld, mit dem eine Instanz Pakete mit nicht übereinstimmenden Ziel- oder Quell-IPs senden und empfangen kann.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflag "log_checkpoints" für die Cloud SQL PostgreSQL-Instanz auf "on" festgelegt ist.

Beschreibung: Stellen Sie sicher, dass das log_checkpoints-Datenbankkennzeichnung für die Cloud SQL PostgreSQL-Instanz aktiviert ist. Wenn Sie "log_checkpoints" aktivieren, werden Prüfpunkte und Neustartpunkte im Serverprotokoll protokolliert. In den Protokollmeldungen sind einige Statistiken enthalten, z. B. die Anzahl der geschriebenen Puffer und die Zeitdauer für das Schreiben der Puffer. Dieser Parameter kann nur in der Datei „postgresql.conf“ oder über die Serverbefehlszeile festgelegt werden. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_lock_waits" für die Cloud SQL PostgreSQL-Instanz auf "on" festgelegt ist.

Beschreibung: Durch Aktivieren des Flags "log_lock_waits" für eine PostgreSQL-Instanz wird ein Protokoll für alle Sitzungswartezeiten erstellt, die länger dauern als die zugewiesene "deadlock_timeout"-Zeit zum Abrufen einer Sperre. Das Deadlocktimeout definiert die Zeit, in der auf eine Sperre gewartet wird, bevor Bedingungen überprüft werden. Häufige Überschreitungen des Deadlocktimeouts können ein Hinweis auf ein zugrunde liegendes Problem sein. Das Protokollieren solcher Wartezeiten auf Sperren durch Aktivieren des log_lock_waits-Flags kann verwendet werden, um eine schlechte Leistung aufgrund von Sperrverzögerungen zu erkennen oder wenn eine speziell gestaltete SQL-Datei versucht, Ressourcen durch Halten von Sperren für übermäßige Zeit zu verhungern. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_min_duration_statement" für die Cloud SQL PostgreSQL-Instanz auf "-1" festgelegt ist.

Beschreibung: Das Flag "log_min_duration_statement" definiert die minimale Ausführungszeit einer Anweisung in Millisekunden, in der die Gesamtdauer der Anweisung protokolliert wird. Stellen Sie sicher, dass "log_min_duration_statement" deaktiviert ist, d. h. ein Wert von -1 festgelegt ist. Die Protokollierung von SQL-Anweisungen kann vertrauliche Informationen enthalten, die nicht in Protokollen aufgezeichnet werden sollten. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_min_messages" für die Cloud SQL PostgreSQL-Instanz ordnungsgemäß festgelegt ist.

Beschreibung: Das Flag "log_min_error_statement" definiert die minimale Schweregrad der Nachricht, die als Fehlerausweisung betrachtet wird. Meldungen für Fehleranzeichen werden mit der SQL-Anweisung protokolliert. Gültige Werte sind "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "HINWEIS", "WARNUNG", "FEHLER", "LOG", "FATAL" und "PANIK". Jeder Schweregrad enthält die oben genannten nachfolgenden Ebenen. Um die Protokollierung fehlgeschlagener Anweisungen effektiv zu deaktivieren, legen Sie diesen Parameter auf PANIC fest. Als optimale Einstellung hat sich ERROR bewährt. Änderungen sollten nur in Übereinstimmung mit der Protokollierungsrichtlinie der Organisation vorgenommen werden. Die Überwachung ist der Behandlung von Betriebsproblemen hilfreich und ermöglicht auch forensische Analysen. Wenn "log_min_error_statement" nicht auf den richtigen Wert festgelegt ist, werden Nachrichten möglicherweise nicht entsprechend als Fehlermeldungen klassifiziert. Wenn Sie allgemeine Protokollmeldungen als Fehlermeldungen in Betracht ziehen, ist es schwierig, tatsächliche Fehler zu finden, während sie nur strengere Schweregrade in Betracht ziehen, da Fehlermeldungen möglicherweise tatsächliche Fehler überspringen, um ihre SQL-Anweisungen zu protokollieren. Das Flag "log_min_error_statement" sollte in Übereinstimmung mit der Protokollierungsrichtlinie der Organisation festgelegt werden. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass die Datenbankkennzeichnung "log_temp_files" für die Sql-Sql-PostgreSQL-Instanz auf "0" festgelegt ist.

Beschreibung: PostgreSQL kann eine temporäre Datei für Aktionen wie Sortieren, Hashing und temporäre Abfrageergebnisse erstellen, wenn diese Vorgänge "work_mem" überschreiten. Das Flag "log_temp_files" steuert die Protokollierungsnamen und die Dateigröße, wenn sie gelöscht wird. Wenn "log_temp_files" auf 0 konfiguriert wird, werden alle temporären Dateiinformationen protokolliert. Bei positiven Werten werden nur Dateien protokolliert, deren Größe größer-gleich der angegebenen Anzahl von Kilobytes ist. Der Wert "-1" deaktiviert die Protokollierung temporärer Dateiinformationen. Wenn alle temporären Dateien nicht protokolliert werden, ist es möglicherweise schwieriger, potenzielle Leistungsprobleme zu identifizieren, die entweder aufgrund schlechter Anwendungscodierung oder absichtlicher Ressourcenhungerversuche zurückzuführen sind.

Schweregrad: Niedrig

VM-Datenträger für kritische VMs müssen mit kundenseitig bereitgestellten Verschlüsselungsschlüsseln verschlüsselt sein.

Beschreibung: Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK) sind ein Feature in Google Cloud Storage und Google Compute Engine. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen, verwendet Google Ihren Schlüssel, um die von Google generierten Schlüssel zu schützen, die zum Verschlüsseln und Entschlüsseln Ihrer Daten verwendet werden. Standardmäßig verschlüsselt Google Compute Engine alle ruhenden Daten. Compute Engine verarbeitet und verwaltet diese Verschlüsselung für Sie, ohne dass zusätzliche Aktionen ihrerseits erforderlich sind. Wenn Sie diese Verschlüsselung jedoch selbst steuern und verwalten möchten, können Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen. Standardmäßig verschlüsselt Google Compute Engine alle ruhenden Daten. Compute Engine verarbeitet und verwaltet diese Verschlüsselung für Sie, ohne dass zusätzliche Aktionen ihrerseits erforderlich sind. Wenn Sie diese Verschlüsselung jedoch selbst steuern und verwalten möchten, können Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel bereitstellen, verwendet Compute Engine Ihren Schlüssel, um die von Google generierten Schlüssel zu schützen, die zum Verschlüsseln und Entschlüsseln Ihrer Daten verwendet werden. Nur Benutzer, die den richtigen Schlüssel bereitstellen können, können Ressourcen verwenden, die durch einen vom Kunden bereitgestellten Verschlüsselungsschlüssel geschützt sind. Google speichert Ihre Schlüssel nicht auf seinen Servern und kann nicht auf Ihre geschützten Daten zugreifen, es sei denn, Sie stellen den Schlüssel bereit. Dies bedeutet auch, dass Es keine Möglichkeit gibt, den Schlüssel wiederherzustellen oder alle mit dem verlorenen Schlüssel verschlüsselten Daten wiederherzustellen, wenn Sie Ihren Schlüssel vergessen oder verlieren. Zumindest die VM-Datenträger von geschäftskritischen VMs sollten mit von Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsselt werden.

Schweregrad: Mittel

Für GCP-Projekte sollte die automatische Bereitstellung von Azure Arc aktiviert sein.

Beschreibung: Um den Sicherheitsinhalt von Microsoft Defender für Server vollständig sichtbar zu machen, sollten GCP-VM-Instanzen mit Azure Arc verbunden sein. Um sicherzustellen, dass alle berechtigten VM-Instanzen automatisch Azure Arc erhalten, aktivieren Sie die automatische Bereitstellung von Defender für Cloud auf GCP-Projektebene. Erfahren Sie mehr über Azure Arc und Microsoft Defender für Server.

Schweregrad: hoch

GCP VM-Instanzen sollten mit Azure Arc verbunden sein.

Beschreibung: Verbinden Sie Ihre virtuellen GCP-Computer mit Azure Arc, um vollständige Sichtbarkeit für Microsoft Defender for Servers-Sicherheitsinhalte zu erhalten. Erfahren Sie mehr über Azure Arc und Microsoft Defender für Server in einer hybriden Cloudumgebung.

Schweregrad: hoch

Auf GCP VM-Instanzen sollte der Betriebssystemkonfigurations-Agent installiert sein.

Beschreibung: Um die vollständigen Defender for Server-Funktionen mithilfe der automatischen Bereitstellung von Azure Arc zu erhalten, sollten GCP-VMs den Betriebssystemkonfigurations-Agent aktiviert haben.

Schweregrad: hoch

Das Feature für die automatische Reparatur des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar "key": "autoRepair", "value": true.

Schweregrad: Mittel

Das Feature für das automatische Upgrade des GKE-Clusters sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die Verwaltungseigenschaft eines Knotenpools für das Schlüsselwertpaar "key": "autoUpgrade", "value": true.

Schweregrad: hoch

Die Überwachung auf GKE-Clustern sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die monitoringService-Eigenschaft eines Clusters die Standort-Cloudüberwachung enthält, die zum Schreiben von Metriken verwendet werden soll.

Schweregrad: Mittel