Empfehlungen zur Datensicherheit
In diesem Artikel werden alle Empfehlungen zur Datensicherheit aufgeführt, die In Microsoft Defender für Cloud möglicherweise angezeigt werden.
Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.
Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.
Tipp
Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.
Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.
Azure-Datenempfehlungen
Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren
Beschreibung: Durch das Deaktivieren des Zugriffs auf öffentliche Netzwerke wird die Sicherheit verbessert, indem sichergestellt wird, dass Ihr Cosmos DB-Konto nicht im öffentlichen Internet verfügbar gemacht wird. Sie können die Offenlegung des Cosmos DB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen (Verwandte Richtlinie: Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren.)
Schweregrad: Mittel
(Bei Bedarf aktivieren) Azure Cosmos DB-Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/cosmosdb-cmk. (Verwandte Richtlinie: Azure Cosmos DB-Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln).
Schweregrad: Niedrig
(Bei Bedarf aktivieren) Azure Machine Learning-Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwalten Sie die Verschlüsselung ruhender Daten für Ihre Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln (CMKs). Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Häufig sind aber kundenseitig verwaltete Schlüssel (CMKs) zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/azureml-workspaces-cmk. (Verwandte Richtlinie: Azure Machine Learning-Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.
Schweregrad: Niedrig
Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen
Beschreibung: Das Festlegen der TLS-Version auf 1.2 oder höher verbessert die Sicherheit, indem sichergestellt wird, dass Ihre Azure SQL-Datenbank nur von Clients mit TLS 1.2 oder höher aufgerufen werden kann. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. (Verwandte Richtlinie: Azure SQL-Datenbank muss TLS Version 1.2 oder höher ausführen.)
Schweregrad: Mittel
Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren
Beschreibung: Das Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL verwaltete Instanz s verbessert die Sicherheit, indem sichergestellt wird, dass sie nur über ihre virtuellen Netzwerke oder über private Endpunkte darauf zugreifen können. Weitere Informationen zum Zugriff auf öffentliche Netzwerke. (Verwandte Richtlinie: Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren.)
Schweregrad: Mittel
Cosmos DB-Konten müssen Private Link verwenden
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Wenn private Endpunkte Ihrem Cosmos DB-Konto zugeordnet werden, werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen. (Verwandte Richtlinie: Cosmos DB-Konten müssen Private Link verwenden.)
Schweregrad: Mittel
(Bei Bedarf aktivieren) MySQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. (Verwandte Richtlinie: Bring your own key data protection should be enabled for MySQL servers).
Schweregrad: Niedrig
(Bei Bedarf aktivieren) PostgreSQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. (Verwandte Richtlinie: Bring your own key data protection should be enabled for PostgreSQL servers).
Schweregrad: Niedrig
(Bei Bedarf aktivieren) Sql managed instances should use customer-managed keys to encrypt data at rest
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. (Verwandte Richtlinie: Verwaltete SQL-Instanzen sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
Schweregrad: Niedrig
(Bei Bedarf aktivieren) SQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. (Verwandte Richtlinie: SQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.
Schweregrad: Niedrig
(Bei Bedarf aktivieren) Speicherkonten sollten für die Verschlüsselung vom Kunden verwalteten Schlüssel (CMK) verwenden.
Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Schützen Sie Ihr Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln (CMKs), und profitieren Sie von mehr Flexibilität. Wenn Sie einen CMK angeben, schützt und steuert dieser Schlüssel den Zugriff auf den Schlüssel, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von CMKs bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. (Verwandte Richtlinie: Speicherkonten sollten für die Verschlüsselung vom Kunden verwalteten Schlüssel (CMK) verwenden.
Schweregrad: Niedrig
In den Advanced Data Security-Einstellungen in SQL Managed Instance sollten alle Advanced Threat Protection-Typen aktiviert werden.
Beschreibung: Es wird empfohlen, alle erweiterten Bedrohungsschutztypen für Ihre verwalteten SQL-Instanzen zu aktivieren. Das Aktivieren aller Typen schützt vor einer Einschleusung von SQL-Befehlen, Datenbanksicherheitsrisiken und anderen anomalen Aktivitäten. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
In den Advanced Data Security-Einstellungen der SQL Server-Instanzen sollten alle Advanced Threat Protection-Typen aktiviert werden.
Beschreibung: Es wird empfohlen, alle erweiterten Bedrohungsschutztypen auf Ihren SQL-Servern zu aktivieren. Das Aktivieren aller Typen schützt vor einer Einschleusung von SQL-Befehlen, Datenbanksicherheitsrisiken und anderen anomalen Aktivitäten. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
API Management-Dienste müssen ein virtuelles Netzwerk verwenden
Beschreibung: Die Azure Virtual Network-Bereitstellung bietet erweiterte Sicherheit, Isolation und ermöglicht es Ihnen, Ihren API-Verwaltungsdienst in einem nicht in internetroutebaren Netzwerk zu platzieren, auf das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. (Verwandte Richtlinie: API-Verwaltungsdienste sollten ein virtuelles Netzwerk verwenden).
Schweregrad: Mittel
App Configuration sollte Private Link verwenden.
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. (Verwandte Richtlinie: Die App-Konfiguration sollte einen privaten Link verwenden).
Schweregrad: Mittel
Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein
Beschreibung: Sql-Server überwachen, die mit einem Aufbewahrungszeitraum von weniger als 90 Tagen konfiguriert sind. (Zugehörige Richtlinie: SQL Server-Instanzen müssen mit einer Aufbewahrungsdauer von 90 Tagen oder mehr konfiguriert werden)
Schweregrad: Niedrig
Die Überwachung in SQL Server muss aktiviert werden
Beschreibung: Aktivieren Sie die Überwachung auf Ihrem SQL Server, um Datenbankaktivitäten auf allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. (Verwandte Richtlinie: Die Überwachung auf SQL Server sollte aktiviert sein).
Schweregrad: Niedrig
Die automatische Bereitstellung des Log Analytics-Agents sollte für Abonnements aktiviert sein.
Beschreibung: Um Sicherheitsrisiken und Bedrohungen zu überwachen, sammelt Microsoft Defender für Cloud Daten von Ihren virtuellen Azure-Computern. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. (Verwandte Richtlinie: Die automatische Bereitstellung des Log Analytics-Agents sollte in Ihrem Abonnement aktiviert sein).
Schweregrad: Niedrig
Azure Cache for Redis muss sich in einem virtuellen Netzwerk befinden.
Beschreibung: Die Bereitstellung von Azure Virtual Network (VNet) bietet erweiterte Sicherheit und Isolation für Ihren Azure-Cache für Redis sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features, um den Zugriff weiter einzuschränken. Wenn eine Azure Cache for Redis-Instanz mit einem VNET konfiguriert wird, ist dieses nicht öffentlich adressierbar, und auf das VNET kann nur über virtuelle Computer und Anwendungen innerhalb des VNET zugegriffen werden. (Verwandte Richtlinie: Azure Cache für Redis sollte sich in einem virtuellen Netzwerk befinden).
Schweregrad: Mittel
Für Azure Database for MySQL muss ein Azure Active Directory-Administrator bereitgestellt werden.
Beschreibung: Stellen Sie einen Azure AD-Administrator für Ihre Azure-Datenbank für MySQL bereit, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung ermöglicht die vereinfachte Berechtigungsverwaltung und die zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste (verwandte Richtlinie: Ein Azure Active Directory-Administrator sollte für MySQL-Server bereitgestellt werden).
Schweregrad: Mittel
Für Azure Database for PostgreSQL muss ein Azure Active Directory-Administrator bereitgestellt werden.
Beschreibung: Stellen Sie einen Azure AD-Administrator für Ihre Azure-Datenbank für PostgreSQL bereit, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste.
(Verwandte Richtlinie: Ein Azure Active Directory-Administrator sollte für PostgreSQL-Server bereitgestellt werden.
Schweregrad: Mittel
Azure Database for PostgreSQL flexible Server sollte nur die Microsoft Entra-Authentifizierung aktiviert haben
Beschreibung: Das Deaktivieren lokaler Authentifizierungsmethoden und die Notwendigkeit der Microsoft Entra-Authentifizierung verbessert die Sicherheit, indem sichergestellt wird, dass auf die flexible Azure-Datenbank für PostgreSQL-Server nur von Microsoft Entra-Identitäten zugegriffen werden kann (verwandte Richtlinie: Azure PostgreSQL flexibler Server sollte microsoft Entra Only Authentication aktiviert sein).
Schweregrad: Mittel
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen.
Beschreibung: Firewallregeln sollten für Ihre Azure Cosmos DB-Konten definiert werden, um den Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. (Verwandte Richtlinie: Azure Cosmos DB-Konten sollten Firewallregeln haben).
Schweregrad: Mittel
Azure Event Grid-Domänen sollten Private Link verwenden.
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Event Grid-Domänen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. (Verwandte Richtlinie: Azure Event Grid-Domänen sollten private Verknüpfungen verwenden).
Schweregrad: Mittel
Azure Event Grid-Themen sollten Private Link verwenden.
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren privaten Endpunkten zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. (Verwandte Richtlinie: Azure Event Grid-Themen sollten einen privaten Link verwenden).
Schweregrad: Mittel
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden.
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Azure Machine Learning-Arbeitsbereichen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-privatelink. (Verwandte Richtlinie: Azure Machine Learning-Arbeitsbereiche sollten einen privaten Link verwenden).
Schweregrad: Mittel
Azure SignalR Service muss Private Link verwenden
Beschreibung: Mit Azure Private Link können Sie Ihr virtuelles Netzwerk ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure-Diensten verbinden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Da private Endpunkte nicht dem gesamten Dienst, sondern Ihren SignalR-Ressourcen zugeordnet werden, sind Sie außerdem vor Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. (Verwandte Richtlinie: Azure SignalR Service sollte einen privaten Link verwenden).
Schweregrad: Mittel
Azure Spring Cloud muss Netzwerkinjektion verwenden
Beschreibung: Azure Spring Cloud-Instanzen sollten die Einfügung virtueller Netzwerke für die folgenden Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben (Verwandte Richtlinie: Azure Spring Cloud sollte die Netzwerkeinfügung verwenden).
Schweregrad: Mittel
Für SQL Server sollte ein Azure Active Directory-Administrator bereitgestellt werden.
Beschreibung: Stellen Sie einen Azure AD-Administrator für Ihren SQL-Server bereit, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung ermöglicht eine vereinfachte Verwaltung von Berechtigungen und eine zentralisierte Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Diensten. (Verwandte Richtlinie: Ein Azure Active Directory-Administrator sollte für SQL-Server bereitgestellt werden.
Schweregrad: hoch
Der Authentifizierungsmodus von Azure Synapse Workspace darf nur die Azure Active Directory-Authentifizierung sein.
Beschreibung: Der Azure Synapse Workspace-Authentifizierungsmodus sollte nur Azure Active Directory-Authentifizierungsmethoden sein, um die Sicherheit zu verbessern, indem sichergestellt wird, dass Synapse-Arbeitsbereiche ausschließlich Azure AD-Identitäten für die Authentifizierung benötigen. Weitere Informationen (Verwandte Richtlinie: Synapse-Arbeitsbereiche sollten nur Azure Active Directory-Identitäten für die Authentifizierung verwenden).
Schweregrad: Mittel
Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden
Beschreibung: Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden
Beschreibung: Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden
Beschreibung: Defender für DevOps hat Infrastruktur als Codesicherheitskonfigurationsprobleme in Repositorys gefunden. Die unten gezeigten Probleme wurden in Vorlagendateien erkannt. Um den Sicherheitsstatus der zugehörigen Cloudressourcen zu verbessern, empfiehlt es sich dringend, diese Probleme zu beheben. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden
Beschreibung: Defender für DevOps hat in Coderepositorys einen geheimen Schlüssel gefunden. Dies sollte sofort behoben werden, um eine Sicherheitsverletzung zu verhindern. In Repositorys gefundene Geheimnisse können nach außen dringen oder von Angreifern entdeckt werden, was zur Kompromittierung einer Anwendung oder eines Dienstes führen kann. Für Azure DevOps überprüft das Microsoft Security DevOps CredScan-Tool nur Builds, in denen es für die Ausführung konfiguriert wurde. Daher spiegeln die Ergebnisse möglicherweise nicht den vollständigen Status von Geheimnissen in Ihren Repositorys wider. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Cognitive Services-Konten müssen die Datenverschlüsselung aktivieren
Beschreibung: Diese Richtlinie überprüft alle Cognitive Services-Konten, die keine Datenverschlüsselung verwenden. Für jedes Konto mit Speicher sollten Sie die Datenverschlüsselung mit vom Kunden verwaltetem oder von Microsoft verwaltetem Schlüssel aktivieren. (Verwandte Richtlinie: Cognitive Services-Konten sollten die Datenverschlüsselung aktivieren).
Schweregrad: Niedrig
Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder Datenverschlüsselung aktivieren
Beschreibung: Diese Richtlinie überprüft jedes Cognitive Services-Konto, das keine Speicher- oder Datenverschlüsselung des Kunden verwendet. Verwenden Sie für jedes Cognitive Services-Konto mit Speicher den kundeneigenen Speicher, oder aktivieren Sie die Datenverschlüsselung. Richtet sich an den Microsoft Cloud Security Benchmark. (Zugehörige Richtlinie: Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder Datenverschlüsselung aktivieren.)
Schweregrad: Niedrig
In Azure Data Lake Store sollten Diagnoseprotokolle aktiviert sein
Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle im Azure Data Lake Store sollten aktiviert sein).
Schweregrad: Niedrig
In Data Lake Analytics sollten Diagnoseprotokolle aktiviert sein
Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnoseprotokolle in Data Lake Analytics sollten aktiviert sein).
Schweregrad: Niedrig
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein
Beschreibung: Um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn eine potenzielle Sicherheitsverletzung in einem Ihrer Abonnements vorliegt, aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Defender für Cloud. (Verwandte Richtlinie: E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad sollten aktiviert sein).
Schweregrad: Niedrig
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein
Beschreibung: Um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn ein potenzieller Sicherheitsverstoß in ihrem Abonnement vorliegt, legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Defender für Cloud fest. (Verwandte Richtlinie: Die E-Mail-Benachrichtigung an den Abonnementbesitzer für Warnungen mit hohem Schweregrad sollte aktiviert sein).
Schweregrad: Mittel
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein
Beschreibung: Die Azure-Datenbank für MySQL unterstützt das Verbinden Ihrer Azure-Datenbank für MySQL-Server mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. (Verwandte Richtlinie: Ssl-Verbindung erzwingen sollte für MySQL-Datenbankserver aktiviert sein).
Schweregrad: Mittel
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein
Beschreibung: Azure Database for PostgreSQL unterstützt das Verbinden Ihrer Azure-Datenbank für PostgreSQL-Server mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. (Verwandte Richtlinie: Ssl-Verbindung erzwingen sollte für PostgreSQL-Datenbankserver aktiviert sein).
Schweregrad: Mittel
In Funktions-Apps sollten gefundene Sicherheitsrisiken behoben werden
Beschreibung: Überprüfung der Laufzeitsicherheit auf Funktionen überprüft Ihre Funktions-Apps auf Sicherheitsrisiken und macht detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer serverlosen Anwendungen erheblich verbessern und die Container vor Angriffen schützen. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein
Beschreibung: Mit Azure-Datenbank für MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Georedundante Sicherung sollte für Azure-Datenbank für MariaDB aktiviert sein.
Schweregrad: Niedrig
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein
Beschreibung: Mit Azure-Datenbank für MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Georedundante Sicherung sollte für Azure-Datenbank für MySQL aktiviert sein.
Schweregrad: Niedrig
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein
Beschreibung: Mit Azure-Datenbank für PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Georedundante Sicherung sollte für Azure-Datenbank für PostgreSQL aktiviert sein.
Schweregrad: Niedrig
Für GitHub-Repositorys muss das Codescannen aktiviert sein
Beschreibung: GitHub verwendet Codeüberprüfung, um Code zu analysieren, um Sicherheitsrisiken und Fehler im Code zu finden. Mit dem Codescannen können Sie Korrekturen für vorhandene Probleme in Ihrem Code suchen, selektieren und priorisieren. Durch das Codescannen wird außerdem verhindert, dass Entwickler neue Probleme einführen. Für Überprüfungen können bestimmte Tage und Uhrzeiten festgelegt werden, oder Überprüfungen können ausgelöst werden, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push. Wenn beim Codescannen ein potenzielles Sicherheitsrisiko oder ein Fehler im Code gefunden wird, zeigt GitHub eine Warnung im Repository an. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts zu beeinträchtigen. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Für GitHub-Repositorys muss das Dependabot-Scannen aktiviert sein
Beschreibung: GitHub sendet Dependabot-Warnungen, wenn sie Sicherheitsrisiken in Codeabhängigkeiten erkennt, die Sich auf Repositorys auswirken. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Wenn Code von einem Paket abhängt, das eine Sicherheitslücke aufweist, kann diese anfällige Abhängigkeit eine Reihe von Problemen verursachen. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Für GitHub-Repositorys muss das Geheimnisscannen aktiviert sein
Beschreibung: GitHub durchsucht Repositorys nach bekannten Arten von Geheimschlüsseln, um betrügerische Verwendung von Geheimschlüsseln zu verhindern, die versehentlich an Repositorys begangen wurden. Beim Geheimnisscannen wird der gesamte Git-Verlauf für alle Branches in Ihrem GitHub-Repository nach Geheimnissen durchsucht. Beispiele für Geheimnisse sind Token und private Schlüssel, die ein Dienstanbieter für die Authentifizierung ausstellen kann. Wenn ein Geheimnis in ein Repository eingefügt wird, kann jeder, der über Lesezugriff auf das Repository verfügt, das Geheimnis verwenden, um mit diesen Berechtigungen auf den externen Dienst zuzugreifen. Geheimnisse sollten in einem dedizierten, sicheren Speicherort außerhalb des Repositorys für das Projekt gespeichert werden. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Microsoft Defender für Azure SQL-Datenbank-Server muss aktiviert sein.
Beschreibung: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Dazu zählen die Funktionen zur Ermittlung und Verringerung potenzieller Datenbanksicherheitsrisiken, Erkennung anomaler Aktivitäten, die eine Bedrohung für Ihre Datenbank darstellen können, und Ermittlung und Klassifizierung vertraulicher Daten.
Auf der Seite "Defender-Pläne " werden Schutzmaßnahmen gegen diesen Plan in Rechnung gestellt. Wenn Sie in diesem Abonnement über keine Azure SQL-Datenbank-Server verfügen, werden Ihnen keine Gebühren in Rechnung gestellt. Wenn Sie später Azure SQL-Datenbank-Server in diesem Abonnement erstellen, werden diese automatisch geschützt, und ab diesem Zeitpunkt werden Gebühren abgerechnet. Weitere Informationen finden Sie in den Preisen pro Region.
Weitere Informationen finden Sie unter Einführung in Microsoft Defender für SQL. (Verwandte Richtlinie: Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert sein).
Schweregrad: hoch
Microsoft Defender für DNS muss aktiviert sein.
Beschreibung: Microsoft Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen von Ihren Azure-Ressourcen kontinuierlich überwacht werden. Defender für DNS warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für DNS. Bei Aktivierung dieses Defender-Plans fallen Gebühren an. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite von Defender für Cloud: Defender für Cloud-Preise. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Microsoft Defender für relationale Open-Source-Datenbanken muss aktiviert sein.
Beschreibung: Microsoft Defender für open-source relationale Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für relationale Open-Source-Datenbanken.
Das Aktivieren dieses Plans führt zu Gebühren für den Schutz Ihrer relationalen Open Source-Datenbanken. Wenn Sie in diesem Abonnement über keine relationalen Open-Source-Datenbanken verfügen, fallen keine Gebühren an. Wenn Sie relationale Open-Source-Datenbanken in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Abrechnung der Gebühren beginnt ab diesem Zeitpunkt. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Microsoft Defender für Resource Manager muss aktiviert sein.
Beschreibung: Microsoft Defender für Ressourcen-Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Defender für Cloud erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Resource Manager. Bei Aktivierung dieses Defender-Plans fallen Gebühren an. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite von Defender für Cloud: Defender für Cloud-Preise. (Keine zugehörige Richtlinie)
Schweregrad: hoch
Microsoft Defender für SQL auf Computern sollte in Arbeitsbereichen aktiviert sein
Beschreibung: Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Abwehrmechanismen für Ihre Windows- und Linux-Computer. Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Server. (Keine zugehörige Richtlinie)
Schweregrad: Mittel
Microsoft Defender für SQL-Server auf Computern muss aktiviert sein.
Beschreibung: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Dazu zählen die Funktionen zur Ermittlung und Verringerung potenzieller Datenbanksicherheitsrisiken, Erkennung anomaler Aktivitäten, die eine Bedrohung für Ihre Datenbank darstellen können, und Ermittlung und Klassifizierung vertraulicher Daten.
Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer SQL-Server auf Computern an. Wenn Sie in diesem Abonnement über keine SQL-Server auf Computer verfügen, fallen keine Gebühren an. Wenn Sie SQL-Server auf Computern in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt. Informieren Sie sich über Microsoft Defender für SQL-Server auf Computern. (Verwandte Richtlinie: Azure Defender für SQL-Server auf Computern sollte aktiviert sein).
Schweregrad: hoch
Microsoft Defender für SQL muss für nicht geschützte Azure SQL-Server aktiviert sein.
Beschreibung: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Es ermittelt und verringert potenzielle Datenbankschwachstellen, und es erkennt ungewöhnliche Aktivitäten, die auf eine Bedrohung für Ihre Datenbank hindeuten können. Microsoft Defender für SQL wird gemäß den Preisdetails pro Region abgerechnet. (Verwandte Richtlinie: Erweiterte Datensicherheit sollte auf Ihren SQL-Servern aktiviert sein.
Schweregrad: hoch
Microsoft Defender für SQL sollte für nicht geschützte verwaltete SQL-Instanzen aktiviert sein.
Beschreibung: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Es ermittelt und verringert potenzielle Datenbankschwachstellen, und es erkennt ungewöhnliche Aktivitäten, die auf eine Bedrohung für Ihre Datenbank hindeuten können. Microsoft Defender für SQL wird gemäß den Preisdetails pro Region abgerechnet. (Verwandte Richtlinie: Erweiterte Datensicherheit sollte in SQL-verwaltete Instanz aktiviert sein).
Schweregrad: hoch
Microsoft Defender für Storage muss aktiviert sein.
Beschreibung: Microsoft Defender für Speicher erkennt ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder diese auszunutzen.
Auf der Seite "Defender-Pläne " werden Schutzmaßnahmen gegen diesen Plan in Rechnung gestellt. Wenn Sie in diesem Abonnement über keine Azure Storage-Konten verfügen, fallen keine Gebühren an. Wenn Sie später Azure Storage-Konten in diesem Abonnement erstellen, werden diese automatisch geschützt, und ab diesem Zeitpunkt werden Gebühren abgerechnet. Weitere Informationen finden Sie in den Preisen pro Region. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Storage. (Verwandte Richtlinie: Azure Defender für Speicher sollte aktiviert sein).
Schweregrad: hoch
Network Watcher muss aktiviert sein
Beschreibung: Die Netzwerküberwachung ist ein regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in, in und von Azure aus überwachen und diagnostizieren können. Mit der Überwachung auf Szenarioebene können Sie Probleme in einer End-to-End-Ansicht auf Netzwerkebene diagnostizieren. Die Tools zur Netzwerkdiagnose und -visualisierung von Network Watcher helfen Ihnen dabei, Ihr Netzwerk in Azure zu verstehen, Diagnosen durchzuführen und Einblicke zu gewinnen. (Verwandte Richtlinie: Netzwerküberwachung sollte aktiviert sein).
Schweregrad: Niedrig
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein
Beschreibung: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure SQL-Datenbank aktiviert wird. (Verwandte Richtlinie: Private Endpunktverbindungen auf Azure SQL-Datenbank sollten aktiviert sein).
Schweregrad: Mittel
Privater Endpunkt muss für MariaDB-Server aktiviert sein
Beschreibung: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Verbindungen mit Azure-Datenbank für MariaDB aktiviert werden. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für MariaDB-Server aktiviert sein.
Schweregrad: Mittel
Privater Endpunkt muss für MySQL-Server aktiviert sein
Beschreibung: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Verbindungen mit Azure-Datenbank für MySQL aktiviert werden. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für MySQL-Server aktiviert sein).
Schweregrad: Mittel
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein
Beschreibung: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Verbindungen mit Azure-Datenbank für PostgreSQL aktiviert werden. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein.
Schweregrad: Mittel
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein
Beschreibung: Durch Deaktivieren der Eigenschaft für den Zugriff auf das öffentliche Netzwerk wird die Sicherheit verbessert, indem sichergestellt wird, dass ihre Azure SQL-Datenbank nur von einem privaten Endpunkt aus aufgerufen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. (Verwandte Richtlinie: Der Öffentliche Netzwerkzugriff auf Azure SQL-Datenbank sollte deaktiviert werden).
Schweregrad: Mittel
Öffentlicher Netzwerkzugriff muss für Cognitive Services-Konten deaktiviert sein
Beschreibung: Diese Richtlinie überprüft jedes Cognitive Services-Konto in Ihrer Umgebung mit aktivierten öffentlichen Netzwerkzugriffen. Der öffentliche Netzwerkzugriff muss deaktiviert werden, sodass nur Verbindungen von privaten Endpunkten aus zulässig sind. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für Cognitive Services-Konten deaktiviert werden.
Schweregrad: Mittel
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein
Beschreibung: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass Ihre Azure-Datenbank für MariaDB nur von einem privaten Endpunkt aus aufgerufen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für MariaDB-Server deaktiviert werden.
Schweregrad: Mittel
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein
Beschreibung: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass Ihre Azure-Datenbank für MySQL nur von einem privaten Endpunkt aus aufgerufen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für MySQL-Server deaktiviert werden.
Schweregrad: Mittel
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein
Beschreibung: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern und sicherzustellen, dass Ihre Azure-Datenbank für PostgreSQL nur von einem privaten Endpunkt aus aufgerufen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für PostgreSQL-Server deaktiviert werden.
Schweregrad: Mittel
Redis Cache sollte den Zugriff nur über SSL zulassen.
Beschreibung: Aktivieren Sie nur Verbindungen über SSL zum Redis-Cache. Durch die Verwendung sicheren Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. (Verwandte Richtlinie: Es sollten nur sichere Verbindungen mit Ihrem Azure-Cache für Redis aktiviert sein.
Schweregrad: hoch
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden
Beschreibung: Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und macht alle Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und nicht geschützten vertraulichen Daten verfügbar. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. Weitere Informationen (verwandte Richtlinie: Sicherheitsrisiken in Ihren SQL-Datenbanken sollten behoben werden).
Schweregrad: hoch
Für verwaltete SQL-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.
Beschreibung: Die Sicherheitsrisikobewertung kann potenzielle Datenbankrisiken ermitteln, nachverfolgen und beheben. (Verwandte Richtlinie: Die Sicherheitsrisikobewertung sollte für SQL-verwaltete Instanz aktiviert sein).
Schweregrad: hoch
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden
Beschreibung: Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und macht alle Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und nicht geschützten vertraulichen Daten verfügbar. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. Weitere Informationen (verwandte Richtlinie: Sicherheitsrisiken auf Ihren SQL-Servern auf dem Computer sollten behoben werden).
Schweregrad: hoch
Für SQL Server sollte ein Azure Active Directory-Administrator bereitgestellt werden.
Beschreibung: Stellen Sie einen Azure AD-Administrator für Ihren SQL-Server bereit, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung ermöglicht eine vereinfachte Verwaltung von Berechtigungen und eine zentralisierte Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Diensten. (Verwandte Richtlinie: Ein Azure Active Directory-Administrator sollte für SQL-Server bereitgestellt werden.
Schweregrad: hoch
Für SQL Server-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.
Beschreibung: Die Sicherheitsrisikobewertung kann potenzielle Datenbankrisiken ermitteln, nachverfolgen und beheben. (Verwandte Richtlinie: Die Sicherheitsrisikobewertung sollte auf Ihren SQL-Servern aktiviert sein.
Schweregrad: hoch
Das Speicherkonto muss eine Private Link-Verbindung verwenden
Beschreibung: Private Links erzwingen eine sichere Kommunikation, indem sie private Konnektivität mit dem Speicherkonto bereitstellt (verwandte Richtlinie: Speicherkonto sollte eine private Linkverbindung verwenden).
Schweregrad: Mittel
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden
Beschreibung: Um von neuen Funktionen im Azure Resource Manager zu profitieren, können Sie vorhandene Bereitstellungen aus dem klassischen Bereitstellungsmodell migrieren. Der Ressourcen-Manager ermöglicht Sicherheitsverbesserungen wie: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Weitere Informationen (verwandte Richtlinie: Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden).
Schweregrad: Niedrig
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern
Beschreibung: Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen. (Verwandte Richtlinie: Richtlinie)
Schweregrad: Mittel
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken
Beschreibung: Schützen Sie Ihre Speicherkonten vor potenziellen Bedrohungen, indem Sie virtuelle Netzwerkregeln als bevorzugte Methode anstelle von IP-basierten Filtern verwenden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. (Verwandte Richtlinie: Speicherkonten sollten den Netzwerkzugriff mithilfe von Regeln für virtuelle Netzwerke einschränken).
Schweregrad: Mittel
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.
Beschreibung: Um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn eine potenzielle Sicherheitsverletzung in einem Ihrer Abonnements vorliegt, legen Sie einen Sicherheitskontakt fest, um E-Mail-Benachrichtigungen von Defender for Cloud zu erhalten. (Zugehörige Richtlinie: Abonnements müssen eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme aufweisen)
Schweregrad: Niedrig
Transparent Data Encryption für SQL-Datenbanken aktivieren
Beschreibung: Aktivieren Sie die transparente Datenverschlüsselung zum Schutz ruhender Daten und erfüllen Sie die Complianceanforderungen (verwandte Richtlinie: Transparente Datenverschlüsselung in SQL-Datenbanken sollte aktiviert sein).
Schweregrad: Niedrig
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden
Beschreibung: Vorlagen für vm Image Builder überwachen, die kein virtuelles Netzwerk konfiguriert haben. Wenn ein virtuelles Netzwerk nicht konfiguriert ist, wird stattdessen eine öffentliche IP erstellt und verwendet, die Ressourcen direkt für das Internet verfügbar macht und die potenzielle Angriffsfläche erhöht. (Verwandte Richtlinie: VM Image Builder-Vorlagen sollten einen privaten Link verwenden).
Schweregrad: Mittel
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein.
Beschreibung: Bereitstellen der Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen zur zusätzlichen Überprüfung des eingehenden Datenverkehrs. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. (Verwandte Richtlinie: Die Webanwendungsfirewall (WAF) sollte für das Anwendungsgateway aktiviert sein.
Schweregrad: Niedrig
Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein
Beschreibung: Bereitstellen der Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen zur zusätzlichen Überprüfung des eingehenden Datenverkehrs. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. (Zugehörige Richtlinie: Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein)
Schweregrad: Niedrig
AWS-Datenempfehlungen
Für Amazon Aurora-Cluster sollte die Rückverfolgung aktiviert sein.
Beschreibung: Mit diesem Steuerelement wird überprüft, ob Amazon Aurora-Cluster die Zurückverfolgung aktiviert haben. Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie erhöhen außerdem die Resilienz Ihrer Systeme. Die Aurora-Rückverfolgung reduziert die Zeit für die Wiederherstellung einer Datenbank auf einen bestimmten Zeitpunkt. Dafür ist keine Datenbankwiederherstellung erforderlich. Weitere Informationen zur Rückverfolgung in Aurora finden Sie unter Rückverfolgung eines Aurora-Datenbankclusters im Amazon Aurora-Benutzerhandbuch.
Schweregrad: Mittel
Amazon EBS-Momentaufnahmen sollten nicht öffentlich wiederherstellbar sein.
Beschreibung: Amazon EBS-Momentaufnahmen sollten nicht von jedem öffentlich wiederhergestellt werden können, es sei denn, es ist explizit zulässig, um versehentliche Gefährdung von Daten zu vermeiden. Sie sollten außerdem sicherstellen, dass die Berechtigung zum Ändern von Amazon EBS-Konfigurationen auf autorisierte AWS-Konten beschränkt ist.
Schweregrad: hoch
Amazon ECS-Aufgabendefinitionen müssen sichere Netzwerkmodi und Benutzerdefinitionen aufweisen.
Beschreibung: Dieses Steuerelement überprüft, ob eine aktive Amazon ECS-Aufgabendefinition, die den Hostnetzwerkmodus enthält, auch privilegierte oder Benutzercontainerdefinitionen aufweist. Die Kontrolle schlägt fehl für Aufgabendefinitionen, welche einen Host-Netzwerkmodus haben und Containerdefinitionen, bei denen „privileged=false“ oder leer und „user=root“ oder leer ist. Wenn eine Aufgabendefinition erhöhte Berechtigungen hat, liegt dies daran, dass der Kunde sich speziell für diese Konfiguration entschieden hat. Dieses Steuerelement sucht nach einer unerwarteten Berechtigungseskalation, wenn eine Aufgabendefinition Hostnetzwerke aktiviert hat, sich der Kunde jedoch nicht für erhöhte Berechtigungen entscheidet.
Schweregrad: hoch
Amazon Elasticsearch Service-Domänen sollten zwischen Knoten gesendete Daten verschlüsseln.
Beschreibung: Dieses Steuerelement überprüft, ob Amazon ES-Domänen die Node-zu-Knoten-Verschlüsselung aktiviert haben. Mithilfe von HTTPS (TLS) können potenzielle Angreifer daran gehindert werden, den Netzwerkdatenverkehr über Man-in-the-Middle- oder ähnliche Angriffe abzuhören oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch das Aktivieren der Knoten-zu-Knoten-Verschlüsselung für Amazon ES-Domänen wird sichergestellt, dass die Kommunikation innerhalb von Clustern bei der Übertragung verschlüsselt wird. Dieser Konfiguration kann zu Leistungseinbußen führen. Bevor Sie diese Option aktivieren, sollten Sie die Leistung testen und die Einbußen kennen.
Schweregrad: Mittel
Für Amazon Elasticsearch Service-Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein.
Beschreibung: Es ist wichtig, Verschlüsselungen rest von Amazon ES-Domänen zu aktivieren, um vertrauliche Daten zu schützen.
Schweregrad: Mittel
Die Amazon RDS-Datenbank sollte mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden.
Beschreibung: Diese Überprüfung identifiziert RDS-Datenbanken, die mit standard-KMS-Schlüsseln verschlüsselt sind und nicht mit vom Kunden verwalteten Schlüsseln. Als führende Methode verwenden Sie kundenseitig verwaltete Schlüssel, um die Daten in Ihren RDS-Datenbanken zu verschlüsseln und die Kontrolle über Ihre Schlüssel und Daten in vertraulichen Workloads zu behalten.
Schweregrad: Mittel
Die Amazon RDS-Instanz sollte mit Einstellungen für die automatische Sicherung konfiguriert werden.
Beschreibung: Diese Überprüfung identifiziert RDS-Instanzen, die nicht mit der Einstellung für die automatische Sicherung festgelegt sind. Wenn „Automatische Sicherung“ festgelegt ist, erstellt RDS eine Speichervolume-Momentaufnahme Ihrer Datenbankinstanz, wobei die gesamte Datenbankinstanz und nicht nur einzelne Datenbanken gesichert werden, die eine Point-in-Time-Wiederherstellung ermöglichen. Die automatische Sicherung erfolgt während der angegebenen Zeit des Sicherungsfensters und hält die Sicherungen für einen begrenzten Zeitraum, wie im Aufbewahrungszeitraum definiert. Es wird empfohlen, automatische Sicherungen für Ihre kritischen RDS-Server festzulegen, die beim Datenwiederherstellungsprozess helfen.
Schweregrad: Mittel
Amazon Redshift-Cluster sollten die Überwachungsprotokollierung aktiviert haben.
Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon Redshift-Cluster die Überwachungsprotokollierung aktiviert hat. Die Amazon Redshift-Überwachungsprotokollierung bietet zusätzliche Informationen zu Verbindungen und Benutzeraktivitäten in Ihrem Cluster. Diese Daten können in Amazon S3 gespeichert und gesichert werden, und sie können bei Sicherheitsüberwachungen und -untersuchungen hilfreich sein. Weitere Informationen finden Sie unter Datenbanküberwachungsprotokollierung im Amazon Redshift-Clusterverwaltungshandbuch.
Schweregrad: Mittel
Für Amazon Redshift-Cluster sollten automatische Momentaufnahmen aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob Amazon Redshift-Cluster automatisierte Momentaufnahmen aktiviert haben. Sie prüft außerdem, ob der Aufbewahrungszeitraum für Momentaufnahmen mindestens sieben Tage umfasst. Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie erhöhen die Resilienz Ihrer Systeme. Amazon Redshift erfasst standardmäßig regelmäßige Momentaufnahmen. Diese Kontrolle überprüft, ob automatische Momentaufnahmen aktiviert sind und für mindestens sieben Tage aufbewahrt werden. Weitere Informationen zu automatisierten Momentaufnahmen von Amazon Redshift finden Sie im Amazon Redshift Cluster Management Guide.
Schweregrad: Mittel
Amazon Redshift-Cluster sollten den öffentlichen Zugriff untersagen.
Beschreibung: Wir empfehlen Amazon Redshift-Clustern, um die öffentliche Barrierefreiheit zu vermeiden, indem das Feld "öffentlich Zugänglich" im Clusterkonfigurationselement ausgewertet wird.
Schweregrad: hoch
Für Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob automatische Upgrades der Hauptversion für den Amazon Redshift-Cluster aktiviert sind. Durch das Aktivieren automatischer Upgrades der Hauptversion wird sichergestellt, dass die neuesten Hauptversionsupdates für Amazon Redshift-Cluster während des Wartungsfensters installiert werden. Diese Updates umfassen möglicherweise Sicherheitspatches und Bugfixes. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.
Schweregrad: Mittel
Amazon SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein.
Beschreibung: Dieses Steuerelement überprüft, ob Amazon SQS-Warteschlangen im Ruhezustand verschlüsselt sind. Die serverseitige Verschlüsselung (Server-Side Encryption, SSE) ermöglicht Ihnen die Übertragung vertraulicher Daten in verschlüsselten Warteschlangen. Um den Inhalt von Nachrichten in Warteschlangen zu schützen, verwendet SSE Schlüssel, die im AWS-KMS verwaltet werden. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Entwicklerhandbuch von Amazon Simple Queue Service (SQS).
Schweregrad: Mittel
Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Clusterereignisse konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement vorhanden ist, das Benachrichtigungen für den folgenden Quelltyp aktiviert hat: Schlüssel-Wert-Paare der Ereigniskategorie. DBCluster: [Wartung und Fehler]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.
Schweregrad: Niedrig
Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Datenbankinstanzereignisse konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBInstance
: [Wartung, Konfigurationsänderung und Fehler].
RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen.
Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.
Schweregrad: Niedrig
Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Datenbankparametergruppen-Ereignisse konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBParameterGroup: [„Konfiguration“ und „Änderung“]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.
Schweregrad: Niedrig
Ein RDS-Ereignisbenachrichtigungsabonnement muss für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBSecurityGroup: [Konfiguration, Änderung, Fehler]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.
Schweregrad: Niedrig
Protokollierung der API-Gateway-REST- und WebSocket-API sollte aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob alle Phasen einer Amazon API-Gateway-REST- oder WebSocket-API protokollierungsfähig sind. Die Kontrolle schlägt fehl, wenn die Protokollierung nicht für alle Methoden einer Stufe aktiviert ist oder wenn der Protokolliergrad weder FEHLER noch INFO ist. Für die REST- oder WebSocket-API-Phasen des API-Gateways sollten relevante Protokolle aktiviert sein. Die API Gateway-REST- und WebSocket-API-Ausführungsprotokollierung stellt detaillierte Datensätze von Anforderungen bereit, die an API Gateway-REST- und WebSocket-API-Phasen gesendet werden. Die Phasen umfassen Antworten auf das Back-End der API-Integration, Lambda-Autorisierungsantworten und die requestId für AWS-Integrationsendpunkte.
Schweregrad: Mittel
REST-API-Cachedaten des API-Gateways im Ruhezustand müssen verschlüsselt werden.
Beschreibung: Dieses Steuerelement überprüft, ob alle Methoden in API-Gateway-REST-API-Phasen verschlüsselt sind, die den Cache aktiviert haben. Die Kontrolle schlägt fehl, wenn eine Methode in einer API Gateway-REST-API-Phase für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Durch das Verschlüsseln ruhender Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Benutzer auf Daten zugreift, die auf dem Datenträger gespeichert sind. Es fügt einen weiteren Satz von Zugriffssteuerungen hinzu, um den Zugriff nicht autorisierter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. REST-API-Caches des API-Gateways sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu bieten.
Schweregrad: Mittel
REST-API-Stufen des API-Gateways sollten konfiguriert sein, um SSL-Zertifikate für die Back-End-Authentifizierung zu verwenden.
Beschreibung: Dieses Steuerelement überprüft, ob REST-API-Phasen des Amazon API-Gateways SSL-Zertifikate konfiguriert haben. Back-End-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anforderungen vom API-Gateway stammen. REST-API-Stufen des API-Gateways sollten mit SSL-Zertifikaten konfiguriert werden, damit Back-End-Systeme authentifizieren können, dass Anforderungen vom API-Gateway stammen.
Schweregrad: Mittel
Für die REST-API-Phasen des API-Gateways sollte die Ablaufverfolgung von AWS X-Ray aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob die aktive AWS X-Ray-Ablaufverfolgung für Ihre REST-API-Phasen des Amazon API-Gateways aktiviert ist. Die aktive X-Ray-Ablaufverfolgung ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer fehlenden Verfügbarkeit der API führen. Die aktive X-Ray-Ablaufverfolgung bietet Echtzeitmetriken von Benutzeranforderungen, die Ihre API Gateway-REST-API-Vorgänge und verbundenen Dienste durchlaufen.
Schweregrad: Niedrig
Das API-Gateway muss einer AWS WAF Web-ACL zugeordnet werden.
Beschreibung: Dieses Steuerelement überprüft, ob eine API-Gatewayphase eine AWS WAF Web Access Control List (ACL) verwendet. Diese Kontrolle schlägt fehl, wenn eine AWS WAF-Web-ACL nicht an eine REST-API-Gateway-Stufe angefügt ist. AWS WAF ist eine Web Application Firewall, die Webanwendungen und APIs vor Angriffen schützt. Sie können damit eine ACL konfigurieren, bei der es sich um einen Satz von Regeln handelt, die Webanforderungen basierend auf von Ihnen definierten anpassbaren Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API Gateway-Stufe einer AWS WAF-Web-ACL zugeordnet ist, um sie vor böswilligen Angriffen zu schützen.
Schweregrad: Mittel
Die Protokollierung von Anwendungs- und klassischen Load Balancers sollte aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob der Anwendungslastenausgleich und der klassische Lastenausgleichsmodul die Protokollierung aktiviert haben. Das Steuerelement schlägt fehl, wenn access_logs.s3.enabled
"false" ist.
Der elastische Lastenausgleich bietet Zugriffsprotokolle, die detaillierte Informationen zu den an Ihren Load Balancer gesendeten Anforderungen erfassen. Jedes Protokoll enthält Informationen wie z. B. den Zeitpunkt, zu dem die Anforderung empfangen wurde, die IP-Adresse des Clients, Latenzen, Anforderungspfade und Serverantworten. Sie können Zugriffsprotokolle verwenden, um Datenverkehrsmuster zu analysieren und Probleme zu beheben.
Weitere Informationen finden Sie im Benutzerhandbuch für klassische Load Balancer unter Zugriffsprotokolle für Ihren klassischen Load Balancer.
Schweregrad: Mittel
Angefügte EBS-Volumes sollten im Ruhezustand verschlüsselt sein.
Beschreibung: Dieses Steuerelement überprüft, ob die EBS-Volumes verschlüsselt sind, die sich in einem angefügten Zustand befinden. Um diese Kontrolle zu bestehen, müssen EBS-Volumes aktiv und verschlüsselt sein. Wenn das EBS-Volume nicht angefügt ist, wird es nicht überprüft. Um eine weitere Sicherheitsebene für Ihre sensiblen Daten auf EBS-Volumes hinzuzufügen, sollten Sie die EBS-Verschlüsselung im Ruhezustand aktivieren. Die Amazon EBS-Verschlüsselung bietet eine unkomplizierte Verschlüsselungslösung für Ihre EBS-Ressourcen, für die Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, verwalten und sichern müssen. Sie verwendet AWS KMS-Kundenhauptschlüssel (Customer Master Keys, CMK) bei der Erstellung verschlüsselter Volumes und Momentaufnahmen. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.
Schweregrad: Mittel
AWS Database Migration Service-Replikationsinstanzen sollten nicht öffentlich sein.
Beschreibung: Um Ihre replizierten Instanzen vor Bedrohungen zu schützen. Eine private Replikationsinstanz sollte über eine private IP-Adresse verfügen, auf die außerhalb des Replikationsnetzwerks nicht zugegriffen werden kann. Eine Replikationsinstanz sollte eine private IP-Adresse aufweisen, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden und das Netzwerk über ein VPN, über AWS Direct Connect oder über VPC-Peering mit der VPC der Replikationsinstanz verbunden ist. Stellen Sie außerdem sicher, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz auf autorisierte Benutzer begrenzt ist. Schränken Sie hierzu die IAM-Benutzerberechtigungen zum Ändern von AWS DMS-Einstellungen und -Ressourcen ein.
Schweregrad: hoch
Classic Load Balancer-Listener sollten mit HTTPS- oder TLS-Abschluss konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob Die Listener des klassischen Lastenausgleichs mit HTTPS oder TLS-Protokoll für Front-End-Verbindungen (Client zum Lastenausgleich) konfiguriert sind. Die Kontrolle ist anwendbar, wenn ein Classic Load Balancer Listener aufweist. Wenn für Ihren Classic Load Balancer kein Listener konfiguriert ist, meldet die Kontrolle keine Ergebnisse. Die Kontrolle gilt als bestanden, wenn die Classic Load Balancer-Listener für Front-End-Verbindungen mit TLS oder HTTPS konfiguriert sind. Die Kontrolle verursacht einen Fehler, wenn der Listener für Front-End-Verbindungen nicht mit TLS oder HTTPS konfiguriert ist. Bevor Sie mit der Verwendung eines Lastenausgleichs beginnen, müssen Sie mindestens einen Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den konfigurierten Port für die Suche nach Verbindungsanforderungen verwendet. Listener können sowohl HTTP- als auch HTTPS-/TLS-Protokolle unterstützen. Sie sollten immer einen HTTPS- oder TLS-Listener verwenden, damit der Lastenausgleich die Verschlüsselung und Entschlüsselung bei der Übertragung durchführt.
Schweregrad: Mittel
Für klassische Load Balancer sollte der Verbindungsausgleich aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob klassische Lastenausgleichsgeräte verbindungsend aktiviert sind. Durch aktivieren der Verbindungsentlastung auf klassischen Lastenausgleichsmodulen wird sichergestellt, dass das Lastenausgleichsmodul keine Anforderungen mehr an Instanzen sendet, die die Registrierung aufheben oder fehlerhaft sind. Die vorhandenen Verbindungen werden offen gehalten. Dies ist nützlich für Instanzen in Gruppen mit automatischer Skalierung, um sicherzustellen, dass Verbindungen nicht plötzlich getrennt werden.
Schweregrad: Mittel
Für CloudFront-Verteilungen sollte der AWS-WAF aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob CloudFront-Verteilungen entweder AWS WAF- oder AWS WAFv2-Web-ACLs zugeordnet sind. Die Kontrolle schlägt fehl, wenn die Verteilung keiner Web-ACL zugeordnet ist. AWS WAF ist eine Web Application Firewall, die Webanwendungen und APIs vor Angriffen schützt. Sie können damit einen Satz von Regeln konfigurieren, die als Web-Zugriffssteuerungsliste (Web Access Control List, Web-ACL) bezeichnet werden und Webanforderungen basierend auf von Ihnen definierten anpassbaren Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre CloudFront-Verteilung einer AWS WAF-Web-ACL zugeordnet ist, um sie vor bösartigen Angriffen zu schützen.
Schweregrad: Mittel
Für CloudFront-Verteilungen sollte die Protokollierung aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob die Serverzugriffsprotokollierung für CloudFront-Verteilungen aktiviert ist. Die Kontrolle schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. CloudFront-Zugriffsprotokolle stellen detaillierte Informationen zu jeder Benutzeranforderung bereit, die CloudFront empfängt. Jedes Protokoll enthält Informationen wie das Datum und die Uhrzeit des Empfangs der Anforderung, die IP-Adresse des Viewers, der die Anforderung gestellt hat, die Quelle der Anforderung und die Portnummer der Anforderung des Viewers. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsüberwachungen und forensische Untersuchungen nützlich. Weitere Informationen zum Analysieren von Zugriffsprotokollen finden Sie unter Abfragen von Amazon CloudFront-Protokollen im Amazon Athena-Benutzerhandbuch.
Schweregrad: Mittel
CloudFront-Verteilungen sollten die Verschlüsselung bei der Übertragung erfordern.
Beschreibung: Dieses Steuerelement überprüft, ob für eine Amazon CloudFront-Verteilung Benutzer HTTPS direkt verwenden müssen oder ob die Umleitung verwendet wird. Die Kontrolle verursacht einen Fehler, wenn „ViewerProtocolPolicy“ für „defaultCacheBehavior“ oder „cacheBehaviors“ auf „allow-all“ festgelegt ist. Mithilfe von HTTPS (TLS) kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln.
Schweregrad: Mittel
CloudTrail-Protokolle sollten im Ruhezustand mit CMKs in KMS verschlüsselt werden.
Beschreibung: Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Durch die Konfiguration von CloudTrail für die Verwendung von SSE-KMS werden weitere Vertraulichkeitskontrollen für Protokolldaten bereitgestellt: Ein Benutzer muss die S3-Leseberechtigung für den entsprechenden Protokollbucket besitzen und durch die CMK-Richtlinie eine Entschlüsselungsberechtigung erhalten.
Schweregrad: Mittel
Verbindungen mit Amazon Redshift-Clustern sollten bei der Übertragung verschlüsselt werden.
Beschreibung: Dieses Steuerelement überprüft, ob Verbindungen mit Amazon Redshift-Clustern für die Verwendung der Verschlüsselung bei der Übertragung erforderlich sind. Die Überprüfung schlägt fehl, wenn der Amazon Redshift-Clusterparameter require_SSL nicht auf 1 festgelegt ist. Mithilfe von TLS kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Es sollten nur verschlüsselte Verbindungen über TLS zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln.
Schweregrad: Mittel
Verbindungen mit Elasticsearch-Domänen sollten mit TLS 1.2 verschlüsselt werden.
Beschreibung: Dieses Steuerelement überprüft, ob Verbindungen mit Elasticsearch-Domänen erforderlich sind, um TLS 1.2 zu verwenden. Die Überprüfung schlägt fehl, wenn die TLSSecurityPolicy der Elasticsearch-Domäne nicht Policy-Min-TLS-1-2-2019-07 ist. Mithilfe von HTTPS (TLS) kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln. TLS 1.2 bietet gegenüber früheren Versionen von TLS mehrere Sicherheitsverbesserungen.
Schweregrad: Mittel
Für DynamoDB-Tabellen sollte die Point-in-Time-Wiederherstellung aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob die Point-in-Time-Wiederherstellung (PITR) für eine AmazonDb-Tabelle aktiviert ist. Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie erhöhen außerdem die Resilienz Ihrer Systeme. Durch die Point-in-Time-Wiederherstellung von DynamoDB werden Sicherungen für DynamoDB-Tabellen automatisiert. So wird die Wiederherstellungszeit nach versehentlichen Lösch- oder Schreibvorgängen verringert. DynamoDB-Tabellen mit PITR-Aktivierung können auf einen beliebigen Zeitpunkt in den letzten 35 Tagen wiederhergestellt werden.
Schweregrad: Mittel
Die EBS-Standardverschlüsselung sollte aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store(Amazon EBS) aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene nicht aktiviert ist. Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden Amazon EBS-Volumes und Momentaufnahmekopien im Ruhezustand verschlüsselt. Dadurch wird eine weitere Schutzebene für Ihre Daten hinzugefügt. Weitere Informationen finden Sie unter Standardmäßige Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.
Die folgenden Instanztypen unterstützen keine Verschlüsselung: R1, C1 und M1.
Schweregrad: Mittel
Für Elastic Beanstalk-Umgebungen sollte die erweiterte Integritätsberichterstellung aktiviert sein.
Beschreibung: Mit diesem Steuerelement wird überprüft, ob die erweiterte Integritätsberichterstattung für Ihre AWS Elastic Beanstalk-Umgebungen aktiviert ist. Die erweiterte Integritätsberichterstellung für Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Änderungen an der Integrität der zugrunde liegenden Infrastruktur. Diese Änderungen können zu fehlender Verfügbarkeit der Anwendung führen. Die erweiterte Integritätsberichterstellung für Elastic Beanstalk stellt einen Statusdeskriptor bereit, um den Schweregrad der identifizierten Probleme zu messen und mögliche Ursachen für die Untersuchung zu ermitteln. Der Elastic Beanstalk-Integritätsagent, der in unterstützten Amazon Machine Images (AMIs) enthalten ist, wertet Protokolle und Metriken von EC2-Umgebungsinstanzen aus.
Schweregrad: Niedrig
Updates für die verwaltete Elastic Beanstalk-Plattform sollten aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob verwaltete Plattformupdates für die Elastic Beanstalk-Umgebung aktiviert sind. Die Aktivierung von verwalteten Plattform-Updates stellt sicher, dass die neuesten verfügbaren Plattform-Fixes, Updates und Features für die Umgebung installiert sind. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.
Schweregrad: hoch
Ein elastischer Lastenausgleich (ELB) sollte kein ACM-Zertifikat haben, das abgelaufen ist oder in 90 Tagen abläuft.
Beschreibung: Diese Überprüfung identifiziert Elastic Load Balancers (ELB), die ACM-Zertifikate verwenden, die in 90 Tagen abgelaufen oder ablaufen. AWS Certificate Manager (ACM) ist das bevorzugte Tool zum Bereitstellen und Verwalten Ihrer Serverzertifikate. Mit ACM. Sie können ein Zertifikat anfordern oder ein vorhandenes ACM- oder externes Zertifikat für AWS-Ressourcen bereitstellen. Als bewährte Methode wird empfohlen, ablaufende/abgelaufene Zertifikate neu zu importieren und dabei die ELB-Zuordnungen des ursprünglichen Zertifikats beizubehalten.
Schweregrad: hoch
Die Fehlerprotokollierung der Elasticsearch-Domänen in CloudWatch Logs sollte aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen so konfiguriert sind, dass Fehlerprotokolle an CloudWatch Logs gesendet werden. Sie sollten Fehlerprotokolle für Elasticsearch-Domänen aktivieren und diese Protokolle zur Aufbewahrung und Antwort an CloudWatch Logs senden. Domänenfehlerprotokolle können bei Sicherheits- und Zugriffsüberprüfungen und bei der Diagnose von Verfügbarkeitsproblemen helfen.
Schweregrad: Mittel
Elasticsearch-Domänen müssen mit mindestens drei dedizierten Masterknoten konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen mit mindestens drei dedizierten Masterknoten konfiguriert sind. Diese Kontrolle schlägt fehl, wenn die Domäne keine dedizierten Masterknoten verwendet. Diese Kontrolle wird bestanden, wenn Elasticsearch-Domänen über fünf dedizierte Masterknoten verfügen. Die Verwendung von mehr als drei Masterknoten ist jedoch möglicherweise nicht erforderlich, um das Verfügbarkeitsrisiko zu verringern, und es führt zu weiteren Kosten. Eine Elasticsearch-Domäne erfordert mindestens drei dedizierte Masterknoten für Hochverfügbarkeit und Fehlertoleranz. Dedizierte Masterknotenressourcen können bei Blau/Grün-Bereitstellungen von Datenknoten überlastet werden, da weitere Knoten zu verwalten sind. Durch die Bereitstellung einer Elasticsearch-Domäne mit mindestens drei dedizierten Masterknoten wird eine ausreichende Ressourcenkapazität für Masterknoten und Clustervorgänge sichergestellt, wenn ein Knoten ausfällt.
Schweregrad: Mittel
Elasticsearch-Domänen sollten mindestens drei Datenknoten aufweisen.
Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen mit mindestens drei Datenknoten konfiguriert sind und zoneAwarenessEnabled wahr ist. Eine Elasticsearch-Domäne erfordert mindestens drei Datenknoten für hohe Verfügbarkeit und Fehlertoleranz. Durch die Bereitstellung einer Elasticsearch-Domäne mit mindestens drei Datenknoten können Clustervorgänge fortfahren, wenn ein Knoten fehlschlägt.
Schweregrad: Mittel
Für Elasticsearch-Domänen sollte die Überwachungsprotokollierung aktiviert sein.
Beschreibung: Mit diesem Steuerelement wird überprüft, ob die Elasticsearch-Domänen die Überwachungsprotokollierung aktiviert haben. Diese Kontrolle schlägt fehl, wenn für eine Elasticsearch-Domäne die Überwachungsprotokollierung nicht aktiviert ist. Überwachungsprotokolle sind in hohem Maße anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren Elasticsearch-Clustern nachzuverfolgen, einschließlich Authentifizierungserfolge und -fehler, Anforderungen an OpenSearch, Indexänderungen und eingehende Suchabfragen.
Schweregrad: Mittel
Die erweiterte Überwachung sollte für RDS-Datenbankinstanzen und -Cluster konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob die erweiterte Überwachung für Ihre RDS DB-Instanzen aktiviert ist. In Amazon RDS ermöglicht die erweiterte Überwachung eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können dazu führen, dass Daten nicht verfügbar sind. Die erweiterte Überwachung bietet Echtzeitmetriken für das Betriebssystem, auf dem Ihre RDS-Datenbankinstanz ausgeführt wird. Ein Agent wird für die Instanz installiert. Der Agent kann Metriken genauer abrufen als dies auf Hypervisorebene möglich ist. Erweiterte Überwachungsmetriken sind hilfreich, wenn Sie anzeigen möchten, wie die CPU durch verschiedene Prozesse oder Threads einer Datenbankinstanz verwendet wird. Weitere Informationen finden Sie unter Erweiterte Überwachung im Amazon RDS-Benutzerhandbuch.
Schweregrad: Niedrig
Für kundenseitig erstellte CMKs muss die Rotation aktiviert sein.
Beschreibung: AWS Schlüsselverwaltungsdienst (KMS) ermöglicht es Kunden, den Sicherungsschlüssel zu drehen, der im KMS gespeichertes Schlüsselmaterial ist, das an die Schlüssel-ID des vom Kunden erstellten Kundenmasterschlüssels (CMK) gebunden ist. Es ist der Sicherungsschlüssel, der zum Ausführen kryptografischer Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Die automatisierte Schlüsselrotation behält derzeit alle vorherigen Sicherungsschlüssel bei, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation zu aktivieren. Das Drehen von Verschlüsselungsschlüsseln trägt dazu bei, die potenziellen Auswirkungen eines kompromittierten Schlüssels zu verringern, da mit einem neuen Schlüssel verschlüsselte Daten nicht mit einem vorherigen Schlüssel zugegriffen werden kann, der möglicherweise verfügbar gemacht wurde.
Schweregrad: Mittel
Für den CloudTrail-S3-Bucket muss die Zugriffsprotokollierung für S3-Buckets aktiviert sein.
Beschreibung: S3 Bucket-Zugriffsprotokollierung generiert ein Protokoll, das Zugriffsdatensätze enthält, sicherstellen, dass die S3-Bucketzugriffsprotokollierung im CloudTrail S3-Bucket für jede Anforderung aktiviert ist, die an Ihren S3-Bucket vorgenommen wurde. Ein Zugriffsprotokolldatensatz enthält Details zur Anforderung, z. B. den Anforderungstyp, die in der Anforderung angegebene Ressource, sowie die Uhrzeit und das Datum der Verarbeitung der Anforderung. Es wird empfohlen, die Bucketzugriffsprotokollierung für den CloudTrail S3-Bucket zu aktivieren. Durch aktivieren der S3-Bucket-Protokollierung für Ziel-S3-Buckets ist es möglich, alle Ereignisse zu erfassen, die sich auf Objekte innerhalb von Ziel-Buckets auswirken können. Das Konfigurieren von Protokollen, die in einem separaten Bucket platziert werden sollen, ermöglicht den Zugriff auf Protokollinformationen, die für Workflows zur Sicherheits- und Vorfallreaktion hilfreich sein können.
Schweregrad: Niedrig
Stellen Sie sicher, dass der zum Speichern von CloudTrail-Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist.
Beschreibung: CloudTrail protokolliert einen Datensatz aller API-Aufrufe, die in Ihrem AWS-Konto getätigt wurden. Diese Protokolldateien werden in einem S3-Bucket gespeichert. Es wird empfohlen, dass die Bucketrichtlinie oder Zugriffssteuerungsliste (Access Control List, ACL) auf den S3-Bucket angewendet wird, den CloudTrail protokolliert, um den öffentlichen Zugriff auf die CloudTrail-Protokolle zu verhindern. Das Zulassen des öffentlichen Zugriffs auf CloudTrail-Protokollinhalte kann einen Angreifer bei der Identifizierung von Schwachstellen bei der Verwendung oder Konfiguration des betroffenen Kontos unterstützen.
Schweregrad: hoch
IAM sollte nicht über abgelaufene SSL/TLS-Zertifikate verfügen.
Beschreibung: Diese Überprüfung identifiziert abgelaufene SSL/TLS-Zertifikate. Zum Aktivieren von HTTPS-Verbindungen mit Ihrer Website oder Anwendung in AWS benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Durch Entfernen abgelaufener SSL/TLS-Zertifikate wird das Risiko der versehentlichen Bereitstellung eines ungültigen Zertifikats für eine Ressource wie AWS Elastic Load Balancer (ELB) beseitigt, die die Glaubwürdigkeit der Anwendung/Website hinter der ELB beeinträchtigen kann. Diese Überprüfung generiert Warnungen, wenn in AWS IAM abgelaufene SSL/TLS-Zertifikate gespeichert sind. Als bewährte Methode wird empfohlen, abgelaufene Zertifikate zu löschen.
Schweregrad: hoch
Importierte ACM-Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ACM-Zertifikate in Ihrem Konto innerhalb von 30 Tagen für den Ablauf gekennzeichnet sind. Es werden sowohl importierte Zertifikate als auch Zertifikate überprüft, die vom AWS Certificate Manager bereitgestellt werden. ACM kann Zertifikate, welche die DNS-Validierung verwenden, automatisch erneuern. Für Zertifikate, welche die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail für die Domänenüberprüfung antworten. Außerdem verlängert ACM Zertifikate, die Sie importieren, nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern. Weitere Informationen zur verwalteten Verlängerung von ACM-Zertifikaten finden Sie im Benutzerhandbuch für den AWS Certificate Manager unter Verwaltete Erneuerung für ACM-Zertifikate.
Schweregrad: Mittel
Überdimensionierte Identitäten in Konten sollten untersucht werden, um den Index der schleichenden Berechtigungsausweitung (Permission Creep Index, PCI) zu reduzieren.
Beschreibung: Überbereitstellungsidentitäten in Konten sollten untersucht werden, um den Permission Creep Index (PCI) zu reduzieren und Ihre Infrastruktur zu schützen. Reduzieren Sie die PCI, indem Sie die nicht verwendeten Zuweisungen von Berechtigungen mit hohem Risiko entfernen. High PCI spiegelt das Risiko wider, das den Identitäten mit Berechtigungen zugeordnet ist, die ihre normale oder erforderliche Nutzung überschreiten.
Schweregrad: Mittel
Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob automatische Nebenversionsupgrades für die RDS-Datenbankinstanz aktiviert sind. Durch das Aktivieren automatischer Upgrades für Nebenversionen wird sichergestellt, dass die neuesten Nebenversionsupdates für das Managementsystem für relationale Datenbanken (Relational Database Management System, RDBMS) installiert sind. Diese Upgrades können Sicherheitspatches und Fehlerbehebungen enthalten. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.
Schweregrad: hoch
RDS-Clustermomentaufnahmen und -Datenbankmomentaufnahmen sollten im Ruhezustand verschlüsselt sein.
Beschreibung: Dieses Steuerelement überprüft, ob RDS DB-Momentaufnahmen verschlüsselt sind. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Momentaufnahmen von Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Clustern erzeugen. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Die Verschlüsselung ruhender Daten verringert das Risiko, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf dem Datenträger gespeichert sind. Daten in RDS-Momentaufnahmen sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu bieten.
Schweregrad: Mittel
Für RDS-Cluster sollte der Löschschutz aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob RDS-Cluster den Löschschutz aktiviert haben. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Das Aktivieren des Clusterlöschschutzes ist eine weitere Schutzebene vor versehentlichem Löschen oder Löschen durch eine nicht autorisierte Entität. Wenn der Löschschutz aktiviert ist, kann ein RDS-Cluster nicht gelöscht werden. Bevor eine Löschanforderung erfolgreich ausgeführt werden kann, muss der Löschschutz deaktiviert werden.
Schweregrad: Niedrig
RDS-Datenbankcluster müssen für mehrere Verfügbarkeitszonen konfiguriert werden.
Beschreibung: RDS DB-Cluster sollten für mehrere gespeicherte Daten konfiguriert werden. Die Bereitstellung über mehrere Verfügbarkeitszonen ermöglicht die Automatisierung der Verfügbarkeitszonen, um die Verfügbarkeit des Failovers im Falle von Verfügbarkeitsproblemen einer Verfügbarkeitszone und bei regelmäßigen RDS-Wartungsereignissen sicherzustellen.
Schweregrad: Mittel
RDS-Datenbankcluster sollten so konfiguriert werden, dass Tags in Momentaufnahmen kopiert werden.
Beschreibung: Die Identifizierung und Bestandsaufnahme Ihrer IT-Ressourcen ist ein wichtiger Aspekt der Governance und Sicherheit. Sie benötigen Sichtbarkeit aller RDS-Datenbankcluster, damit Sie deren Sicherheitsstatus bewerten und Maßnahmen zu potenziellen Schwachstellen ergreifen können. Momentaufnahmen sollten auf die gleiche Weise markiert werden wie ihre übergeordneten RDS-Datenbankcluster. Durch Aktivieren dieser Einstellung wird sichergestellt, dass Momentaufnahmen die Tags ihrer übergeordneten Datenbankcluster erben.
Schweregrad: Niedrig
RDS-Datenbankinstanzen sollten so konfiguriert werden, dass Tags in Momentaufnahmen kopiert werden.
Beschreibung: Dieses Steuerelement überprüft, ob RDS DB-Instanzen so konfiguriert sind, dass alle Tags in Momentaufnahmen kopiert werden, wenn die Momentaufnahmen erstellt werden. Identifikation und Inventar Ihrer IT-Ressourcen sind ein entscheidender Aspekt von Governance und Sicherheit. Sie benötigen Sichtbarkeit aller RDS-Datenbankinstanzen, damit Sie deren Sicherheitsstatus bewerten und Maßnahmen zu potenziellen Schwachstellen ergreifen können. Momentaufnahmen sollten auf die gleiche Weise markiert werden wie ihre übergeordneten RDS-Datenbankinstanzen. Durch Aktivieren dieser Einstellung wird sichergestellt, dass Momentaufnahmen die Tags ihrer übergeordneten Datenbankinstanzen erben.
Schweregrad: Niedrig
RDS-Datenbankinstanzen sollten mit mehreren Verfügbarkeitszonen konfiguriert werden.
Beschreibung: Dieses Steuerelement überprüft, ob hohe Verfügbarkeit für Ihre RDS DB-Instanzen aktiviert ist. RDS-Datenbankinstanzen sollten für mehrere Verfügbarkeitszonen (VZ) konfiguriert werden. Hierdurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Bereitstellungen mit mehreren Verfügbarkeitszonen ermöglichen ein automatisiertes Failover bei einem Problem mit der Verfügbarkeit einer Verfügbarkeitszone und während der regulären RDS-Wartung.
Schweregrad: Mittel
Für RDS-Datenbankinstanzen sollte der Löschschutz aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob Ihre RDS DB-Instanzen, die eines der aufgeführten Datenbankmodule verwenden, einen Löschschutz aktiviert haben. Das Aktivieren des Instanzlöschschutzes ist eine weitere Schutzebene vor versehentlichem Löschen oder Löschen durch eine nicht autorisierte Entität. Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Bevor eine Löschanforderung erfolgreich ausgeführt werden kann, muss der Löschschutz deaktiviert werden.
Schweregrad: Niedrig
Für RDS-Datenbankinstanzen sollte die Verschlüsselung im Ruhezustand aktiviert sein.
Beschreibung: Dieses Steuerelement überprüft, ob die Speicherverschlüsselung für Ihre Amazon RDS DB-Instanzen aktiviert ist. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Um eine zusätzliche Sicherheitsebene für Ihre vertraulichen Daten in RDS-Datenbankinstanzen zu erhalten, sollten Sie Ihre RDS-Datenbankinstanzen so konfigurieren, dass sie im Ruhezustand verschlüsselt werden. Aktivieren Sie die Verschlüsselungsoption für Ihre RDS-Datenbankinstanzen, um Ihre RDS-Datenbankinstanzen und ruhenden Momentaufnahmen zu verschlüsseln. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugrunde liegenden Speicher für Datenbankinstanzen, seine automatisierten Sicherungen, Lesereplikate und Momentaufnahmen. Verschlüsselte RDS-Datenbankinstanzen verwenden den offenen AES-256-Standardverschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre RDS-Datenbankinstanzen gehostet werden. Nachdem Ihre Daten verschlüsselt wurden, verwaltet Amazon RDS die Authentifizierung des Zugriffs und der Entschlüsselung Ihrer Daten transparent mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbankclientanwendungen nicht ändern, um die Verschlüsselung zu verwenden. Die Amazon RDS-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar. Die Amazon RDS-Verschlüsselung ist für die meisten Datenbankinstanzklassen verfügbar. Weitere Informationen zu Datenbankinstanzklassen, die keine Amazon RDS-Verschlüsselung unterstützen, finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.
Schweregrad: Mittel
RDS DB-Instanzen sollten den öffentlichen Zugriff untersagen.
Beschreibung: Es wird empfohlen, auch sicherzustellen, dass der Zugriff auf die Konfiguration Ihrer RDS-Instanz nur auf autorisierte Benutzer beschränkt ist, indem Sie die BERECHTIGUNGEN von BENUTZERN einschränken, um die Einstellungen und Ressourcen von RDS-Instanzen zu ändern.
Schweregrad: hoch
RDS-Momentaufnahmen sollten den öffentlichen Zugriff untersagen.
Beschreibung: Es wird empfohlen, nur autorisierte Prinzipale für den Zugriff auf die Momentaufnahme zuzulassen und die Amazon RDS-Konfiguration zu ändern.
Schweregrad: hoch
Entfernen nicht verwendeter Geheimnisse des Secrets Managers
Beschreibung: Dieses Steuerelement überprüft, ob innerhalb einer bestimmten Anzahl von Tagen auf Ihre geheimen Schlüssel zugegriffen wurde. Der Standardwert beträgt 90 Tage. Wenn innerhalb der definierten Anzahl von Tagen nicht auf ein Geheimnis zugegriffen wurde, schlägt diese Kontrolle fehl. Das Löschen von nicht verwendeten Geheimnissen ist genauso wichtig wie das Rotieren von Geheimnissen. Nicht verwendete Geheimnisse können von ihren früheren Benutzern missbraucht werden, die keinen Zugriff mehr auf diese Geheimnisse benötigen. Wenn zusätzlich mehr Benutzer Zugriff auf ein Geheimnis erhalten, kann es auch sein, dass jemand es falsch behandelt und es an eine nicht autorisierte Entität durchsickert, was das Missbrauchsrisiko erhöht. Das Löschen nicht verwendeter Geheimnisse hilft dabei, den Zugriff auf Geheimnisse für Benutzer zu widerrufen, die ihn nicht mehr benötigen. Es trägt auch dazu bei, die Kosten für die Verwendung des Secrets Managers zu senken. Daher ist es wichtig, nicht verwendete Geheimnisse routinemäßig zu löschen.
Schweregrad: Mittel
Für S3-Buckets muss die regionsübergreifende Replikation aktiviert sein.
Beschreibung: Durch aktivieren der regionsübergreifenden S3-Replikation wird sichergestellt, dass mehrere Versionen der Daten in unterschiedlichen Regionen verfügbar sind. So können Sie Ihren S3-Bucket vor DDoS-Angriffen und Datenbeschädigungen schützen.
Schweregrad: Niedrig
Für S3-Buckets muss die serverseitige Verschlüsselung aktiviert sein.
Beschreibung: Aktivieren Sie die serverseitige Verschlüsselung, um Daten in Ihren S3-Buckets zu schützen. Durch die Verschlüsselung der Daten kann der Zugriff auf vertrauliche Daten im Falle einer Datenpanne verhindert werden.
Schweregrad: Mittel
Secrets Manager-Geheimnisse, die mit automatischer Rotation konfiguriert wurden, sollten erfolgreich rotiert werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein geheimer AWS Secrets Manager-Schlüssel basierend auf dem Rotationszeitplan erfolgreich gedreht wurde. Die Kontrolle schlägt fehl, wenn RotationOccurringAsScheduledFALSE ist. Die Kontrolle wertet keine Geheimnisse aus, für die keine Rotation konfiguriert ist. Der Secrets Manager hilft Ihnen, den Sicherheitsstatus Ihrer Organisation zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldeinformationen, Kennwörter und API-Schlüssel von Drittanbietern. Sie können den Secrets Manager verwenden, um Geheimnisse zentral zu speichern, Geheimnisse automatisch zu verschlüsseln, den Zugriff auf Geheimnisse zu steuern und Geheimnisse sicher und automatisch zu rotieren. Der Secrets Manager kann Geheimnisse rotieren. Sie können die Rotation verwenden, um Geheimnisse mit langer Gültigkeitsdauer durch kurzlebigere Geheimnisse zu ersetzen. Das Rotieren Ihrer Geheimnisse schränkt ein, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig rotieren. Zusätzlich zur Konfiguration von Geheimnissen für die automatische Rotation sollten Sie sicherstellen, dass diese Geheimnisse basierend auf dem Rotationszeitplan erfolgreich rotiert werden. Weitere Informationen zur Rotation finden Sie unter Rotieren Ihrer AWS Secrets Manager-Geheimnisse im AWS Secrets Manager-Benutzerhandbuch.
Schweregrad: Mittel
Geheimnisse des Geheimnis-Managers müssen innerhalb einer angegebenen Anzahl von Tagen rotiert werden.
Beschreibung: Dieses Steuerelement überprüft, ob Ihre geheimen Schlüssel mindestens einmal innerhalb von 90 Tagen gedreht wurden. Das Rotieren von Geheimnissen kann Ihnen helfen, das Risiko einer unbefugten Verwendung Ihrer Geheimnisse in Ihrem AWS-Konto zu verringern. Beispiele sind Datenbankanmeldeinformationen, Kennwörter, Drittanbieter-API-Schlüssel und sogar beliebiger Text. Wenn Sie Ihre Geheimnisse über einen längeren Zeitraum nicht ändern, wird die Wahrscheinlichkeit der Kompromittierung der Geheimnisse immer größer. Da immer mehr Benutzer Zugriff auf ein Geheimnis erhalten, wird es immer wahrscheinlicher, dass jemand es falsch behandelt und es an eine nicht autorisierte Entität durchsickert. Geheimnisse können über Protokolle und Cachedaten durchsickern. Sie können zum Zweck des Debuggens freigegeben und nach Abschluss des Debuggens nicht geändert oder widerrufen werden. Aus all diesen Gründen sollten Geheimnisse häufig rotiert werden. Sie können Ihre Geheimnisse für die automatische Rotation im AWS Secrets Manager konfigurieren. Mit der automatischen Rotation können Sie Geheimnisse mit langfristiger Gültigkeitsdauer durch kurzlebigere Geheimnisse ersetzen und so das Risiko einer Kompromittierung erheblich verringern. Der Security Hub empfiehlt, die Rotation für Ihre Geheimnisse im Secrets Manager zu aktivieren. Weitere Informationen zur Rotation finden Sie unter Rotieren Ihrer AWS Secrets Manager-Geheimnisse im AWS Secrets Manager-Benutzerhandbuch.
Schweregrad: Mittel
SNS-Themen sollten im Ruhezustand mit AWS KMS verschlüsselt werden.
Beschreibung: Dieses Steuerelement überprüft, ob ein SNS-Thema mit AWS KMS verschlüsselt ist. Durch das Verschlüsseln ruhender Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Benutzer auf Daten zugreift, die auf dem Datenträger gespeichert sind. Außerdem wird ein weiterer Satz von Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten für eine zusätzliche Sicherheitsebene verschlüsselt werden. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Entwicklerhandbuch des Amazon Simple Notification Service.
Schweregrad: Mittel
VPC Flow Logs sollte in allen VPCs aktiviert sein.
Beschreibung: FLOW Logs bieten Einblicke in den Netzwerkdatenverkehr, der durch das STEUERELEMENT durchläuft, und kann verwendet werden, um anomale Datenverkehr oder Einblicke während Sicherheitsereignissen zu erkennen.
Schweregrad: Mittel
Empfehlungen für GCP-Daten
Stellen Sie sicher, dass das Datenbankflag "3625 (Ablaufverfolgungsflag)" für die Cloud SQL SQL Server-Instanz auf "Off" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "3625 (Ablaufverfolgungskennzeichnung)" für die Cloud SQL Server-Instanz auf "aus" festzulegen. Ablaufverfolgungskennzeichnungen werden häufig verwendet, um Leistungsprobleme zu diagnostizieren oder gespeicherte Prozeduren oder komplexe Computersysteme zu debuggen, aber sie können auch von Microsoft-Support empfohlen werden, verhalten zu beheben, das sich negativ auf eine bestimmte Workload auswirkt. Alle dokumentierten Ablaufverfolgungsflags und die, die vom Microsoft-Support empfohlen werden, werden in Produktionsumgebungen vollständig unterstützt, wenn sie gemäß der Anweisungen verwendet werden. "3625(Ablaufverfolgungsprotokoll)" Schränkt die Menge der Informationen ein, die an Benutzer zurückgegeben werden, die keine Mitglieder der festen Serverrolle "sysadmin" sind, indem die Parameter einiger Fehlermeldungen mithilfe von "******" maskiert werden. Dadurch kann verhindert werden, dass vertrauliche Informationen offen gelegt werden. Daher wird empfohlen, dieses Flag zu deaktivieren. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: Mittel
Stellen Sie sicher, dass das Datenbankflag "Externe Skripts aktiviert" für die Cloud SQL SQL Server-Instanz auf "off" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "externe Skripts aktiviert" für die Cloud SQL SQL Server-Instanz auf "deaktiviert" festzulegen. Mit "Externe Skripts aktiviert" wird die Ausführung von Skripts mit bestimmten Remotespracherweiterungen aktiviert. Diese Eigenschaft ist standardmäßig deaktiviert. Beim Setup kann diese Eigenschaft optional auf TRUE festgelegt werden, wenn Advanced Analytics Services installiert wird. Da das Feature "Externe Skripts aktiviert" zulässt, dass Skripts außerhalb von SQL, z. B. Dateien, die sich in einer R-Bibliothek befinden, ausgeführt werden, was sich negativ auf die Sicherheit des Systems auswirken kann, sollte das Feature deaktiviert werden. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: hoch
Stellen Sie sicher, dass das Datenbankflag "Remotezugriff" für die Cloud SQL SQL Server-Instanz auf "off" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "Remotezugriff" für die Sql Server-Instanz von Cloud SQL Server auf "aus" festzulegen. Die Option "Remotezugriff" steuert die Ausführung gespeicherter Prozeduren von lokalen oder Remoteservern, auf denen SQL Server-Instanzen ausgeführt werden. Der Standardwert für diese Option ist 1. Damit wird die Berechtigung zum Ausführen lokal gespeicherter Prozeduren von Remoteservern aus oder zum Ausführen remote gespeicherter Prozeduren vom lokalen Server aus erteilt. Um zu verhindern, dass lokal gespeicherte Prozeduren von einem Remoteserver aus oder remote gespeicherte Prozeduren auf dem lokalen Server ausgeführt werden können, muss diese Option deaktiviert werden. Mithilfe der Option "Remotezugriff" können Sie die Ausführung lokal gespeicherter Prozeduren auf Remoteservern sowie remote gespeicherter Prozeduren auf lokalen Servern verwalten. Die Funktion "Remotezugriff" kann missbraucht werden, um einen Denial-of-Service-Angriff (DoS) auf Remoteservern zu starten, indem die Abfrageverarbeitung auf ein Ziel verlagert wird. Daher sollte die Funktion deaktiviert werden. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: hoch
Stellen Sie sicher, dass das Datenbankflag "skip_show_database" für die Cloud SQL MySQL-Instanz auf "on" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "skip_show_database" für cloud SQL Mysql-Instanz auf "Ein" festzulegen. Das Datenbankflagge "skip_show_database" verhindert, dass Benutzer die SHOW DATABASES-Anweisung verwenden, wenn sie nicht über die Berechtigungen "SHOW DATABASES" verfügen. Dies kann die Sicherheit verbessern, wenn Sie Bedenken haben, dass Benutzer Datenbanken sehen können, die anderen Benutzern gehören. Die Auswirkung hängt von der SHOW DATABASES-Berechtigung ab: Wenn der Variablenwert ON ist, ist die SHOW DATABASES-Anweisung nur für Benutzer zulässig, die über die Berechtigung SHOW DATABASES verfügen, und die Anweisung zeigt alle Datenbanknamen an. Wenn der Wert OFF ist, ist SHOW DATABASES für alle Benutzer zulässig. Es werden jedoch nur die Namen der Datenbanken angezeigt, für die der Benutzer über die Berechtigung SHOW DATABASES oder eine andere Berechtigung verfügt. Diese Empfehlung gilt für MySQL-Datenbankinstanzen.
Schweregrad: Niedrig
Stellen Sie sicher, dass für alle BigQuery-Datasets ein vom Kunden verwalteter Standardverschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) angegeben ist.
Beschreibung: BigQuery verschlüsselt die Daten standardmäßig als Rest, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Die Daten werden mit den Datenverschlüsselungsschlüsseln verschlüsselt, und die Datenverschlüsselungsschlüssel selbst werden mit Schlüsselverschlüsselungsschlüsseln weiter verschlüsselt. Dieser Vorgang ist nahtlos und erfordert keine zusätzliche Eingabe vom Benutzer. Wenn Sie jedoch mehr Kontrolle haben möchten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Datasets verwendet werden. BigQuery verschlüsselt standardmäßig ruhende Daten, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Dies ist nahtlos und erfordert keine zusätzlichen Eingaben des Benutzers. Um mehr Kontrolle über die Verschlüsselung zu erhalten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Datasets verwendet werden. Durch Festlegen eines standardmäßigen vom Kunden verwalteten Verschlüsselungsschlüssels für ein Dataset wird sichergestellt, dass alle in Zukunft erstellten Tabellen den angegebenen Verschlüsselungsschlüssel verwenden, wenn kein anderer Schlüssel angegeben wird.
Google speichert Ihre Schlüssel nicht auf seinen Servern und kann nicht auf Ihre geschützten Daten zugreifen, es sei denn, Sie stellen den Schlüssel bereit.
Dies bedeutet auch, dass Es keine Möglichkeit gibt, den Schlüssel wiederherzustellen oder alle mit dem verlorenen Schlüssel verschlüsselten Daten wiederherzustellen, wenn Sie Ihren Schlüssel vergessen oder verlieren.
Schweregrad: Mittel
Stellen Sie sicher, dass alle BigQuery-Tabellen mit dem kundenseitig verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) verschlüsselt sind.
Beschreibung: BigQuery verschlüsselt die Daten standardmäßig als Rest, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Die Daten werden mit den Datenverschlüsselungsschlüsseln verschlüsselt, und die Datenverschlüsselungsschlüssel selbst werden mit Schlüsselverschlüsselungsschlüsseln weiter verschlüsselt. Dieser Vorgang ist nahtlos und erfordert keine zusätzliche Eingabe vom Benutzer. Wenn Sie jedoch mehr Kontrolle haben möchten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Datasets verwendet werden. Wenn vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden, wird der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, um die Datenverschlüsselungsschlüssel zu verschlüsseln, und nicht der von Google verwaltete Verschlüsselungsschlüssel. BigQuery verschlüsselt standardmäßig ruhende Daten, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Dies ist nahtlos und erfordert keine zusätzlichen Eingaben des Benutzers. Um mehr Kontrolle über die Verschlüsselung zu erhalten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Tabellen verwendet werden. Der vom Kunden verwaltete Verschlüsselungsschlüssel wird verwendet, um die Datenverschlüsselungsschlüssel zu verschlüsseln, nicht der von Google verwaltete Verschlüsselungsschlüssel. BigQuery speichert die Tabelle sowie den zugeordneten vom Kunden verwalteten Verschlüsselungsschlüssel, und die Ver-/Entschlüsselung erfolgt automatisch. Durch Anwendung von standardmäßigen, vom Kunden verwalteten Verschlüsselungsschlüsseln auf BigQuery-Datasets wird sichergestellt, dass alle in Zukunft erstellten neuen Tabellen mit dem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt werden. Vorhandene Tabellen müssen jedoch einzeln aktualisiert werden, damit vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden.
Google speichert Ihre Schlüssel nicht auf seinen Servern und kann nicht auf Ihre geschützten Daten zugreifen, es sei denn, Sie stellen den Schlüssel bereit. Dies bedeutet auch, dass Es keine Möglichkeit gibt, den Schlüssel wiederherzustellen oder alle mit dem verlorenen Schlüssel verschlüsselten Daten wiederherzustellen, wenn Sie Ihren Schlüssel vergessen oder verlieren.
Schweregrad: Mittel
BigQuery-Datasets dürfen nicht anonym oder öffentlich zugänglich sein.
Beschreibung: Es wird empfohlen, dass die IAM-Richtlinie für BigQuery-Datasets keinen anonymen und/oder öffentlichen Zugriff zulässt. Durch das Erteilen von Berechtigungen für "allUsers" oder "allAuthenticatedUsers" kann jeder auf das Dataset zugreifen. Ein solcher Zugriff ist u. U. nicht wünschenswert, wenn vertrauliche Daten im Dataset gespeichert sind. Stellen Sie daher sicher, dass anonymer und/oder öffentlicher Zugriff auf ein Dataset nicht zulässig ist.
Schweregrad: hoch
Cloud SQL-Datenbankinstanzen müssen mit automatisierten Sicherungen konfiguriert sein.
Beschreibung: Es wird empfohlen, alle SQL-Datenbankinstanzen so festzulegen, dass automatisierte Sicherungen aktiviert werden. Sicherungen bieten eine Möglichkeit, eine Cloud SQL-Instanz wiederherzustellen, um verlorene Daten oder die Instanz nach einem Problem mit der betreffenden Instanz wiederherzustellen. Automatisierte Sicherungen müssen für jede Instanz festgelegt werden, die Daten enthält, die vor Verlust oder Beschädigung geschützt werden sollen. Diese Empfehlung gilt für SQL Server-, PostgreSql-, MySql-Generation 1- und MySql-Instanzen der Generation 2.
Schweregrad: hoch
Stellen Sie sicher, dass Cloud SQL-Datenbankinstanzen nicht für die Welt geöffnet sind
Beschreibung: Datenbankserver sollten Verbindungen nur von vertrauenswürdigen Netzwerken/IP(n) akzeptieren und den Zugriff auf die Welt einschränken. Um die Angriffsfläche einer Datenbankserverinstanz zu minimieren, sollten nur vertrauenswürdige/bekannte und erforderliche IP(n) genehmigt werden, um eine Verbindung damit herzustellen. Ein autorisiertes Netzwerk sollte keine IPs/Netzwerke mit 0.0.0.0.0/0 konfiguriert haben, was den Zugriff auf die Instanz von überall auf der Welt ermöglicht. Beachten Sie, dass autorisierte Netzwerke nur für Instanzen mit öffentlichen IP-Adressen gelten.
Schweregrad: hoch
Cloud SQL-Datenbankinstanzen dürfen keine öffentlichen IP-Adressen verwenden.
Beschreibung: Es wird empfohlen, sql-Instanz der zweiten Generation so zu konfigurieren, dass private IPs anstelle öffentlicher IPs verwendet werden. Um die Angriffsfläche der Organisation zu verringern, sollten Cloud SQL-Datenbanken keine öffentlichen IPs haben. Private IP-Adressen bieten mehr Netzwerksicherheit und eine geringere Latenz für Ihre Anwendung.
Schweregrad: hoch
Der Cloud Storage-Bucket darf nicht anonym oder öffentlich zugänglich sein.
Beschreibung: Es wird empfohlen, dass die IAM-Richtlinie im Cloud Storage-Bucket keinen anonymen oder öffentlichen Zugriff zulässt. Wenn Sie anonymen oder öffentlichen Zugriff zulassen, erhält jeder Zugriffsberechtigungen für Bucketinhalte. Ein solcher Zugriff ist möglicherweise nicht erwünscht, wenn Sie vertrauliche Daten speichern. Stellen Sie daher sicher, dass anonymer oder öffentlicher Zugriff auf einen Bucket nicht zulässig ist.
Schweregrad: hoch
Für Cloudspeicherbuckets muss ein einheitlicher Zugriff auf Bucketebene aktiviert sein.
Beschreibung: Es wird empfohlen, dass der einheitliche Zugriff auf Bucketebene in Cloud Storage-Buckets aktiviert ist.
Es wird empfohlen, den einheitlichen Zugriff auf Bucketebene zu verwenden, um den Zugriff auf Ihre CloudSpeicherressourcen zu vereinheitlichen und zu vereinfachen.
Cloud Storage bietet zwei Systeme zum Gewähren der Berechtigung für den Zugriff auf Ihre Buckets und Objekte: Cloud Identity and Access Management (Cloud IAM) und Zugriffssteuerungslisten (Access Control Lists, ACLs).
Diese Systeme agieren parallel: Damit ein Benutzer auf eine Cloud Storage-Ressource zugreifen kann, muss nur eines der Systeme dem Benutzer die entsprechende Berechtigung erteilen.
Cloud IAM wird in der gesamten Google Cloud verwendet und ermöglicht es Ihnen, eine Vielzahl von Berechtigungen auf Bucket- und Projektebene zu gewähren.
ACLs werden nur von Cloud Storage verwendet und verfügen über eingeschränkte Berechtigungsoptionen. Sie bieten jedoch die Möglichkeit, Berechtigungen auf Objektbasis zu erteilen.
Um ein einheitliches Berechtigungssystem zu unterstützen, verfügt Cloud Storage über einen einheitlichen Zugriff auf Bucketebene. Durch die Verwendung dieses Features werden ACLs für alle CloudSpeicherressourcen deaktiviert: Der Zugriff auf Cloud Storage-Ressourcen wird dann ausschließlich über Cloud IAM gewährt. Durch das Aktivieren des einheitlichen Zugriffs auf Bucketebene wird sichergestellt, dass, wenn ein Speicher-Bucket nicht öffentlich zugänglich ist, kein Objekt im Bucket öffentlich zugänglich ist.
Schweregrad: Mittel
Stellen Sie sicher, dass Confidential Computing für Compute-Instanzen aktiviert ist.
Beschreibung: Google Cloud verschlüsselt ruhende und während der Übertragung ruhende Daten, kundendaten müssen jedoch zur Verarbeitung entschlüsselt werden. Vertrauliches Computing ist eine bahnbrechende Technologie, die Daten verschlüsselt, während sie verarbeitet wird. In Confidential Computing-Umgebungen werden Daten im Arbeitsspeicher und an anderen Stellen außerhalb der zentralen Verarbeitungseinheit (CPU) verschlüsselt. Vertrauliche VMs nutzen das Secure Encrypted Virtualization (SEV)-Feature von AMD EPYC-CPUs. Kundendaten bleiben verschlüsselt, während sie verwendet, indiziert, abgefragt oder trainiert werden. Verschlüsselungsschlüssel werden hardwaregestützt für die jeweilige VM generiert und können nicht exportiert werden. Dank integrierter Hardwareoptimierungen sowohl der Leistung als auch der Sicherheit gibt es keine erhebliche Leistungseinbußen für vertrauliche Computing-Workloads. Confidential Computing ermöglicht eine Verschlüsselung des sensiblen Codes und anderer Daten von Kunden bei der Verarbeitung im Arbeitsspeicher. Google hat keinen Zugriff auf die Verschlüsselungsschlüssel. Vertrauliche VMs können dazu beitragen, Bedenken hinsichtlich Risiken im Zusammenhang mit der Abhängigkeit von der Google-Infrastruktur oder dem Zugriff von Google-Insidern auf unverschlüsselte Kundendaten zu entschärfen.
Schweregrad: hoch
Stellen Sie sicher, dass Aufbewahrungsrichtlinien für Protokollbuckets mithilfe der Bucketsperre konfiguriert werden.
Beschreibung: Das Aktivieren von Aufbewahrungsrichtlinien in Protokoll-Buckets schützt Protokolle, die in Cloudspeicher-Buckets gespeichert sind, vor dem Überschreiben oder versehentlichen Löschen. Es wird empfohlen, Aufbewahrungsrichtlinien einzurichten und Bucket-Sperre für alle Speicher-Buckets zu konfigurieren, die als Protokollsenken verwendet werden. Protokolle können exportiert werden, indem mindestens eine Senke erstellt wird, die einen Protokollfilter und ein Ziel enthält. Da stackdriver Logging neue Protokolleinträge empfängt, werden sie mit jeder Spüle verglichen. Wenn ein Protokolleintrag mit dem Filter einer Senke übereinstimmt, wird eine Kopie des Protokolleintrags in das Ziel geschrieben. Senken können so konfiguriert werden, dass Protokolle in Speicherbuckets exportiert werden. Es wird empfohlen, eine Datenaufbewahrungsrichtlinie für diese Cloudspeicher-Buckets zu konfigurieren und die Datenaufbewahrungsrichtlinie zu sperren. so dauerhaft zu verhindern, dass die Richtlinie reduziert oder entfernt wird. Wenn das System jemals von einem Angreifer oder einem böswilligen Insider kompromittiert wird, der seine Spuren verwischen möchte, werden die Aktivitätsprotokolle so definitiv für forensische Untersuchungen und Sicherheitsuntersuchungen aufbewahrt.
Schweregrad: Niedrig
Für alle eingehenden Verbindungen mit einer Cloud SQL-Datenbankinstanz muss SSL verwendet werden.
Beschreibung: Es wird empfohlen, alle eingehenden Verbindungen mit der SQL-Datenbankinstanz zu erzwingen, um SSL zu verwenden. SQL-Datenbankverbindungen, wenn erfolgreich abgefangen (MITM); kann vertrauliche Daten wie Anmeldeinformationen, Datenbankabfragen, Abfrageausgaben usw. anzeigen. Aus Sicherheitsgründen wird empfohlen, beim Herstellen einer Verbindung mit Ihrer Instanz immer SSL-Verschlüsselung zu verwenden. Diese Empfehlung gilt für Postgresql-, MySql-Generation 1- und MySql-Instanzen der Generation 2.
Schweregrad: hoch
Stellen Sie sicher, dass das Datenbankflag "contained database authentication" für Cloud SQL auf der SQL Server-Instanz auf "off" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "enthaltene Datenbankauthentifizierung" für Cloud SQL in der SQL Server-Instanz auf "aus" festzulegen. Eine enthaltene Datenbank enthält alle Datenbankeinstellungen und Metadaten, die zum Definieren der Datenbank erforderlich sind, und verfügt über keine Konfigurationsabhängigkeiten von der Instanz der Datenbank-Engine, in der die Datenbank installiert ist. Benutzer können eine Verbindung mit der Datenbank herstellen, ohne dass sie bei der Anmeldung auf der Datenbank-Engine-Ebene eine Authentifizierung durchführen. Das Isolieren der Datenbank von der Datenbank-Engine ermöglicht das einfache Verschieben der Datenbank in eine andere Instanz von SQL Server. Eigenständige Datenbanken bergen einige eindeutige Risiken. Diese müssen von SQL Server-Datenbank-Engine -Administratoren erkannt und gemindert werden. Die meisten Bedrohungen betreffen den Authentifizierungsprozess USER WITH PASSWORD, durch den die Authentifizierungsgrenze von der Datenbank-Engine -Ebene auf die Datenbankebene verschoben wird. Daher sollte dieses Flag deaktiviert werden. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: Mittel
Stellen Sie sicher, dass das Datenbankflag für die datenbankübergreifende Besitzverkettung für die Cloud SQL SQL Server-Instanz auf "off" festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "cross db ownership chaining" für die Cloud SQL Server-Instanz auf "aus" festzulegen. Verwenden Sie die Option "cross db ownership" für die Verkettungsoption, um datenbankübergreifende Besitzverkettung für eine Instanz von Microsoft SQL Server zu konfigurieren. Mithilfe dieser Serveroption können Sie die datenbankübergreifende Besitzverkettung für alle Datenbanken auf Datenbankebene steuern oder die datenbankübergreifende Besitzverkettung für alle Datenbanken ermöglichen. Das Aktivieren von "cross db ownership" wird nicht empfohlen, es sei denn, alle datenbanken, die von der Instanz von SQL Server gehostet werden, müssen an der datenbankübergreifenden Besitzverkettung teilnehmen, und Sie sind sich der Sicherheitsauswirkung dieser Einstellung bewusst. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: Mittel
Stellen Sie sicher, dass das Datenbankflag "local_infile" für eine Cloud SQL MySQL-Instanz auf "off" festgelegt ist.
Beschreibung: Es wird empfohlen, das local_infile Datenbankkennzeichnung für eine Cloud SQL MySQL-Instanz auf "deaktiviert" festzulegen.
Das "local_infile"-Flag steuert die serverseitige LOCAL-Funktion für LOAD DATA-Anweisungen. Abhängig von der "local_infile"-Einstellung kann der Server das Laden von lokalen Daten von Clients, für die LOCAL auf der Clientseite aktiviert ist, verweigern oder zulassen.
Um den Server explizit dazu zu veranlassen, LOAD DATA LOCAL-Anweisungen abzulehnen (unabhängig davon, wie Clientprogramme und Bibliotheken zur Buildzeit oder Laufzeit konfiguriert sind), beginnen mysqld
Sie mit local_infile deaktiviert. "local_infile" kann auch zur Laufzeit festgelegt werden.
Aufgrund von Sicherheitsproblemen im Zusammenhang mit dem local_infile Flag wird empfohlen, es zu deaktivieren. Diese Empfehlung gilt für MySQL-Datenbankinstanzen.
Schweregrad: Mittel
Für Änderungen an Cloud Storage-IAM-Berechtigungen müssen Protokollmetrikfilter und -warnungen vorhanden sein.
Beschreibung: Es wird empfohlen, einen metrikbasierten Filter und Alarm für ÄNDERUNGEN des Cloud Storage Bucket IAM einzurichten. Die Überwachung von Änderungen an Cloudspeicher-Bucket-Berechtigungen kann die Zeit reduzieren, die erforderlich ist, um Berechtigungen für vertrauliche Cloudspeicher-Buckets und -Objekte innerhalb des Buckets zu erkennen und zu korrigieren.
Schweregrad: Niedrig
Für Konfigurationsänderungen an SQL-Instanzen müssen Protokollmetrikfilter und -warnungen vorhanden sein.
Beschreibung: Es wird empfohlen, einen Metrikfilter und einen Alarm für Konfigurationsänderungen der SQL-Instanz einzurichten. Die Überwachung von Änderungen an konfigurationsänderungen der SQL-Instanz kann die Zeit reduzieren, die zum Erkennen und Korrigieren von Fehlkonfigurationen auf dem SQL-Server erforderlich ist. Im Folgenden finden Sie einige der konfigurierbaren Optionen, die sich auf den Sicherheitsstatus einer SQL-Instanz auswirken können:
- Aktivieren von automatischen Sicherungen und hoher Verfügbarkeit: Fehlkonfiguration kann sich negativ auf Geschäftskontinuität, Notfallwiederherstellung und hohe Verfügbarkeit auswirken
- Autorisieren von Netzwerken: Fehlkonfiguration kann die Gefährdung von nicht vertrauenswürdigen Netzwerken erhöhen.
Schweregrad: Niedrig
Stellen Sie sicher, dass für jedes Dienstkonto nur GCP-verwaltete Dienstkontoschlüssel vorhanden sind.
Beschreibung: Benutzerverwaltete Dienstkonten sollten nicht über vom Benutzer verwaltete Schlüssel verfügen. Jeder, der Zugriff auf die Schlüssel hat, kann über das Dienstkonto auf Ressourcen zugreifen. Von Cloud Platform-Diensten wie App Engine und Compute Engine werden von GCP verwaltete Schlüssel verwendet. Diese Schlüssel können nicht heruntergeladen werden. Die Schlüssel verbleiben bei Google, und ungefähr wöchentlich erfolgt eine automatische Rotation. Benutzerverwaltete Schlüssel werden von Benutzern erstellt, heruntergeladen und verwaltet. Sie laufen 10 Jahre ab der Erstellung ab. Bei vom Benutzer verwalteten Schlüsseln muss der Benutzer den Besitz von Schlüsselverwaltungsaktivitäten übernehmen, darunter:
- Schlüsselspeicher
- Schlüsselverteilung
- Schlüsselsperrung
- Schlüsselrotation
- Schlüsselschutz vor nicht autorisierten Benutzern
- Schlüsselwiederherstellung
Selbst bei wichtigen Besitzer-Vorsichtsmaßnahmen können Schlüssel leicht durch weniger als optimale gängige Entwicklungsmethoden wie das Einchecken von Schlüsseln in den Quellcode oder das Verlassen der Schlüssel im Downloads-Verzeichnis oder versehentlich auf Supportblogs/Kanälen verloren gehen. Es wird empfohlen, vom Benutzer verwaltete Dienstkontoschlüssel zu verhindern.
Schweregrad: Niedrig
Stellen Sie sicher, dass das Datenbankflag "Benutzerverbindungen" für die Cloud SQL SQL Server-Instanz entsprechend festgelegt ist.
Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "Benutzerverbindungen" für die Sql Server-Instanz in der Cloud gemäß dem durch die Organisation definierten Wert festzulegen. Die Option "Benutzerverbindungen" gibt die maximale Anzahl gleichzeitiger Benutzerverbindungen an, die für eine Instanz von SQL Server zulässig sind. Die tatsächliche Anzahl der zulässigen Benutzerverbindungen hängt auch von der version von SQL Server ab, die Sie verwenden, und auch von den Grenzwerten Ihrer Anwendung oder Anwendungen und Hardware. Bei SQL Server sind maximal 32.767 Benutzerverbindungen zulässig. Da Es sich bei Benutzerverbindungen um eine dynamische Option (Selbstkonfiguration) handelt, passt SQL Server die maximale Anzahl von Benutzerverbindungen automatisch nach Bedarf an, bis zum maximal zulässigen Wert. Wenn beispielsweise nur 10 Benutzer angemeldet sind, werden 10 Benutzerverbindungsobjekte reserviert. In den meisten Fällen müssen Sie den Wert für diese Option nicht ändern. Der Standardwert ist null (0), womit die maximale Anzahl (32.767) Benutzerverbindungen zulässig ist. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: Niedrig
Stellen Sie sicher, dass das Datenbankflag "Benutzeroptionen" für die Cloud SQL SQL Server-Instanz nicht konfiguriert ist.
Beschreibung: Es wird empfohlen, dass die Datenbankkennzeichnung "Benutzeroptionen" für die Sql Server-Instanz von Cloud SQL Server nicht konfiguriert werden sollte. Die Option "Benutzeroptionen" legt globale Standardwerte für alle Benutzer fest. Es wird eine Liste der Standardoptionen der Abfrageverarbeitung für die Dauer der Sitzung eines Benutzers erstellt. Mit der Einstellung "Benutzeroptionen" können Sie die Standardwerte der SET-Optionen ändern (wenn die Standardeinstellungen des Servers nicht geeignet sind). Ein Benutzer kann diese Standardeinstellungen mithilfe der SET-Anweisung überschreiben. Für neue Anmeldungen können Sie Benutzeroptionen dynamisch konfigurieren. Nachdem Sie die Einstellung der Benutzeroptionen geändert haben, verwenden neue Anmeldesitzungen die neue Einstellung; Aktuelle Anmeldesitzungen sind nicht betroffen. Diese Empfehlung gilt für SQL Server-Datenbankinstanzen.
Schweregrad: Niedrig
Die Protokollierung für GKE-Cluster sollte aktiviert sein.
Beschreibung: Diese Empfehlung wertet aus, ob die loggingService-Eigenschaft eines Clusters die Speicherort-Cloudprotokollierung zum Schreiben von Protokollen enthält.
Schweregrad: hoch
Die Objektversionsverwaltung sollte für Speicherbuckets aktiviert sein, in denen Senken konfiguriert sind.
Beschreibung: Diese Empfehlung wertet aus, ob das aktivierte Feld in der Versionsverwaltungseigenschaft des Buckets auf "true" festgelegt ist.
Schweregrad: hoch
Übermäßig bereitgestellte Identitäten in Projekten sollten untersucht werden, um den Index für schleichende Berechtigungsausweitung (Permission Creep Index, PCI) zu reduzieren.
Beschreibung: Überbereitstellungsidentitäten in Projekten sollten untersucht werden, um den Permission Creep Index (PCI) zu reduzieren und Ihre Infrastruktur zu schützen. Reduzieren Sie die PCI, indem Sie die nicht verwendeten Zuweisungen von Berechtigungen mit hohem Risiko entfernen. High PCI spiegelt das Risiko wider, das den Identitäten mit Berechtigungen zugeordnet ist, die ihre normale oder erforderliche Nutzung überschreiten.
Schweregrad: Mittel
Projekte mit kryptografischen Schlüsseln dürfen keine Benutzer mit Besitzerberechtigungen aufweisen.
Beschreibung: Diese Empfehlung wertet die IAM-Zulassungsrichtlinie in Projektmetadaten für prinzipale zugewiesene Rollen/Besitzer aus.
Schweregrad: Mittel
Speicherbuckets, die als Protokollsenke verwendet werden, dürfen nicht öffentlich zugänglich sein.
Beschreibung: Diese Empfehlung wertet die IAM-Richtlinie eines Buckets für die Prinzipale allUsers oder allAuthenticatedUsers aus, die öffentlichen Zugriff gewähren.
Schweregrad: hoch