Consigli sulla sicurezza del calcolo
Questo articolo elenca tutte le raccomandazioni per la sicurezza delle risorse di calcolo multicloud che potrebbero essere visualizzate in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Suggerimento
Se una descrizione della raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa.
Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. La limitazione dei criteri solo alle raccomandazioni fondamentali semplifica la gestione dei criteri.
Raccomandazioni per il calcolo di Azure
È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center)
Descrizione: i computer mancano aggiornamenti di sistema, sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione.
Gravità: Bassa
I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti
Descrizione: per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode.
Gravità: Bassa
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer
Descrizione: abilitare i controlli dell'applicazione per definire l'elenco di applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, Defender per il cloud usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. (Criterio correlato: I controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer.
Gravità: alta
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate
Descrizione: monitorare le modifiche apportate al comportamento nei gruppi di computer configurati per il controllo tramite i controlli delle applicazioni adattivi di Defender per il cloud. Defender per il cloud usa l'apprendimento automatico per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure note. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. (Criterio correlato: Le regole allowlist nei criteri di controllo delle applicazioni adattivi devono essere aggiornate.
Gravità: alta
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH
Descrizione: anche se SSH fornisce una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Per altre informazioni, vedere Procedura dettagliata: Creare e gestire chiavi SSH per l'autenticazione in una macchina virtuale Linux in Azure. (Criterio correlato: Controllare i computer Linux che non usano la chiave SSH per l'autenticazione.
Gravità: medio
Le variabili dell'account di automazione devono essere crittografate
Descrizione: è importante abilitare la crittografia degli asset di variabili dell'account di Automazione durante l'archiviazione dei dati sensibili. (Criterio correlato: Le variabili dell'account di Automazione devono essere crittografate.
Gravità: alta
Backup di Azure deve essere abilitato per le macchine virtuali
Descrizione: proteggere i dati nelle macchine virtuali di Azure con Backup di Azure. Backup di Azure è una soluzione nativa di Azure per la protezione dei dati a costi contenuti. Crea punti di ripristino che vengono archiviati negli insiemi di credenziali di ripristino con ridondanza geografica. Quando si esegue il ripristino da un punto di recupero, è possibile ripristinare la macchina virtuale intera o parziale. (Criterio correlato: Backup di Azure deve essere abilitato per Macchine virtuali).
Gravità: Bassa
(Anteprima) I computer locali di Azure devono soddisfare i requisiti di base protetti
Descrizione: assicurarsi che tutti i computer locali di Azure soddisfino i requisiti di base protetti. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.
Gravità: Bassa
(Anteprima) I computer locali di Azure devono avere criteri di controllo delle applicazioni applicati in modo coerente
Descrizione: applicare almeno i criteri di base Microsoft WDAC in modalità applicata in tutti i computer locali di Azure. I criteri Controllo di applicazioni di Windows Defender (WDAC) applicati devono essere coerenti tra server nello stesso cluster. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.
Gravità: alta
(Anteprima) I sistemi locali di Azure devono avere volumi crittografati
Descrizione: usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi locali di Azure. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.
Gravità: alta
Gli host contenitore devono essere configurati in modo sicuro
Descrizione: correggere le vulnerabilità nelle impostazioni di configurazione della sicurezza nei computer con Docker installato per proteggerle dagli attacchi. (Criterio correlato: È consigliabile correggere le vulnerabilità nelle configurazioni di sicurezza dei contenitori.
Gravità: alta
I log di diagnostica devono essere abilitati in Analisi di flusso di Azure
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in Analisi di flusso di Azure devono essere abilitati.
Gravità: Bassa
È consigliabile abilitare i log di diagnostica negli account Batch
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica negli account Batch devono essere abilitati.
Gravità: Bassa
I log di diagnostica in Hub eventi devono essere abilitati
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in Hub eventi devono essere abilitati.
Gravità: Bassa
È consigliabile abilitare i log di diagnostica in App per la logica
Descrizione: per assicurarsi di poter ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa, abilitare la registrazione. Se i log di diagnostica non vengono inviati a un'area di lavoro Log Analytics, Archiviazione di Azure account o Hub eventi di Azure, assicurarsi di aver configurato le impostazioni di diagnostica per inviare le metriche della piattaforma e i log della piattaforma alle destinazioni pertinenti. Per altre informazioni, vedere Creare impostazioni di diagnostica per inviare log e metriche della piattaforma a destinazioni diverse. (Criterio correlato: I log di diagnostica in App per la logica devono essere abilitati.
Gravità: Bassa
È consigliabile abilitare i log di diagnostica nel bus di servizio
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in bus di servizio devono essere abilitati).
Gravità: Bassa
È consigliabile abilitare i log di diagnostica nei set di scalabilità di macchine virtuali
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in set di scalabilità di macchine virtuali devono essere abilitati).
Gravità: alta
I problemi di configurazione EDR devono essere risolti nelle macchine virtuali
Descrizione: per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione DIR (Endpoint Detection and Response) installata. Attualmente, questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint abilitato.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: Bassa
La soluzione EDR deve essere installata nelle macchine virtuali
Descrizione: l'installazione di una soluzione di rilevamento e risposta degli endpoint nelle macchine virtuali è importante per la protezione dalle minacce avanzate. Gli edR aiutano a prevenire, rilevare, analizzare e rispondere a queste minacce. Microsoft Defender per server può essere usato per distribuire Microsoft Defender per endpoint.
- Se una risorsa è classificata come "Non integra", indica l'assenza di una soluzione EDR supportata.
- Se una soluzione EDR è installata ma non individuabile da questa raccomandazione, può essere esente
- Senza una soluzione EDR, le macchine virtuali sono a rischio di minacce avanzate.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: alta
I problemi di integrità di Endpoint Protection nei set di scalabilità di macchine virtuali devono essere risolti
Descrizione: nei set di scalabilità di macchine virtuali correggere gli errori di integrità di Endpoint Protection per proteggerli da minacce e vulnerabilità. (Criterio correlato: La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali.
Gravità: Bassa
Endpoint Protection deve essere installato nei set di scalabilità di macchine virtuali
Descrizione: installare una soluzione endpoint protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. (Criterio correlato: La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali.
Gravità: alta
Il monitoraggio dell'integrità dei file deve essere abilitato nei computer
Descrizione: Defender per il cloud ha identificato i computer che mancano di una soluzione di monitoraggio dell'integrità dei file. Per monitorare le modifiche apportate a file critici, chiavi del Registro di sistema e altro ancora nei server, abilitare il monitoraggio dell'integrità dei file. Quando la soluzione di monitoraggio dell'integrità dei file è abilitata, creare regole di raccolta dati per definire i file da monitorare. Per definire le regole o visualizzare i file modificati nei computer con regole esistenti, passare alla pagina di gestione del monitoraggio dell'integrità dei file. (Nessun criterio correlato)
Gravità: alta
L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati
Descrizione: installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire alle Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali Linux abilitati per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate
Descrizione: installare l'estensione attestazione guest nelle macchine virtuali Linux supportate per consentire Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo alle macchine virtuali Linux abilitate per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati
Descrizione: installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire alle Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo ai set di scalabilità di macchine virtuali abilitati per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate
Descrizione: installare l'estensione attestazione guest nelle macchine virtuali supportate per consentire Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
L'estensione Configurazione guest deve essere installata sui computer
Descrizione: per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio Windows Exploit Guard, devono essere abilitati. (Criterio correlato: Le macchine virtuali devono avere l'estensione Configurazione guest.
Gravità: medio
(Anteprima) La rete host e vm deve essere protetta nei sistemi locali di Azure
Descrizione: proteggere i dati nella rete dell'host locale di Azure e nelle connessioni di rete delle macchine virtuali. (Criterio correlato: L'estensione configurazione guest deve essere installata nei computer - Microsoft Azure.
Gravità: Bassa
Installare la soluzione Endpoint Protection nelle macchine virtuali
Descrizione: installare una soluzione endpoint protection nelle macchine virtuali per proteggerli da minacce e vulnerabilità. (Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure).
Gravità: alta
Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost
Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti i dati. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere Informazioni sulla configurazione di Azure Machine. (Criterio correlato: [Anteprima]: le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost.
Sostituisce le macchine virtuali di raccomandazione precedenti devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione. La raccomandazione consente di controllare la conformità della crittografia delle macchine virtuali.
Gravità: alta
Le macchine virtuali Linux devono applicare la convalida della firma del modulo kernel
Descrizione: per attenuare l'esecuzione di codice dannoso o non autorizzato in modalità kernel, applicare la convalida della firma del modulo kernel nelle macchine virtuali Linux supportate. La convalida della firma del modulo kernel garantisce che solo i moduli kernel attendibili possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)
Gravità: Bassa
Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili
Descrizione: con l'avvio protetto abilitato, tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender for Cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco elementi consentiti o rimuovere i componenti identificati. (Nessun criterio correlato)
Gravità: Bassa
Le macchine virtuali Linux devono usare l'avvio protetto
Descrizione: per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)
Gravità: Bassa
L'agente di Log Analytics deve essere installato in computer abilitati per Azure Arc basati su Linux
Descrizione: Defender per il cloud usa l'agente di Log Analytics (noto anche come OMS) per raccogliere gli eventi di sicurezza dai computer Azure Arc. Per distribuire l'agente in tutte le macchine virtuali Azure Arc, seguire la procedura di risoluzione dei problemi. (Nessun criterio correlato)
Gravità: alta
Poiché l'uso di AMA e MMA viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024
È consigliabile installare l'agente di Log Analytics nei set di scalabilità di macchine virtuali
Descrizione: Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure per monitorare le vulnerabilità e le minacce per la sicurezza. I dati vengono raccolti usando l'agente di Log Analytics, noto in precedenza come Microsoft Monitoring Agent (MMA), che legge diverse configurazioni e log eventi correlati alla sicurezza dal computer e copia i dati nell'area di lavoro per l'analisi. È anche necessario seguire questa procedura se le macchine virtuali vengono usate da un servizio gestito di Azure, ad esempio servizio Azure Kubernetes o Azure Service Fabric. Non è possibile configurare il provisioning automatico dell'agente per i set di scalabilità di macchine virtuali di Azure. Per distribuire l'agente nei set di scalabilità di macchine virtuali, inclusi quelli usati dai servizi gestiti di Azure come il Servizio Azure Kubernetes e Azure Service Fabric, seguire la procedura indicata nei passaggi per la correzione. (Criterio correlato: L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio di Centro sicurezza di Azure).
Poiché l'uso di AMA e MMA viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024
Gravità: alta
È consigliabile installare l'agente di Log Analytics nelle macchine virtuali
Descrizione: Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure per monitorare le vulnerabilità e le minacce per la sicurezza. I dati vengono raccolti usando l'agente di Log Analytics, noto in precedenza come Microsoft Monitoring Agent (MMA), che legge diverse configurazioni e log eventi correlati alla sicurezza dal computer e copia i dati nell'area di lavoro di Log Analytics per l'analisi. Questo agente è necessario anche se le macchine virtuali vengono usate da un servizio gestito di Azure, ad esempio servizio Azure Kubernetes o Azure Service Fabric. È consigliabile configurare il provisioning automatico per distribuire automaticamente l'agente. Se si sceglie di non usare il provisioning automatico, distribuire manualmente l'agente nelle VM usando le istruzioni disponibili nella procedura di correzione. (Criterio correlato: L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio di Centro sicurezza di Azure).
Poiché l'uso di AMA e MMA viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024
Gravità: alta
L'agente di Log Analytics deve essere installato nelle macchine virtuali abilitate per Azure Arc basate su Windows
Descrizione: Defender per il cloud usa l'agente di Log Analytics (noto anche come MMA) per raccogliere gli eventi di sicurezza dai computer Azure Arc. Per distribuire l'agente in tutte le macchine virtuali Azure Arc, seguire la procedura di risoluzione dei problemi. (Nessun criterio correlato)
Gravità: alta
Poiché l'uso di AMA e MMA viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024
I computer devono essere configurati in modo sicuro
Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer per proteggerle dagli attacchi. (Criterio correlato: Le vulnerabilità nella configurazione di sicurezza nei computer devono essere risolte.
Questa raccomandazione consente di migliorare il comportamento di sicurezza del server. Defender per il cloud migliora i benchmark CIS (Center for Internet Security) fornendo baseline di sicurezza basate su Gestione delle vulnerabilità di Microsoft Defender. Altre informazioni.
Gravità: Bassa
I computer devono essere riavviati per applicare gli aggiornamenti della configurazione della sicurezza
Descrizione: per applicare gli aggiornamenti della configurazione della sicurezza e proteggersi dalle vulnerabilità, riavviare i computer. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. (Nessun criterio correlato)
Gravità: Bassa
I computer devono avere una soluzione di valutazione della vulnerabilità
Descrizione: Defender per il cloud controlla regolarmente i computer connessi per assicurarsi che eseguano strumenti di valutazione della vulnerabilità. Usare questa raccomandazione per distribuire una soluzione di valutazione della vulnerabilità. (Criterio correlato: Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali.
Gravità: medio
I risultati delle vulnerabilità nei computer devono essere risolti
Descrizione: risolvere i risultati delle soluzioni di valutazione della vulnerabilità nelle macchine virtuali. (Criterio correlato: Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali.
Gravità: Bassa
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT
Descrizione: Defender per il cloud ha identificato alcune regole in ingresso eccessivamente permissive per le porte di gestione nel gruppo di sicurezza di rete. Abilitare l'accesso Just-In-Time per proteggere la VM da attacchi di forza bruta basati su Internet. Per altre informazioni, vedere Informazioni sull'accesso JIT (Just-In-Time) alle macchine virtuali. (Criterio correlato: Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JITE.
Gravità: alta
Microsoft Defender per server deve essere abilitato
Descrizione: Microsoft Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. È possibile usare queste informazioni per correggere rapidamente i problemi di sicurezza e migliorare la sicurezza dei server.
la correzione di questa raccomandazione comporterà addebiti per la protezione dei server. Se nella sottoscrizione non sono presenti server, non verranno applicati addebiti. Se in futuro si creano server nella sottoscrizione, tali server saranno protetti automaticamente e l'applicazione degli addebiti avrà inizio in tale momento. Per altre informazioni, vedere Introduzione a Microsoft Defender per server. (Criterio correlato: Azure Defender per i server deve essere abilitato.
Gravità: alta
Microsoft Defender per server deve essere abilitato nelle aree di lavoro
Descrizione: Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per i server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per i server in un'area di lavoro, tutti i computer che segnalano a tale area di lavoro verranno addebitati i costi per Microsoft Defender per i server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per i server nella sottoscrizione, tali computer non potranno sfruttare l'accesso jite alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure. Per altre informazioni, vedere Introduzione a Microsoft Defender per server. (Nessun criterio correlato)
Gravità: medio
L'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate
Descrizione: abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, il kernel e i driver del kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Windows abilitate per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign
Descrizione: Service Fabric offre tre livelli di protezione (Nessuno, Firma e EncryptAndSign) per la comunicazione da nodo a nodo usando un certificato del cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente. (Criterio correlato: I cluster di Service Fabric devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign.
Gravità: alta
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client
Descrizione: eseguire l'autenticazione client solo tramite Azure Active Directory in Service Fabric (criterio correlato: i cluster di Service Fabric devono usare Solo Azure Active Directory per l'autenticazione client).
Gravità: alta
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati
Descrizione: installare gli aggiornamenti critici e della sicurezza del sistema mancanti per proteggere i set di scalabilità di macchine virtuali Windows e Linux. (Criterio correlato: Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati.
Poiché l'uso dell'agente di Monitoraggio di Azure e dell'agente di Log Analytics (noto anche come MMA) di Microsoft Monitoring Agent viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024. Queste raccomandazioni vengono sostituite da quelle nuove.
Gravità: alta
Gli aggiornamenti di sistema devono essere installati nelle macchine
Descrizione: installare gli aggiornamenti critici e della sicurezza del sistema mancanti per proteggere le macchine virtuali e i computer Windows e Linux (criterio correlato: gli aggiornamenti di sistema devono essere installati nei computer).
Poiché l'uso dell'agente di Monitoraggio di Azure e dell'agente di Log Analytics (noto anche come MMA) di Microsoft Monitoring Agent viene eliminato gradualmente in Defender per server, le raccomandazioni che si basano su tali agenti, come questa, verranno rimosse. Al contrario, le funzionalità di Defender per server useranno l'agente Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza da MMA o AMA.
Dismissione stimata: luglio 2024. Queste raccomandazioni vengono sostituite da quelle nuove.
Gravità: alta
È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center)
Descrizione: i computer mancano aggiornamenti di sistema, sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. (Nessun criterio correlato)
Gravità: alta
Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host
Descrizione: usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per altre informazioni, vedere Usare il portale di Azure per abilitare la crittografia end-to-end usando la crittografia nell'host. (criterio correlato: per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host).
Gravità: medio
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager
Descrizione: le macchine virtuali (versione classica) sono deprecate e queste macchine virtuali devono essere migrate in Azure Resource Manager. Poiché Azure Resource Manager offre ora funzionalità IaaS complete e altri miglioramenti, la gestione delle macchine virtuali IaaS tramite Azure Service Manager (ASM) è stata deprecata il 28 febbraio 2020. Questa funzionalità verrà ritirata completamente il 1° marzo 2023.
Per visualizzare tutte le macchine virtuali classiche interessate, assicurarsi di selezionare tutte le sottoscrizioni di Azure nella scheda "directory e sottoscrizioni".
Risorse disponibili e informazioni su questo strumento e migrazione: Panoramica della deprecazione delle macchine virtuali (versione classica), processo dettagliato per la migrazione e le risorse Microsoft disponibili.Informazioni dettagliate sulla migrazione allo strumento di migrazione di Azure Resource Manager.Eseguire la migrazione allo strumento di migrazione di Azure Resource Manager con PowerShell. (Criterio correlato: È necessario eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager.
Gravità: alta
Lo stato di attestazione guest delle macchine virtuali deve essere integro
Descrizione: l'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio, che potrebbe essere il risultato di un'infezione bootkit
o rootkit
.
Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest.
(Nessun criterio correlato)
Gravità: medio
L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema
Descrizione: l'estensione Configurazione guest richiede un'identità gestita assegnata dal sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Altre informazioni (criterio correlato: l'estensione configurazione guest deve essere distribuita nelle macchine virtuali di Azure con identità gestita assegnata dal sistema).
Gravità: medio
I set di scalabilità di macchine virtuali devono essere configurati in modo sicuro
Descrizione: nei set di scalabilità di macchine virtuali correggere le vulnerabilità per proteggerle dagli attacchi. (Criterio correlato: È necessario correggere le vulnerabilità nella configurazione di sicurezza nei set di scalabilità di macchine virtuali.
Gravità: alta
Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra le risorse di calcolo e di archiviazione
Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Per un confronto tra le diverse tecnologie di crittografia dei dischi in Azure, vedere Panoramica delle opzioni di crittografia dei dischi gestiti. Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se:
Si usa la funzionalità di crittografia at-host o la crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Altre informazioni sulla crittografia lato server di Archiviazione su disco di Azure.
(Criterio correlato: La crittografia del disco deve essere applicata alle macchine virtuali)
Gravità: alta
VTPM deve essere abilitato nelle macchine virtuali supportate
Descrizione: abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile.
- L'avvio attendibile richiede la creazione di nuove macchine virtuali.
- Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
Altre informazioni sull'avvio attendibile per le macchine virtuali di Azure. (Nessun criterio correlato)
Gravità: Bassa
È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Linux (con Configurazione guest)
Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer Linux per proteggerle dagli attacchi. (Criterio correlato: I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure.
Gravità: Bassa
È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Windows (con Configurazione guest)
Descrizione: correggere le vulnerabilità nella configurazione di sicurezza nei computer Windows per proteggerle dagli attacchi. (Nessun criterio correlato)
Gravità: Bassa
Windows Defender Exploit Guard deve essere abilitato nei computer
Descrizione: Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). (Criterio correlato: Controlla i computer Windows in cui Windows Defender Exploit Guard non è abilitato.
Gravità: medio
Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost
Descrizione: per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma; i dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e archiviazione. Usare Crittografia dischi di Azure o EncryptionAtHost per crittografare tutti i dati. Vedere Panoramica delle opzioni di crittografia dei dischi gestiti per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere Informazioni sulla configurazione di Azure Machine. (Criterio correlato: [Anteprima]: le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost.
Sostituisce le macchine virtuali di raccomandazione precedenti devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione. La raccomandazione consente di controllare la conformità della crittografia delle macchine virtuali.
Gravità: alta
I server Web Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri
Descrizione: per proteggere la privacy delle informazioni comunicate tramite Internet, i server Web devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete usando i certificati di sicurezza per crittografare una connessione tra computer. (Criterio correlato: Controlla i server Web Windows che non usano protocolli di comunicazione sicuri.
Gravità: alta
Raccomandazioni per l'ambiente di calcolo di AWS
Le istanze di Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch conforme dopo un'installazione di patch
Descrizione: questo controllo controlla se lo stato di conformità della patch di Amazon EC2 Systems Manager è CONFORME o NON_COMPLIANT dopo l'installazione della patch nell'istanza. Controlla solo le istanze gestite da AWS Systems Manager Patch Manager. Non verifica se la patch è stata applicata entro il limite di 30 giorni previsto dal requisito PCI DSS '6.2'. Non convalida anche se le patch applicate sono state classificate come patch di sicurezza. È necessario creare gruppi di applicazione di patch con le impostazioni di base appropriate e assicurarsi che i sistemi nell'ambito siano gestiti da tali gruppi di patch in Systems Manager. Per altre informazioni sui gruppi di patch, vedere Guida utente di AWS Systems Manager.
Gravità: medio
Amazon EFS deve essere configurato per crittografare i dati dei file inattivi usando il servizio di gestione delle chiavi AWS
Descrizione: questo controllo controlla se Amazon Elastic File System è configurato per crittografare i dati dei file usando il servizio di gestione delle chiavi AWS. Il controllo ha esito negativo nei casi seguenti: *"Encrypted" è impostato su "false" nella risposta DescribeFileSystems. La chiave "KmsKeyId" nella risposta DescribeFileSystems non corrisponde al parametro KmsKeyId per efs-encrypted-check. Si noti che questo controllo non usa il parametro "KmsKeyId" per efs-encrypted-check. Controlla solo il valore di "Encrypted". Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è consigliabile creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. È possibile abilitare la crittografia dei dati inattivi quando si crea un file system Amazon EFS. Per altre informazioni sulla crittografia Amazon EFS, vedere Crittografia dei dati in Amazon EFS nella Guida utente di Amazon Elastic File System.
Gravità: medio
I volumi Amazon EFS devono trovarsi nei piani di backup
Descrizione: questo controllo controlla se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo ha esito negativo se i file system Amazon EFS non sono inclusi nei piani di backup. L'inclusione di file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.
Gravità: medio
La protezione dell'eliminazione di Application Load Balancer deve essere abilitata
Descrizione: questo controllo controlla se una protezione di eliminazione di Application Load Balancer è abilitata. Il controllo ha esito negativo se la protezione dell'eliminazione non è configurata. Abilitare la protezione dell'eliminazione per proteggere il servizio di bilanciamento del carico dell'applicazione dall'eliminazione.
Gravità: medio
I gruppi di ridimensionamento automatico associati a un servizio di bilanciamento del carico devono usare i controlli di integrità
Descrizione: i gruppi di ridimensionamento automatico associati a un servizio di bilanciamento del carico usano i controlli di integrità del bilanciamento del carico elastico. PCI DSS non richiede il bilanciamento del carico o configurazioni a disponibilità elevata. Questa operazione è consigliata dalle procedure consigliate di AWS.
Gravità: Bassa
Per gli account AWS deve essere abilitato il provisioning automatico di Azure Arc
Descrizione: per una visibilità completa del contenuto di sicurezza di Microsoft Defender per i server, le istanze EC2 devono essere connesse ad Azure Arc. Per assicurarsi che tutte le istanze EC2 idonee ricevano automaticamente Azure Arc, abilitare il provisioning automatico da Defender per il cloud a livello di account AWS. Altre informazioni su Azure Arc e Microsoft Defender per server.
Gravità: alta
Le distribuzioni CloudFront devono avere configurato il failover di origine
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront è configurata con un gruppo di origine con due o più origini. Il failover dell'origine CloudFront può aumentare la disponibilità. Il failover di origine reindirizza automaticamente il traffico a un'origine secondaria se l'origine primaria non è disponibile o se restituisce codici di stato di risposta HTTP specifici.
Gravità: medio
Gli URL del repository di origine CodeBuild o Bitbucket devono usare OAuth
Descrizione: questo controllo controlla se l'URL del repository di origine GitHub o Bitbucket contiene token di accesso personali o un nome utente e una password. Le credenziali di autenticazione non devono mai essere archiviate o trasmesse in testo non crittografato o visualizzate nell'URL del repository. Anziché token di accesso personale o nome utente e password, è consigliabile usare OAuth per concedere l'autorizzazione per l'accesso ai repository GitHub o Bitbucket. L'uso di token di accesso personali o un nome utente e una password potrebbero esporre le credenziali all'esposizione imprevista dei dati e all'accesso non autorizzato.
Gravità: alta
Le variabili di ambiente del progetto CodeBuild non devono contenere credenziali
Descrizione: questo controllo controlla se il progetto contiene le variabili AWS_ACCESS_KEY_ID
di ambiente e AWS_SECRET_ACCESS_KEY
.
Le credenziali AWS_ACCESS_KEY_ID
di autenticazione e AWS_SECRET_ACCESS_KEY
non devono mai essere archiviate in testo non crittografato, in quanto ciò potrebbe causare l'esposizione imprevista dei dati e l'accesso non autorizzato.
Gravità: alta
I cluster DynamoDB Accelerator (DAX) devono essere crittografati inattivi
Descrizione: questo controllo controlla se un cluster DAX è crittografato inattivo. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità di utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere.
Gravità: medio
Le tabelle DynamoDB devono ridimensionare automaticamente la capacità con la domanda
Descrizione: questo controllo controlla se una tabella Amazon DynamoDB può ridimensionare la capacità di lettura e scrittura in base alle esigenze. Questo controllo passa se la tabella usa la modalità di capacità su richiesta o la modalità di provisioning con scalabilità automatica configurata. La scalabilità della capacità con la domanda evita le eccezioni di limitazione, che consente di mantenere la disponibilità delle applicazioni.
Gravità: medio
Le istanze EC2 devono essere connesse ad Azure Arc
Descrizione: connettere le istanze EC2 ad Azure Arc per avere visibilità completa sul contenuto di sicurezza di Microsoft Defender per server. Altre informazioni su Azure Arc e su Microsoft Defender per server nell'ambiente cloud ibrido.
Gravità: alta
Le istanze EC2 devono essere gestite da AWS Systems Manager
Descrizione: lo stato della conformità delle patch di Amazon EC2 Systems Manager è "CONFORME" o "NON_COMPLIANT" dopo l'installazione della patch nell'istanza. Vengono controllate solo le istanze gestite da AWS Systems Manager Patch Manager. Le patch applicate entro il limite di 30 giorni prescritto dal requisito PCI DSS '6' non vengono controllate.
Gravità: medio
I problemi di configurazione EDR devono essere risolti in EC2s
Descrizione: per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione DIR (Endpoint Detection and Response) installata. Attualmente, questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint abilitato.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: alta
La soluzione EDR deve essere installata in EC2s
Descrizione: per proteggere EC2s, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste EDR consentono di prevenire, rilevare, investigare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: alta
Le istanze gestite da Systems Manager devono avere lo stato di conformità dell'associazione conforme
Descrizione: questo controllo controlla se lo stato della conformità dell'associazione di AWS Systems Manager è CONFORME o NON_COMPLIANT dopo l'esecuzione dell'associazione in un'istanza di . Il controllo passa se lo stato di conformità dell'associazione è CONFORME. Un'associazione di State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che si vuole mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione nelle istanze o che determinate porte devono essere chiuse. Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili nella console o in risposta ai comandi dell'interfaccia della riga di comando di AWS o alle corrispondenti operazioni api di Systems Manager. Per le associazioni, la conformità alla configurazione mostra gli stati conformi o non conformi e il livello di gravità assegnato all'associazione, ad esempio Critical o Medium. Per altre informazioni sulla conformità dell'associazione di State Manager, vedere Informazioni sulla conformità dell'associazione di State Manager nella Guida utente di AWS Systems Manager. È necessario configurare le istanze EC2 nell'ambito per l'associazione systems manager. È inoltre necessario configurare la baseline di patch per la classificazione di sicurezza del fornitore di patch e impostare la data di approvazione automatica per soddisfare il requisito 6.2 di PCI DSS 3.2.1. Per altre indicazioni su come creare un'associazione, vedere Creare un'associazione nella Guida utente di AWS Systems Manager. Per altre informazioni sull'uso delle patch in Systems Manager, vedere AWS Systems Manager Patch Manager nella Guida utente di AWS Systems Manager.
Gravità: Bassa
Le funzioni lambda devono avere una coda di messaggi non recapitabili configurata
Descrizione: questo controllo controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. Il controllo ha esito negativo se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. In alternativa a una destinazione di errore, è possibile configurare la funzione con una coda di messaggi non recapitabili per salvare gli eventi rimossi per un'ulteriore elaborazione. Una coda di messaggi non recapitabili funge da destinazione non riuscita. Viene usato quando un evento non riesce tutti i tentativi di elaborazione o scade senza essere elaborati. Una coda di messaggi non recapitabili consente di esaminare gli errori o le richieste non riuscite alla funzione Lambda per eseguire il debug o identificare comportamenti insoliti. Dal punto di vista della sicurezza, è importante comprendere il motivo per cui la funzione non è riuscita e assicurarsi che la funzione non rilasci dati o compromettere la sicurezza dei dati di conseguenza. Ad esempio, se la funzione non riesce a comunicare con una risorsa sottostante, potrebbe essere un sintomo di un attacco Denial of Service (DoS) altrove nella rete.
Gravità: medio
Le funzioni lambda devono usare runtime supportati
Descrizione: questo controllo verifica che le impostazioni della funzione Lambda per i runtime corrispondano ai valori previsti impostati per i runtime supportati per ogni linguaggio. Questo controllo verifica la presenza dei runtime seguenti: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1runtime lambda sono basati su una combinazione di sistema operativo, linguaggio di programmazione e librerie software soggette a aggiornamenti di manutenzione e sicurezza. Quando un componente di runtime non è più supportato per gli aggiornamenti della sicurezza, lambda depreca il runtime. Anche se non è possibile creare funzioni che usano il runtime deprecato, la funzione è ancora disponibile per elaborare gli eventi di chiamata. Assicurarsi che le funzioni Lambda siano correnti e non usino ambienti di runtime non aggiornati. Per altre informazioni sui runtime supportati controllati da questo controllo per i linguaggi supportati, vedere AWS Lambda Runtimes (Runtime lambda AWS) nella Guida per sviluppatori di AWS Lambda.
Gravità: medio
Le porte di gestione delle istanze EC2 devono essere protette con il controllo di accesso alla rete JITE
Descrizione: Microsoft Defender per il cloud identificato alcune regole in ingresso eccessivamente permissive per le porte di gestione nella rete. Abilitare il controllo di accesso JUST-In-Time per proteggere le istanze da attacchi di forza bruta basati su Internet. Altre informazioni.
Gravità: alta
I gruppi di sicurezza EC2 inutilizzati devono essere rimossi
Descrizione: i gruppi di sicurezza devono essere collegati alle istanze di Amazon EC2 o a un ENI. La ricerca integra può indicare che sono presenti gruppi di sicurezza Amazon EC2 inutilizzati.
Gravità: Bassa
Raccomandazioni per le risorse di calcolo GCP
Le macchine virtuali del motore di calcolo devono usare il sistema operativo ottimizzato per i contenitori
Descrizione: questa raccomandazione valuta la proprietà config di un pool di nodi per la coppia chiave-valore, 'imageType': 'COS'.
Gravità: Bassa
I problemi di configurazione EDR devono essere risolti nelle macchine virtuali GCP
Descrizione: per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione DIR (Endpoint Detection and Response) installata. Attualmente, questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint abilitato.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: alta
La soluzione EDR deve essere installata in macchine virtuali GCP
Descrizione: per proteggere le macchine virtuali, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste EDR consentono di prevenire, rilevare, investigare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla.
Questa raccomandazione per l'endpoint senza agente è disponibile se si dispone di Defender per server piano 2 o del piano CSPM di Defender. Altre informazioni sulle raccomandazioni di Endpoint Protection senza agente.
- Queste nuove raccomandazioni sugli endpoint senza agente supportano i computer Azure e multicloud. I server locali non sono supportati.
- Queste nuove raccomandazioni sugli endpoint senza agente sostituiscono le raccomandazioni esistenti che Endpoint Protection devono essere installate nei computer (anteprima) e i problemi di integrità di Endpoint Protection devono essere risolti nei computer (anteprima).
- Queste raccomandazioni precedenti usano l'agente MMA/AMA e verranno sostituite man mano che gli agenti vengono eliminati gradualmente in Defender per server.
Gravità: alta
Verificare che "Blocca chiavi SSH a livello di progetto" sia abilitato per le istanze di macchina virtuale
Descrizione: è consigliabile usare chiavi SSH specifiche dell'istanza anziché usare chiavi SSH comuni/condivise a livello di progetto per accedere alle istanze. Le chiavi SSH a livello di progetto vengono archiviate in Calcolo/Project-meta-data. Le chiavi SSH a livello di progetto possono essere usate per accedere a tutte le istanze all'interno del progetto. L'uso di chiavi SSH a livello di progetto semplifica la gestione delle chiavi SSH, ma, se compromessa, comporta il rischio di sicurezza che può influire su tutte le istanze all'interno del progetto. È consigliabile usare chiavi SSH specifiche dell'istanza che possono limitare la superficie di attacco se le chiavi SSH vengono compromesse.
Gravità: medio
Verificare che le istanze di calcolo vengano avviate con la macchina virtuale schermata abilitata
Descrizione: per difendersi dalle minacce avanzate e assicurarsi che il caricatore di avvio e il firmware nelle macchine virtuali siano firmati e non soddisfatti, è consigliabile avviare le istanze di calcolo con la macchina virtuale schermata abilitata.
Le macchine virtuali schermate sono macchine virtuali in Google Cloud Platform con protezione avanzata da un set di controlli di sicurezza che consentono di difendersi da rootkits
e bootkits
.
La macchina virtuale schermata offre l'integrità verificabile delle istanze della macchina virtuale del motore di calcolo, pertanto è possibile assicurarsi che le istanze non siano state compromesse da malware o rootkit a livello di kernel o di avvio.
L'integrità verificabile della macchina virtuale schermata viene ottenuta tramite l'uso di avvio protetto, un modulo VTPM (Virtual Trusted Platform Module) abilitato per l'avvio misurato e il monitoraggio dell'integrità.
Le istanze della macchina virtuale schermata eseguono il firmware firmato e verificato usando l'autorità di certificazione di Google, assicurandosi che il firmware dell'istanza non sia modificato e stabilissi la radice di attendibilità per l'avvio protetto.
Il monitoraggio dell'integrità consente di comprendere e prendere decisioni sullo stato delle istanze della macchina virtuale e la macchina virtuale schermata vTPM abilita l'avvio misurato eseguendo le misurazioni necessarie per creare una baseline di avvio valida nota, denominata baseline dei criteri di integrità.
La baseline dei criteri di integrità viene usata per il confronto con le misurazioni degli avvio delle macchine virtuali successive per determinare se sono state apportate modifiche.
L'avvio protetto garantisce che il sistema esegua solo il software autentico verificando la firma digitale di tutti i componenti di avvio e interrompendo il processo di avvio in caso di esito negativo della verifica della firma.
Gravità: alta
Assicurarsi che l'opzione 'Abilita connessione alle porte seriali' non sia abilitata per l'istanza di macchina virtuale
Descrizione: l'interazione con una porta seriale viene spesso definita console seriale, simile all'uso di una finestra del terminale, in tale input e output è interamente in modalità testo e non è disponibile alcuna interfaccia grafica o supporto del mouse. Se si abilita la console seriale interattiva in un'istanza, i client possono tentare di connettersi a tale istanza da qualsiasi indirizzo IP. Pertanto, il supporto interattivo della console seriale deve essere disabilitato. Un'istanza di macchina virtuale ha quattro porte seriali virtuali. L'interazione con una porta seriale è simile all'uso di una finestra del terminale, in tale input e output è interamente in modalità testo e non è disponibile alcuna interfaccia grafica o supporto del mouse. Il sistema operativo, il BIOS e altre entità a livello di sistema spesso scrivono l'output nelle porte seriali e possono accettare input, ad esempio comandi o risposte alle richieste. In genere, queste entità a livello di sistema usano la prima porta seriale (porta 1) e la porta seriale 1 viene spesso definita console seriale. La console seriale interattiva non supporta restrizioni di accesso basate su IP, ad esempio gli elenchi di indirizzi IP consentiti. Se si abilita la console seriale interattiva in un'istanza, i client possono tentare di connettersi a tale istanza da qualsiasi indirizzo IP. Ciò consente a chiunque di connettersi a tale istanza se conosce la chiave SSH corretta, il nome utente, l'ID progetto, la zona e il nome dell'istanza. Pertanto, il supporto interattivo della console seriale deve essere disabilitato.
Gravità: medio
Assicurarsi che il flag di database 'log_duration' per l'istanza di Cloud SQL PostgreSQL sia impostato su 'on'
Descrizione: l'abilitazione dell'impostazione log_hostname determina la registrazione della durata di ogni istruzione completata. Ciò non registra il testo della query e pertanto si comporta in modo diverso dal flag log_min_duration_statement. Questo parametro non può essere modificato dopo l'avvio della sessione. Il monitoraggio del tempo impiegato per eseguire le query può essere fondamentale per identificare qualsiasi query di spostamento delle risorse e valutare le prestazioni del server. È possibile eseguire ulteriori passaggi, ad esempio il bilanciamento del carico e l'uso di query ottimizzate, per garantire le prestazioni e la stabilità del server. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_executor_stats" per l'istanza di Cloud SQL PostgreSQL sia impostato su "off"
Descrizione: l'executor PostgreSQL è responsabile dell'esecuzione del piano consegnato da PostgreSQL Planner. L'executor elabora il piano in modo ricorsivo per estrarre il set di righe richiesto. Il flag "log_executor_stats" controlla l'inclusione delle statistiche sulle prestazioni dell'executor PostgreSQL nei log postgreSQL per ogni query. Il flag "log_executor_stats" consente un metodo di profilatura grezzo per la registrazione delle statistiche sulle prestazioni dell'executor PostgreSQL, che, anche se può essere utile per la risoluzione dei problemi, potrebbe aumentare significativamente il numero di log e avere un sovraccarico delle prestazioni. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_min_error_statement" per l'istanza di Cloud SQL PostgreSQL sia impostato su "Errore" o più restrittivo
Descrizione: il flag "log_min_error_statement" definisce il livello di gravità minimo del messaggio considerato come istruzione di errore. I messaggi per le istruzioni di errore vengono registrati con l'istruzione SQL. I valori validi includono "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "AVVISO", "AVVISO", "ERRORE", "LOG", "FATAL" e "PANIC". Ogni livello di gravità include i livelli successivi indicati in precedenza. Verificare che sia impostato un valore ERROR o stricter. Il controllo aiuta a risolvere i problemi operativi e consente anche l'analisi forense. Se "log_min_error_statement" non è impostato sul valore corretto, i messaggi potrebbero non essere classificati come messaggi di errore in modo appropriato. Considerando i messaggi di log generali come messaggi di errore, è difficile trovare gli errori effettivi e considerare solo livelli di gravità più rigidi perché i messaggi di errore potrebbero ignorare gli errori effettivi per registrare le istruzioni SQL. Il flag "log_min_error_statement" deve essere impostato su "ERROR" o più restrittivo. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_parser_stats" per l'istanza di Cloud SQL PostgreSQL sia impostato su "off"
Descrizione: PostgreSQL planner/optimizer è responsabile dell'analisi e della verifica della sintassi di ogni query ricevuta dal server. Se la sintassi è corretta, viene creato un "albero di analisi" in caso contrario viene generato un errore. Il flag "log_parser_stats" controlla l'inclusione delle statistiche sulle prestazioni del parser nei log postgreSQL per ogni query. Il flag "log_parser_stats" consente un metodo di profilatura grezzo per la registrazione delle statistiche sulle prestazioni del parser, che, anche se può essere utile per la risoluzione dei problemi, potrebbe aumentare significativamente il numero di log e avere un sovraccarico delle prestazioni. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_planner_stats" per l'istanza di Cloud SQL PostgreSQL sia impostato su "off"
Descrizione: la stessa query SQL può essere eseguita in diversi modi e comunque produrre risultati diversi. PostgreSQL Planner/Optimizer è responsabile della creazione di un piano di esecuzione ottimale per ogni query. Il flag "log_planner_stats" controlla l'inclusione delle statistiche sulle prestazioni di PostgreSQL planner nei log postgreSQL per ogni query. Il flag "log_planner_stats" consente un metodo di profilatura grezzo per la registrazione delle statistiche sulle prestazioni di PostgreSQL Planner, che, anche se può essere utile per la risoluzione dei problemi, potrebbe aumentare significativamente il numero di log e avere un sovraccarico delle prestazioni. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_statement_stats" per l'istanza di Cloud SQL PostgreSQL sia impostato su "off"
Descrizione: il flag "log_statement_stats" controlla l'inclusione delle statistiche sulle prestazioni end-to-end di una query SQL nei log postgreSQL per ogni query. Non è possibile abilitare questa opzione con altre statistiche del modulo (log_parser_stats, log_planner_stats log_executor_stats). Il flag "log_statement_stats" consente un metodo di profilatura grezzo per la registrazione delle statistiche sulle prestazioni end-to-end di una query SQL. Ciò può essere utile per la risoluzione dei problemi, ma potrebbe aumentare significativamente il numero di log e comportare un sovraccarico delle prestazioni. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che le istanze di calcolo non dispongano di indirizzi IP pubblici
Descrizione: le istanze di calcolo non devono essere configurate per avere indirizzi IP esterni.
Per ridurre la superficie di attacco, le istanze di calcolo non devono avere indirizzi IP pubblici. Al contrario, le istanze devono essere configurate dietro i servizi di bilanciamento del carico, per ridurre al minimo l'esposizione dell'istanza a Internet.
Le istanze create da GKE devono essere escluse perché alcune di esse hanno indirizzi IP esterni e non possono essere modificate modificando le impostazioni dell'istanza.
Queste macchine virtuali hanno nomi che iniziano con gke-
e sono etichettati goog-gke-node
.
Gravità: alta
Assicurarsi che le istanze non siano configurate per l'uso dell'account del servizio predefinito
Descrizione: è consigliabile configurare l'istanza per non usare l'account del servizio motore di calcolo predefinito perché ha il ruolo Editor nel progetto.
L'account del servizio Motore di calcolo predefinito ha il ruolo Editor nel progetto, che consente l'accesso in lettura e scrittura alla maggior parte dei Servizi cloud Google.
Per difendersi dalle escalation dei privilegi se la macchina virtuale è compromessa e per impedire a un utente malintenzionato di accedere a tutti i progetti, è consigliabile non usare l'account del servizio motore di calcolo predefinito.
È invece necessario creare un nuovo account del servizio e assegnare solo le autorizzazioni necessarie per l'istanza.
L'account del servizio motore di calcolo predefinito è denominato [PROJECT_NUMBER]- compute@developer.gserviceaccount.com
.
Le macchine virtuali create da GKE devono essere escluse. Queste macchine virtuali hanno nomi che iniziano con gke-
e sono etichettati goog-gke-node
.
Gravità: alta
Assicurarsi che le istanze non siano configurate per l'uso dell'account del servizio predefinito con accesso completo a tutte le API cloud
Descrizione: per supportare il principio dei privilegi minimi e impedire l'escalation dei privilegi potenziali, è consigliabile che le istanze non vengano assegnate all'account del servizio predefinito "Account del servizio predefinito del motore di calcolo" con ambito "Consenti l'accesso completo a tutte le API cloud". Oltre alla possibilità di creare, gestire e usare gli account del servizio personalizzati gestiti dall'utente, Google Compute Engine fornisce l'account di servizio predefinito "Account del servizio predefinito del motore di calcolo" per un'istanza per accedere ai servizi cloud necessari.
Il ruolo "Project Editor" viene assegnato all'account del servizio predefinito del motore di calcolo, di conseguenza, questo account del servizio ha quasi tutte le funzionalità di tutti i servizi cloud ad eccezione della fatturazione. Tuttavia, quando "Account del servizio predefinito del motore di calcolo" assegnato a un'istanza può operare in tre ambiti.
- Consenti accesso predefinito: consente solo l'accesso minimo necessario per eseguire un'istanza (privilegi minimi).
- Consenti l'accesso completo a tutte le API cloud: consenti l'accesso completo a tutte le API/servizi cloud (troppo accesso).
- Impostare l'accesso per ogni API: consente all'amministratore dell'istanza di scegliere solo le API necessarie per eseguire funzionalità aziendali specifiche previste dall'istanza.
Quando un'istanza viene configurata con "Account del servizio predefinito del motore di calcolo" con ambito "Consenti l'accesso completo a tutte le API cloud", in base ai ruoli IAM assegnati all'istanza di accesso degli utenti, potrebbe consentire all'utente di eseguire operazioni cloud/chiamate API che l'utente non deve eseguire con esito positivo l'escalation dei privilegi.
Le macchine virtuali create da GKE devono essere escluse. Queste macchine virtuali hanno nomi che iniziano con gke-
e sono etichettati goog-gke-node
.
Gravità: medio
Assicurarsi che l'inoltro IP non sia abilitato nelle istanze
Descrizione: l'istanza del motore di calcolo non può inoltrare un pacchetto a meno che l'indirizzo IP di origine del pacchetto corrisponda all'indirizzo IP dell'istanza. Analogamente, GCP non recapita un pacchetto il cui indirizzo IP di destinazione è diverso dall'indirizzo IP dell'istanza che riceve il pacchetto. Tuttavia, entrambe le funzionalità sono necessarie se si vogliono usare le istanze per indirizzare i pacchetti. L'inoltro dei pacchetti di dati deve essere disabilitato per evitare la perdita di dati o la divulgazione di informazioni. L'istanza del motore di calcolo non può inoltrare un pacchetto a meno che l'indirizzo IP di origine del pacchetto corrisponda all'indirizzo IP dell'istanza. Analogamente, GCP non recapita un pacchetto il cui indirizzo IP di destinazione è diverso dall'indirizzo IP dell'istanza che riceve il pacchetto. Tuttavia, entrambe le funzionalità sono necessarie se si vogliono usare le istanze per indirizzare i pacchetti. Per abilitare questo controllo IP di origine e destinazione, disabilitare il campo canIpForward, che consente a un'istanza di inviare e ricevere pacchetti con indirizzi IP di destinazione o di origine non corrispondenti.
Gravità: medio
Assicurarsi che il flag di database "log_checkpoints" per l'istanza di Cloud SQL PostgreSQL sia impostato su "on"
Descrizione: assicurarsi che il flag di database log_checkpoints per l'istanza di Cloud SQL PostgreSQL sia impostato su Attivato. L'abilitazione di log_checkpoints fa sì che i checkpoint e i punti di riavvio vengano registrati nel log del server. Alcune statistiche sono incluse nei messaggi di log, tra cui il numero di buffer scritti e il tempo impiegato per scriverli. Questo parametro può essere impostato solo nel file postgresql.conf o nella riga di comando del server. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_lock_waits" per l'istanza di Cloud SQL PostgreSQL sia impostato su "on"
Descrizione: l'abilitazione del flag "log_lock_waits" per un'istanza di PostgreSQL crea un log per le attese di sessione che richiedono più tempo rispetto al tempo "deadlock_timeout" assegnato per acquisire un blocco. Il timeout del deadlock definisce il tempo di attesa di un blocco prima di verificare eventuali condizioni. L'esecuzione frequente in caso di timeout dei deadlock può essere un'indicazione di un problema sottostante. La registrazione di tali attese sui blocchi abilitando il flag log_lock_waits può essere usata per identificare prestazioni scarse a causa di ritardi di blocco o se un SQL appositamente creato sta tentando di starvendo le risorse mantenendo blocchi per quantità eccessive di tempo. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_min_duration_statement" per l'istanza di Cloud SQL PostgreSQL sia impostato su '-1'
Descrizione: il flag "log_min_duration_statement" definisce la quantità minima di tempo di esecuzione di un'istruzione in millisecondi in cui viene registrata la durata totale dell'istruzione. Assicurarsi che "log_min_duration_statement" sia disabilitato, ovvero sia impostato il valore -1. Le istruzioni SQL di registrazione possono includere informazioni riservate che non devono essere registrate nei log. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_min_messages" per l'istanza di Cloud SQL PostgreSQL sia impostato in modo appropriato
Descrizione: il flag "log_min_error_statement" definisce il livello di gravità minimo del messaggio considerato come istruzione di errore. I messaggi per le istruzioni di errore vengono registrati con l'istruzione SQL. I valori validi includono "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "AVVISO", "AVVISO", "ERRORE", "LOG", "FATAL" e "PANIC". Ogni livello di gravità include i livelli successivi indicati in precedenza. Per disattivare efficacemente le istruzioni di errore di registrazione, impostare questo parametro su PANIC. L'errore è considerato l'impostazione di procedura consigliata. Le modifiche devono essere apportate solo in conformità ai criteri di registrazione dell'organizzazione. Il controllo aiuta a risolvere i problemi operativi e consente anche l'analisi forense. Se "log_min_error_statement" non è impostato sul valore corretto, i messaggi potrebbero non essere classificati come messaggi di errore in modo appropriato. Considerando i messaggi di log generali come messaggi di errore, sarebbe difficile trovare errori effettivi, considerando solo i livelli di gravità più rigidi perché i messaggi di errore potrebbero ignorare gli errori effettivi per registrare le istruzioni SQL. Il flag "log_min_error_statement" deve essere impostato in base ai criteri di registrazione dell'organizzazione. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.
Gravità: Bassa
Assicurarsi che il flag di database "log_temp_files" per l'istanza di Cloud SQL PostgreSQL sia impostato su "0"
Descrizione: PostgreSQL può creare un file temporaneo per azioni come l'ordinamento, l'hashing e i risultati di query temporanei quando queste operazioni superano "work_mem". Il flag "log_temp_files" controlla i nomi di registrazione e le dimensioni del file quando viene eliminato. La configurazione di "log_temp_files" su 0 comporta la registrazione di tutte le informazioni sui file temporanei, mentre i valori positivi registrano solo file le cui dimensioni sono maggiori o uguali al numero specificato di kilobyte. Il valore "-1" disabilita la registrazione temporanea delle informazioni sui file. Se tutti i file temporanei non vengono registrati, potrebbe essere più difficile identificare potenziali problemi di prestazioni che potrebbero essere dovuti a problemi di codifica di applicazioni non ottimali o tentativi intenzionali di fame delle risorse.
Gravità: Bassa
Verificare che i dischi delle macchine virtuali per le macchine virtuali critiche siano crittografati con la chiave di crittografia fornita dal cliente
Descrizione: le chiavi di crittografia fornite dal cliente (CSEK) sono una funzionalità di Google Cloud Storage e Google Compute Engine. Se si forniscono chiavi di crittografia personalizzate, Google usa la chiave per proteggere le chiavi generate da Google usate per crittografare e decrittografare i dati. Per impostazione predefinita, Google Compute Engine crittografa tutti i dati inattivi. Il motore di calcolo gestisce e gestisce automaticamente questa crittografia senza azioni aggiuntive da parte dell'utente. Tuttavia, se si vuole controllare e gestire questa crittografia manualmente, è possibile fornire chiavi di crittografia personalizzate. Per impostazione predefinita, Google Compute Engine crittografa tutti i dati inattivi. Il motore di calcolo gestisce e gestisce automaticamente questa crittografia senza azioni aggiuntive da parte dell'utente. Tuttavia, se si vuole controllare e gestire questa crittografia manualmente, è possibile fornire chiavi di crittografia personalizzate. Se si forniscono chiavi di crittografia personalizzate, il motore di calcolo usa la chiave per proteggere le chiavi generate da Google usate per crittografare e decrittografare i dati. Solo gli utenti che possono fornire la chiave corretta possono usare le risorse protette da una chiave di crittografia fornita dal cliente. Google non archivia le chiavi nei server e non può accedere ai dati protetti a meno che non si fornisca la chiave. Ciò significa anche che, se si dimentica o si perde la chiave, non c'è modo per Google di recuperare la chiave o di recuperare i dati crittografati con la chiave persa. Almeno le macchine virtuali business critical devono avere dischi di macchine virtuali crittografati con CSEK.
Gravità: medio
Per i progetti GCP deve essere abilitato il provisioning automatico di Azure Arc
Descrizione: per una visibilità completa del contenuto di sicurezza di Microsoft Defender per i server, le istanze di macchine virtuali GCP devono essere connesse ad Azure Arc. Per assicurarsi che tutte le istanze di vm idonee ricevano automaticamente Azure Arc, abilitare il provisioning automatico da Defender per il cloud a livello di progetto GCP. Altre informazioni su Azure Arc e Microsoft Defender per server.
Gravità: alta
Le istanze di vm GCP devono essere connesse ad Azure Arc
Descrizione: connettere il Macchine virtuali GCP ad Azure Arc per avere visibilità completa sul contenuto di sicurezza di Microsoft Defender per server. Altre informazioni su Azure Arc e su Microsoft Defender per server nell'ambiente cloud ibrido.
Gravità: alta
Per le istanze di vm GCP deve essere installato l'agente di configurazione del sistema operativo
Descrizione: per ricevere le funzionalità complete di Defender per server usando il provisioning automatico di Azure Arc, le macchine virtuali GCP devono avere l'agente di configurazione del sistema operativo abilitato.
Gravità: alta
La funzionalità di ripristino automatico del cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta la proprietà di gestione di un pool di nodi per la coppia chiave-valore, 'key': 'autoRepair,' 'value': true.
Gravità: medio
La funzionalità di aggiornamento automatico del cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta la proprietà di gestione di un pool di nodi per la coppia chiave-valore, 'key': 'autoUpgrade,' 'value': true.
Gravità: alta
È necessario abilitare il monitoraggio dei cluster GKE
Descrizione: questa raccomandazione valuta se la proprietà monitoringService di un cluster contiene il percorso Da usare Monitoraggio cloud per scrivere le metriche.
Gravità: medio