Raccomandazioni sulla sicurezza delle identità e dell'accesso
Questo articolo elenca tutte le raccomandazioni sulla sicurezza di identità e accesso che potrebbero essere visualizzate in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Suggerimento
Se una descrizione della raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa.
Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. La limitazione dei criteri solo alle raccomandazioni fondamentali semplifica la gestione dei criteri.
Raccomandazioni su identità e accesso di Azure
È necessario designare un massimo di 3 proprietari per le sottoscrizioni
Descrizione: per ridurre il rischio di violazioni da parte di account proprietari compromessi, è consigliabile limitare il numero di account proprietario a un massimo di 3 (criterio correlato: un massimo di 3 proprietari deve essere designato per la sottoscrizione).
Gravità: alta
Gli account Azure Cosmos DB devono usare Azure Active Directory come unico metodo di autenticazione
Descrizione: il modo migliore per eseguire l'autenticazione ai servizi di Azure consiste nell'usare il controllo degli Controllo di accesso accessi in base al ruolo (RBAC). Il controllo degli accessi in base al ruolo consente di mantenere il principio dei privilegi minimi e supporta la possibilità di revocare le autorizzazioni come metodo efficace di risposta in caso di compromissione. È possibile configurare l'account Azure Cosmos DB per applicare il controllo degli accessi in base al ruolo come unico metodo di autenticazione. Quando l'imposizione è configurata, tutti gli altri metodi di accesso verranno negati (chiavi primarie/secondarie e token di accesso). (Nessun criterio correlato)
Gravità: medio
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi
Descrizione: gli account che sono stati bloccati per l'accesso in Active Directory devono essere rimossi dalle risorse di Azure. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)
Gravità: alta
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi
Descrizione: gli account che sono stati bloccati per l'accesso in Active Directory devono essere rimossi dalle risorse di Azure. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)
Gravità: alta
Gli account deprecati devono essere rimossi dalle sottoscrizioni
Descrizione: gli account utente che sono stati bloccati per l'accesso devono essere rimossi dalle sottoscrizioni. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account deprecati devono essere rimossi dalla sottoscrizione.
Gravità: alta
Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni
Descrizione: gli account utente che sono stati bloccati per l'accesso devono essere rimossi dalle sottoscrizioni. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione.
Gravità: alta
I log di diagnostica in Key Vault devono essere abilitati
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: È necessario abilitare i log di diagnostica in Key Vault).
Gravità: Bassa
Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni
Descrizione: gli account con autorizzazioni di proprietario con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione.
Gravità: alta
Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni
Descrizione: gli account con autorizzazioni di lettura con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione.
Gravità: alta
Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni
Descrizione: gli account con autorizzazioni di scrittura con nomi di dominio diversi (account esterni) devono essere rimossi dalla sottoscrizione. Questo approccio impedisce l'accesso non monitorato. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Criterio correlato: Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalla sottoscrizione.
Gravità: alta
Il firewall deve essere abilitato in Key Vault
Descrizione: il firewall dell'insieme di credenziali delle chiavi impedisce al traffico non autorizzato di raggiungere l'insieme di credenziali delle chiavi e offre un ulteriore livello di protezione per i segreti. Abilitare il firewall per assicurarsi che solo il traffico dalle reti consentite possa accedere all'insieme di credenziali delle chiavi. (Criterio correlato: Il firewall deve essere abilitato nell'insieme di credenziali delle chiavi.
Gravità: medio
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi
Descrizione: gli account con autorizzazioni di proprietario di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)
Gravità: alta
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi
Descrizione: gli account con autorizzazioni di lettura di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)
Gravità: alta
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi
Descrizione: gli account con autorizzazioni di scrittura di cui è stato effettuato il provisioning all'esterno del tenant di Azure Active Directory (nomi di dominio diversi), devono essere rimossi dalle risorse di Azure. Gli account guest non vengono gestiti con gli stessi standard delle identità del tenant aziendale. Questi account possono essere obiettivi per utenti malintenzionati che cercano un modo per accedere ai dati senza essere notati. (Nessun criterio correlato)
Gravità: alta
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza
Descrizione: le chiavi crittografiche devono avere una data di scadenza definita e non essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. È consigliabile impostare le date di scadenza per le chiavi crittografiche. (Criterio correlato: Le chiavi di Key Vault devono avere una data di scadenza.
Gravità: alta
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza
Descrizione: i segreti devono avere una data di scadenza definita e non essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. È consigliabile impostare le date di scadenza per i segreti. (Criterio correlato: I segreti di Key Vault devono avere una data di scadenza.
Gravità: alta
Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva
Descrizione: l'eliminazione dannosa di un insieme di credenziali delle chiavi può causare una perdita permanente di dati. Un utente malintenzionato interno all'organizzazione può potenzialmente eliminare e rimuovere definitivamente gli insiemi di credenziali delle chiavi. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. (Criterio correlato: Gli insiemi di credenziali delle chiavi devono avere la protezione di ripulitura abilitata.
Gravità: medio
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea
Descrizione: l'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. (Criterio correlato: Gli insiemi di credenziali delle chiavi devono avere l'eliminazione temporanea abilitata.
Gravità: alta
È necessario abilitare Microsoft Defender per Key Vault
Descrizione: Microsoft Defender per il cloud include Microsoft Defender per Key Vault, fornendo un ulteriore livello di intelligence per la sicurezza. Microsoft Defender per Key Vault rileva tentativi insoliti e potenzialmente dannosi di accesso o exploit degli account di Key Vault.
Le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di insiemi di credenziali delle chiavi in questa sottoscrizione, non verrà addebitato alcun addebito. Se in un secondo momento si creano insiemi di credenziali delle chiavi in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area. Per altre informazioni, vedere Introduzione a Microsoft Defender per Key Vault. (Criterio correlato: Azure Defender per Key Vault deve essere abilitato.
Gravità: alta
Le autorizzazioni delle identità inattive nella sottoscrizione di Azure devono essere revocate
Descrizione: Microsoft Defender per il cloud individuato un'identità che non ha eseguito alcuna azione su alcuna risorsa all'interno della sottoscrizione di Azure negli ultimi 45 giorni. È consigliabile revocare le autorizzazioni delle identità inattive per ridurre la superficie di attacco dell'ambiente cloud.
Gravità: medio
L'endpoint privato deve essere configurato per Key Vault
Descrizione: il collegamento privato consente di connettere Key Vault alle risorse di Azure senza inviare traffico tramite Internet pubblico. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. (Criterio correlato: L'endpoint privato deve essere configurato per Key Vault.
Gravità: medio
L'accesso pubblico agli account di archiviazione non deve essere consentito
Descrizione: l'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. (Criterio correlato: L'accesso pubblico dell'account di archiviazione non deve essere consentito.
Gravità: medio
Alle sottoscrizioni devono essere assegnati più di un proprietario
Descrizione: designare più di un proprietario della sottoscrizione per avere ridondanza dell'accesso amministratore. (Criterio correlato: Alla sottoscrizione devono essere assegnati più proprietari.
Gravità: alta
Il periodo di validità dei certificati archiviati in Azure Key Vault non deve superare i 12 mesi
Descrizione: assicurarsi che i certificati non abbiano un periodo di validità superiore a 12 mesi. (Criterio correlato: I certificati devono avere il periodo di validità massimo specificato.
Gravità: medio
Le identità con provisioning eccessivo di Azure devono avere solo le autorizzazioni necessarie (anteprima)
Descrizione: le identità con provisioning eccessivo o le identità con autorizzazioni non usano molte delle autorizzazioni concesse. Autorizzazioni di dimensioni regolari di queste identità per ridurre il rischio di uso improprio delle autorizzazioni, accidentali o dannose. Questa azione riduce il potenziale raggio di esplosione durante un evento imprevisto di sicurezza.
Gravità: medio
I ruoli con privilegi non devono avere accesso permanente a livello di sottoscrizione e gruppo di risorse
Descrizione: Microsoft Defender per il cloud individuato un'identità che non ha eseguito alcuna azione su alcuna risorsa all'interno della sottoscrizione di Azure negli ultimi 45 giorni. È consigliabile revocare le autorizzazioni delle identità inattive per ridurre la superficie di attacco dell'ambiente cloud.
Gravità: alta
Le entità servizio non devono essere assegnate con ruoli amministrativi a livello di sottoscrizione e gruppo di risorse
Descrizione: Defender per il cloud identificate entità servizio assegnate con ruoli con privilegi a livello di gruppo di risorse o sottoscrizione. I ruoli di amministratore con privilegi sono ruoli che possono eseguire operazioni sensibili sulla risorsa, ad esempio Proprietario, Collaboratore o Amministratore accesso utenti. Le entità servizio svolgono un ruolo fondamentale nella gestione delle risorse di Azure in modo efficiente e sicuro, eliminando la necessità di intervento umano. È importante seguire il principio dei privilegi minimi, concedere solo il livello minimo di accesso necessario a una determinata entità servizio per svolgere i propri compiti. Gli amministratori e l'accesso con privilegi sono la destinazione principale degli hacker. Per le procedure consigliate quando si usano le assegnazioni di ruolo con privilegi di amministratore, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure. Procedure consigliate per il controllo degli accessi in base al ruolo di Azure. Per un elenco dei ruoli disponibili nel controllo degli accessi in base al ruolo di Azure, vedere Ruoli predefiniti di Azure.
Gravità: alta
Raccomandazioni per l'identità e l'accesso di AWS
I domini di Amazon Elasticsearch Service devono trovarsi in un VPC
Descrizione: VPC non può contenere domini con un endpoint pubblico. In questo modo non viene valutata la configurazione del routing della subnet VPC per determinare la raggiungibilità pubblica.
Gravità: alta
Le autorizzazioni amazon S3 concesse ad altri account AWS nei criteri bucket devono essere limitate
Descrizione: l'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre il rischio di sicurezza e l'impatto di errori o finalità dannose. Se un criterio bucket S3 consente l'accesso da account esterni, potrebbe comportare l'esfiltrazione di dati da una minaccia Insider o da un utente malintenzionato. Il parametro 'blacklistedactionpatterns' consente di valutare correttamente la regola per i bucket S3. Il parametro concede l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco "blacklistedactionpatterns".
Gravità: alta
Evitare l'uso dell'account "root"
Descrizione: l'account "radice" ha accesso illimitato a tutte le risorse nell'account AWS. È consigliabile evitare l'uso di questo account. L'account "root" è l'account AWS con privilegi più elevati. Ridurre al minimo l'uso di questo account e adottare il principio dei privilegi minimi per la gestione degli accessi ridurrà il rischio di modifiche accidentali e divulgazione accidentale di credenziali con privilegi elevati.
Gravità: alta
Le chiavi del Servizio di gestione delle chiavi AWS non devono essere involontariamente eliminate
Descrizione: questo controllo controlla se le chiavi del Servizio di gestione delle chiavi sono pianificate per l'eliminazione. Il controllo ha esito negativo se è pianificata l'eliminazione di una chiave del Servizio di gestione delle chiavi. Le chiavi del Servizio di gestione delle chiavi non possono essere recuperate una volta eliminate. Anche i dati crittografati in una chiave del Servizio di gestione delle chiavi sono irreversibili se la chiave del Servizio di gestione delle chiavi viene eliminata. Se i dati significativi sono stati crittografati con una chiave del Servizio di gestione delle chiavi pianificata per l'eliminazione, è consigliabile decrittografare i dati o crittografare nuovamente i dati in una nuova chiave del Servizio di gestione delle chiavi, a meno che non si stia intenzionalmente eseguendo una cancellazione crittografica. Quando viene pianificata l'eliminazione di una chiave del Servizio di gestione delle chiavi, viene applicato un periodo di attesa obbligatorio per consentire il tempo di invertire l'eliminazione, se è stato pianificato in errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a un massimo di sette giorni quando la chiave del Servizio di gestione delle chiavi è pianificata per l'eliminazione. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave del Servizio di gestione delle chiavi non verrà eliminata. Per altre informazioni sull'eliminazione delle chiavi del Servizio di gestione delle chiavi, vedere Eliminazione delle chiavi del Servizio di gestione delle chiavi nella Guida per sviluppatori di AWS Servizio di gestione delle chiavi.
Gravità: alta
Le identità con provisioning eccessivo di AWS devono avere solo le autorizzazioni necessarie (anteprima)
Descrizione: un'identità attiva con provisioning eccessivo è un'identità con accesso ai privilegi non usati. Le identità attive con provisioning eccessivo, in particolare per gli account non umani che hanno definito azioni e responsabilità, possono aumentare il raggio di esplosione in caso di compromissione di un utente, di una chiave o di una risorsa. Rimuovere le autorizzazioni non necessarie e stabilire i processi di revisione per ottenere le autorizzazioni con privilegi minimi.
Gravità: medio
È consigliabile abilitare la registrazione ACL globale globale di AWS WAF Classic
Descrizione: questo controllo controlla se la registrazione è abilitata per un elenco di controllo di accesso Web globale di AWS WAF. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web. La registrazione è una parte importante della gestione globale dell'affidabilità, della disponibilità e delle prestazioni di AWS WAF. Si tratta di un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento dell'applicazione. Fornisce anche informazioni dettagliate sul traffico analizzato dall'ACL Web collegato a AWS WAF.
Gravità: medio
Le distribuzioni CloudFront devono avere un oggetto radice predefinito configurato
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront è configurata per restituire un oggetto specifico che è l'oggetto radice predefinito. Il controllo ha esito negativo se la distribuzione CloudFront non dispone di un oggetto radice predefinito configurato. Un utente potrebbe talvolta richiedere l'URL radice delle distribuzioni anziché un oggetto nella distribuzione. In questo caso, la specifica di un oggetto radice predefinito consente di evitare di esporre il contenuto della distribuzione Web.
Gravità: alta
Le distribuzioni CloudFront devono avere l'identità di accesso all'origine abilitata
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront con il tipo di origine Amazon S3 Origin ha configurato l'identità OAI (Origin Access Identity). Il controllo ha esito negativo se OAI non è configurato. CloudFront OAI impedisce agli utenti di accedere direttamente al contenuto del bucket S3. Quando gli utenti accedono direttamente a un bucket S3, ignorano in modo efficace la distribuzione CloudFront e tutte le autorizzazioni applicate al contenuto del bucket S3 sottostante.
Gravità: medio
La convalida del file di log CloudTrail deve essere abilitata
Descrizione: per garantire un controllo di integrità aggiuntivo dei log CloudTrail, è consigliabile abilitare la convalida dei file in tutti i cloudTrail.
Gravità: Bassa
CloudTrail deve essere abilitato
Descrizione: AWS CloudTrail è un servizio Web che registra le chiamate API AWS per l'account e distribuisce i file di log all'utente. Non tutti i servizi abilitano la registrazione per impostazione predefinita per tutte le API e gli eventi. È consigliabile implementare eventuali audit trail aggiuntivi diversi da CloudTrail ed esaminare la documentazione per ogni servizio in Servizi e integrazioni supportati da CloudTrail.
Gravità: alta
I percorsi CloudTrail devono essere integrati con i log di CloudWatch
Descrizione: oltre all'acquisizione dei log CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, è possibile eseguire l'analisi in tempo reale configurando CloudTrail per inviare i log ai log di CloudWatch. Per un percorso abilitato in tutte le aree di un account, CloudTrail invia i file di log da tutte le aree a un gruppo di log di Log di CloudWatch. È consigliabile inviare i log di CloudTrail ai log di CloudWatch per assicurarsi che l'attività dell'account AWS venga acquisita, monitorata e allarmata in modo appropriato. L'invio di log CloudTrail ai log di CloudWatch facilita la registrazione delle attività in tempo reale e cronologica in base all'utente, all'API, alla risorsa e all'indirizzo IP e offre l'opportunità di stabilire avvisi e notifiche per attività anomale o di riservatezza dell'account.
Gravità: Bassa
La registrazione del database deve essere abilitata
Descrizione: questo controllo controlla se i log seguenti di Amazon RDS sono abilitati e inviati ai log di CloudWatch:
- Oracle: (Alert, Audit, Trace, Listener)
- PostgreSQL: (Postgresql, Aggiornamento)
- MySQL: (Audit, Error, General, SlowQuery)
- MariaDB: (Audit, Error, General, SlowQuery)
- SQL Server: (Errore, Agent)
- Aurora: (Audit, Error, General, SlowQuery)
- Aurora-MySQL: (Audit, Error, General, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Aggiornamento). Per i database Servizi Desktop remoto devono essere abilitati i log pertinenti. La registrazione del database fornisce record dettagliati delle richieste effettuate a Servizi Desktop remoto. I log del database possono essere utili per controllare la sicurezza e l'accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Gravità: medio
Disabilitare l'accesso diretto a Internet per le istanze del notebook di Amazon Sage Maker
Descrizione: l'accesso diretto a Internet deve essere disabilitato per un'istanza del notebook sage Maker. In questo modo viene verificato se il campo 'DirectInternetAccess' è disabilitato per l'istanza del notebook. L'istanza deve essere configurata con un VPC e l'impostazione predefinita deve essere Disable - Access the Internet through a VPC (Disabilita - Accedere a Internet tramite un VPC). Per consentire l'accesso a Internet per eseguire il training o l'hosting di modelli da un notebook, assicurarsi che il VPC disponga di un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Assicurarsi che l'accesso alla configurazione di Sage Maker sia limitato solo agli utenti autorizzati e limitare le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di Sage Maker.
Gravità: alta
Non configurare le chiavi di accesso durante la configurazione iniziale dell'utente per tutti gli utenti IAM con una password della console
Descrizione: la console DI AWS usa la casella di controllo per la creazione di chiavi di accesso da abilitare. Ciò comporta la generazione inutilmente di molte chiavi di accesso. Oltre alle credenziali non necessarie, genera anche operazioni di gestione non necessarie nel controllo e nella rotazione di queste chiavi. La richiesta di eseguire ulteriori passaggi da parte dell'utente dopo la creazione del profilo darà un'indicazione più forte dell'intento che le chiavi di accesso sono [a] necessarie per il proprio lavoro e [b] dopo che la chiave di accesso viene stabilita in un account che le chiavi potrebbero essere in uso in un punto qualsiasi dell'organizzazione.
Gravità: medio
Assicurarsi che sia stato creato un ruolo di supporto per gestire gli eventi imprevisti con il supporto AWS
Descrizione: AWS fornisce un centro di supporto che può essere usato per la notifica e la risposta agli eventi imprevisti, nonché il supporto tecnico e i servizi dei clienti. Creare un ruolo IAM per consentire agli utenti autorizzati di gestire gli eventi imprevisti con il supporto AWS. Quando si implementano privilegi minimi per il controllo di accesso, un ruolo IAM richiede un criterio IAM appropriato per consentire l'accesso al Supporto tecnico per gestire gli eventi imprevisti con il supporto AWS.
Gravità: Bassa
Assicurarsi che le chiavi di accesso vengano ruotate ogni 90 giorni o meno
Descrizione: le chiavi di accesso sono costituite da un ID chiave di accesso e una chiave di accesso privata, che vengono usati per firmare le richieste a livello di codice eseguite in AWS. Gli utenti DI AWS devono avere le proprie chiavi di accesso per effettuare chiamate a livello di codice ad AWS dall'interfaccia della riga di comando di AWS, strumenti per Windows PowerShell, SDK AWS o chiamate HTTP dirette usando le API per singoli servizi AWS. È consigliabile ruotare regolarmente tutti i tasti di scelta. La rotazione delle chiavi di accesso riduce la finestra di opportunità per l'uso di una chiave di accesso associata a un account compromesso o terminato. I tasti di scelta devono essere ruotati per garantire che non sia possibile accedere ai dati con una chiave precedente, che potrebbe essere stata persa, interrotta o rubata.
Gravità: medio
Verificare che AWS Config sia abilitato in tutte le aree
Descrizione: AWS Config è un servizio Web che esegue la gestione della configurazione delle risorse AWS supportate all'interno dell'account e distribuisce i file di log all'utente. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS), eventuali modifiche alla configurazione tra le risorse. È consigliabile abilitare AWS Config in tutte le aree.
La cronologia degli elementi di configurazione di AWS acquisita da AWS Config consente l'analisi della sicurezza, il rilevamento delle modifiche delle risorse e il controllo della conformità.
Gravità: medio
Verificare che CloudTrail sia abilitato in tutte le aree
Descrizione: AWS CloudTrail è un servizio Web che registra le chiamate API AWS per l'account e distribuisce i file di log all'utente. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail fornisce una cronologia delle chiamate API AWS per un account, incluse le chiamate API effettuate tramite La Console di gestione, gli SDK, gli strumenti da riga di comando e i servizi AWS di livello superiore, ad esempio CloudFormation. La cronologia delle chiamate dell'API AWS prodotta da CloudTrail consente l'analisi della sicurezza, il rilevamento delle modifiche delle risorse e il controllo della conformità. Inoltre:
- Il controllo dell'esistenza di un trail in più aree garantisce che venga rilevata un'attività imprevista in aree altrimenti inutilizzate.
- Verifica che esista un trail di più aree garantisce che la registrazione del servizio globale sia abilitata per un trail per impostazione predefinita per acquisire la registrazione degli eventi generati nei servizi globali AWS.
- Per un trail su più aree, verificare che gli eventi di gestione siano configurati per tutti i tipi di lettura/scrittura garantisce la registrazione delle operazioni di gestione eseguite su tutte le risorse in un account AWS.
Gravità: alta
Verificare che le credenziali inutilizzate per 90 giorni o versione successiva siano disabilitate
Descrizione: gli utenti di AWS IAM possono accedere alle risorse AWS usando diversi tipi di credenziali, ad esempio password o chiavi di accesso. È consigliabile rimuovere o disattivare tutte le credenziali inutilizzate in 90 o più giorni. La disabilitazione o la rimozione di credenziali non necessarie riducono la finestra di opportunità per l'uso delle credenziali associate a un account compromesso o abbandonato.
Gravità: medio
Verificare che i criteri password IAM scadano entro 90 giorni o meno
Descrizione: i criteri password IAM possono richiedere la rotazione o la scadenza delle password dopo un determinato numero di giorni. È consigliabile che i criteri password scadano dopo 90 giorni o meno. La riduzione della durata delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta. Inoltre, la richiesta di modifiche regolari delle password è utile negli scenari seguenti:
- Le password possono essere rubate o compromesse a volte senza la tua conoscenza. Ciò può verificarsi tramite una compromissione del sistema, una vulnerabilità del software o una minaccia interna.
- Alcuni filtri Web aziendali e governativi o server proxy hanno la possibilità di intercettare e registrare il traffico anche se è crittografato.
- Molte persone usano la stessa password per molti sistemi, ad esempio lavoro, posta elettronica e personale.
- Le workstation degli utenti finali compromesse potrebbero avere un logger di sequenza di tasti.
Gravità: Bassa
Verificare che i criteri password IAM impediscano il riutilizzo delle password
Descrizione: i criteri password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. È consigliabile che i criteri password impediscano il riutilizzo delle password. Impedire il riutilizzo delle password aumenta la resilienza dell'account contro i tentativi di accesso di forza bruta.
Gravità: Bassa
Verificare che i criteri password IAM richiedano almeno una lettera minuscola
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno una lettera minuscola. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno un numero
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno un numero. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno un simbolo
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno un simbolo. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno una lettera maiuscola
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno una lettera maiuscola. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano una lunghezza minima di 14 o superiore
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password abbia almeno una lunghezza specifica. È consigliabile che i criteri password richiedano una lunghezza minima della password '14'. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password della console
Descrizione: L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, verrà richiesto il nome utente e la password, nonché un codice di autenticazione dal dispositivo AWS MFA. È consigliabile abilitare l'autenticazione a più fattori per tutti gli account con una password della console. L'abilitazione dell'autenticazione a più fattori garantisce una maggiore sicurezza per l'accesso alla console perché richiede che l'entità di autenticazione disponga di un dispositivo che genera una chiave sensibile al tempo e che abbia una conoscenza di una credenziale.
Gravità: medio
GuardDuty deve essere abilitato
Descrizione: per fornire protezione aggiuntiva dalle intrusioni, GuardDuty deve essere abilitato nell'account AWS e nell'area.
GuardDuty potrebbe non essere una soluzione completa per ogni ambiente.
Gravità: medio
L'autenticazione a più fattori hardware deve essere abilitata per l'account "radice"
Descrizione: l'account radice è l'utente con privilegi più elevati in un account. L'autenticazione a più fattori aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, viene richiesto il nome utente e la password e un codice di autenticazione dal dispositivo AWS MFA. Per il livello 2, è consigliabile proteggere l'account radice con un'autenticazione a più fattori hardware. Un'autenticazione a più fattori hardware ha una superficie di attacco inferiore rispetto a un'autenticazione a più fattori virtuale. Ad esempio, un'autenticazione a più fattori hardware non subisce la superficie di attacco introdotta dallo smartphone mobile su cui risiede una MFA virtuale. Quando si usa l'hardware per l'autenticazione a più fattori per molti account, molti account potrebbero creare un problema di gestione logistica dei dispositivi. In questo caso, è consigliabile implementare questa raccomandazione di livello 2 in modo selettivo per gli account di sicurezza più elevati. È quindi possibile applicare la raccomandazione di livello 1 agli account rimanenti.
Gravità: Bassa
L'autenticazione IAM deve essere configurata per i cluster Servizi Desktop remoto
Descrizione: questo controllo controlla se un cluster di database Desktop remoto dispone dell'autenticazione del database IAM abilitata. L'autenticazione del database IAM consente l'autenticazione senza password alle istanze del database. L'autenticazione usa un token di autenticazione. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per altre informazioni, vedere Autenticazione del database IAM nella Guida dell'utente di Amazon Aurora.
Gravità: medio
L'autenticazione IAM deve essere configurata per le istanze di Servizi Desktop remoto
Descrizione: questo controllo controlla se per un'istanza del database Servizi Desktop remoto è abilitata l'autenticazione del database IAM. L'autenticazione del database IAM consente l'autenticazione alle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per altre informazioni, vedere Autenticazione del database IAM nella Guida dell'utente di Amazon Aurora.
Gravità: medio
I criteri gestiti dai clienti IAM non devono consentire azioni di decrittografia in tutte le chiavi del Servizio di gestione delle chiavi
Descrizione: controlla se la versione predefinita dei criteri gestiti dai clienti IAM consente alle entità di usare le azioni di decrittografia del Servizio di gestione delle chiavi AWS su tutte le risorse. Questo controllo usa Zelkova, un motore di ragionamento automatizzato, per convalidare e avvisare l'utente sui criteri che potrebbero concedere l'accesso ampio ai segreti tra gli account AWS. Questo controllo ha esito negativo se le azioni "kms: Decrypt" o "kms: ReEncryptFrom" sono consentite in tutte le chiavi del Servizio di gestione delle chiavi. Il controllo valuta sia i criteri gestiti dai clienti collegati che non collegati. Non controlla i criteri inline o i criteri gestiti da AWS. Con AWS KMS è possibile controllare chi può usare le chiavi del Servizio di gestione delle chiavi e ottenere l'accesso ai dati crittografati. I criteri IAM definiscono le azioni che possono essere eseguite da un'identità (utente, gruppo o ruolo) su quali risorse. Seguendo le procedure consigliate per la sicurezza, AWS consiglia di consentire privilegi minimi. In altre parole, è necessario concedere alle identità solo le autorizzazioni "kms:Decrypt" o "kms:ReEncryptFrom" e solo per le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe usare chiavi non appropriate per i dati. Invece di concedere autorizzazioni per tutte le chiavi, determinare il set minimo di chiavi che gli utenti devono accedere ai dati crittografati. Progettare quindi criteri che consentono agli utenti di usare solo tali chiavi. Ad esempio, non consentire l'autorizzazione "kms: Decrypt" per tutte le chiavi del Servizio di gestione delle chiavi. Consentire invece "kms: Decrypt" solo per le chiavi in una determinata area geografica per l'account. Adottando il principio dei privilegi minimi, è possibile ridurre il rischio di divulgazione involontaria dei dati.
Gravità: medio
I criteri gestiti dai clienti IAM creati non devono consentire azioni con caratteri jolly per i servizi
Descrizione: questo controllo controlla se i criteri basati sull'identità IAM creati dispongono di istruzioni Allow che usano il carattere jolly * per concedere le autorizzazioni per tutte le azioni in qualsiasi servizio. Il controllo ha esito negativo se un'istruzione dei criteri include 'Effect': 'Allow' with 'Action': 'Service:*'. Ad esempio, l'istruzione seguente in un criterio genera una ricerca non riuscita.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Il controllo ha esito negativo anche se si usa 'Effect': 'Allow' con 'NotAction': 'service:'. In tal caso, l'elemento NotAction fornisce l'accesso a tutte le azioni in un servizio AWS, ad eccezione delle azioni specificate in NotAction. Questo controllo si applica solo ai criteri IAM gestiti dal cliente. Non si applica ai criteri IAM gestiti da AWS. Quando si assegnano autorizzazioni ai servizi AWS, è importante definire l'ambito delle azioni IAM consentite nei criteri IAM. È consigliabile limitare le azioni IAM solo a quelle azioni necessarie. In questo modo è possibile effettuare il provisioning delle autorizzazioni con privilegi minimi. I criteri eccessivamente permissivi possono causare l'escalation dei privilegi se i criteri sono associati a un'entità IAM che potrebbe non richiedere l'autorizzazione. In alcuni casi, è possibile consentire azioni IAM con un prefisso simile, ad esempio DescribeFlowLogs e DescribeAvailabilityZones. In questi casi autorizzati è possibile aggiungere un carattere jolly suffisso al prefisso comune. Ad esempio, ec2:Describe.
Questo controllo passa se si usa un'azione IAM con prefisso con un carattere jolly suffisso. Ad esempio, l'istruzione seguente in un criterio genera una ricerca passata.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Quando si raggruppano le azioni IAM correlate in questo modo, è anche possibile evitare di superare i limiti delle dimensioni dei criteri IAM.
Gravità: Bassa
I criteri IAM devono essere associati solo a gruppi o ruoli
Descrizione: per impostazione predefinita, gli utenti, i gruppi e i ruoli IAM non hanno accesso alle risorse AWS. I criteri IAM sono i mezzi con cui vengono concessi privilegi a utenti, gruppi o ruoli. È consigliabile applicare i criteri IAM direttamente a gruppi e ruoli, ma non agli utenti. L'assegnazione di privilegi a livello di gruppo o di ruolo riduce la complessità della gestione degli accessi man mano che il numero di utenti aumenta. La riduzione della complessità della gestione degli accessi potrebbe anche ridurre l'opportunità per un'entità di ricevere o conservare inavvertitamente privilegi eccessivi.
Gravità: Bassa
I criteri IAM che consentono privilegi amministrativi completi ":" non devono essere creati
Descrizione: i criteri IAM sono i mezzi con cui vengono concessi privilegi a utenti, gruppi o ruoli. È consigliabile e considerato un consiglio di sicurezza standard per concedere privilegi minimi, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Determinare cosa devono fare gli utenti e quindi creare criteri per loro che consentono agli utenti di eseguire solo tali attività, invece di consentire privilegi amministrativi completi. È più sicuro iniziare con un set minimo di autorizzazioni e concedere autorizzazioni aggiuntive in base alle esigenze, anziché iniziare con le autorizzazioni troppo lenienti e quindi tentare di restringerle in un secondo momento. Fornire privilegi amministrativi completi invece di limitare al set minimo di autorizzazioni che l'utente deve eseguire espone le risorse a azioni potenzialmente indesiderate. Criteri IAM con un'istruzione con "Effect": "Allow" con "Action": "" su "Resource": "" deve essere rimosso.
Gravità: alta
Le entità IAM non devono avere criteri inline IAM che consentono azioni di decrittografia in tutte le chiavi del Servizio di gestione delle chiavi
Descrizione: controlla se i criteri inline incorporati nelle identità IAM (ruolo, utente o gruppo) consentono le azioni di decrittografia del Servizio di gestione delle chiavi aws in tutte le chiavi del Servizio di gestione delle chiavi. Questo controllo usa Zelkova, un motore di ragionamento automatizzato, per convalidare e avvisare l'utente sui criteri che potrebbero concedere l'accesso ampio ai segreti tra gli account AWS.
Questo controllo ha esito negativo se kms:Decrypt
o kms:ReEncryptFrom
le azioni sono consentite in tutte le chiavi del Servizio di gestione delle chiavi in un criterio inline.
Con AWS KMS è possibile controllare chi può usare le chiavi del Servizio di gestione delle chiavi e ottenere l'accesso ai dati crittografati. I criteri IAM definiscono le azioni che possono essere eseguite da un'identità (utente, gruppo o ruolo) su quali risorse. Seguendo le procedure consigliate per la sicurezza, AWS consiglia di consentire privilegi minimi. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo per le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe usare chiavi non appropriate per i dati.
Anziché concedere l'autorizzazione per tutte le chiavi, determinare il set minimo di chiavi che gli utenti devono accedere ai dati crittografati. Progettare quindi i criteri che consentono agli utenti di usare solo tali chiavi. Ad esempio, non consentire kms:Decrypt
l'autorizzazione per tutte le chiavi del Servizio di gestione delle chiavi. Consentire invece solo le chiavi in una determinata area geografica per l'account. Adottando il principio dei privilegi minimi, è possibile ridurre il rischio di divulgazione involontaria dei dati.
Gravità: medio
Le funzioni lambda devono limitare l'accesso pubblico
Descrizione: i criteri basati sulle risorse delle funzioni lambda devono limitare l'accesso pubblico. Questa raccomandazione non controlla l'accesso da parte delle entità interne. Assicurarsi che l'accesso alla funzione sia limitato alle entità autorizzate solo usando criteri basati su risorse con privilegi minimi.
Gravità: alta
L'autenticazione a più fattori deve essere abilitata per tutti gli utenti IAM
Descrizione: tutti gli utenti IAM devono avere l'autenticazione a più fattori abilitata.
Gravità: medio
L'autenticazione a più fattori deve essere abilitata per l'account "radice"
Descrizione: l'account radice è l'utente con privilegi più elevati in un account. L'autenticazione a più fattori aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, viene richiesto il nome utente e la password e un codice di autenticazione dal dispositivo AWS MFA. Quando si usa l'autenticazione a più fattori virtuale per gli account radice, è consigliabile che il dispositivo usato non sia un dispositivo personale. Usa invece un dispositivo mobile dedicato (tablet o telefono) che gestisci per mantenere i costi e proteggere indipendentemente dai singoli dispositivi personali. Ciò riduce i rischi di perdere l'accesso all'autenticazione a più fattori a causa della perdita di dispositivi, del commercio dei dispositivi o se il proprietario del dispositivo non è più impiegato nell'azienda.
Gravità: Bassa
I criteri password per gli utenti IAM devono avere configurazioni complesse
Descrizione: controlla se i criteri password dell'account per gli utenti IAM usano le configurazioni minime seguenti.
- RequireUppercaseCharacters: richiedere almeno un carattere maiuscolo nella password. (Impostazione predefinita = true)
- RequireLowercaseCharacters: richiede almeno un carattere minuscolo nella password. (Impostazione predefinita = true)
- RequireNumbers- Richiedi almeno un numero di password. (Impostazione predefinita = true)
- MinimumPasswordLength- Lunghezza minima password. (Impostazione predefinita = 7 o più)
- PasswordReusePrevention- Numero di password prima di consentire il riutilizzo. (Impostazione predefinita = 4)
- MaxPasswordAge- Numero di giorni prima della scadenza della password. (Impostazione predefinita = 90)
Gravità: medio
Le autorizzazioni delle identità inattive nell'account AWS devono essere revocate
Descrizione: Microsoft Defender per il cloud individuato un'identità che non ha eseguito alcuna azione su alcuna risorsa all'interno dell'account AWS negli ultimi 45 giorni. È consigliabile revocare le autorizzazioni delle identità inattive per ridurre la superficie di attacco dell'ambiente cloud.
Gravità: medio
La chiave di accesso dell'account radice non deve esistere
Descrizione: l'account radice è l'utente con privilegi più elevati in un account AWS. Le chiavi di accesso AWS forniscono l'accesso a livello di codice a un determinato account AWS. È consigliabile rimuovere tutte le chiavi di accesso associate all'account radice. Rimozione delle chiavi di accesso associate ai vettori di limiti dell'account radice tramite cui l'account può essere compromesso. Inoltre, la rimozione delle chiavi di accesso radice incoraggia la creazione e l'uso di account basati su ruoli con privilegi minimi.
Gravità: alta
L'impostazione Blocca accesso pubblico S3 deve essere abilitata
Descrizione: l'abilitazione dell'impostazione Blocca accesso pubblico per il bucket S3 consente di evitare perdite di dati sensibili e proteggere il bucket da azioni dannose.
Gravità: medio
L'impostazione Blocca accesso pubblico S3 deve essere abilitata a livello di bucket
Descrizione: questo controllo controlla se i bucket S3 hanno blocchi di accesso pubblico a livello di bucket applicati. Questo controllo ha esito negativo se una delle impostazioni seguenti è impostata su false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Blocca l'accesso pubblico a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano accesso pubblico. L'accesso pubblico viene concesso a bucket e oggetti tramite elenchi di controllo di accesso (ACL), criteri bucket o entrambi. A meno che non si intenda avere i bucket S3 accessibili pubblicamente, è necessario configurare la funzionalità di accesso pubblico a livello di bucket Amazon S3 Block Public Access.
Gravità: alta
L'accesso in lettura pubblico ai bucket S3 deve essere rimosso
Descrizione: la rimozione dell'accesso in lettura pubblico al bucket S3 consente di proteggere i dati e prevenire una violazione dei dati.
Gravità: alta
L'accesso pubblico ai bucket S3 deve essere rimosso
Descrizione: consentire l'accesso in scrittura pubblico al bucket S3 può lasciare vulnerabile a azioni dannose, ad esempio l'archiviazione dei dati a spese, la crittografia dei file per il riscatto o l'uso del bucket per gestire il malware.
Gravità: alta
I segreti di Secrets Manager devono avere la rotazione automatica abilitata
Descrizione: questo controllo controlla se un segreto archiviato in AWS Secrets Manager è configurato con rotazione automatica. Secrets Manager consente di migliorare il comportamento di sicurezza dell'organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile usare Secrets Manager per archiviare i segreti in modo centralizzato, crittografare automaticamente i segreti, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico. Secrets Manager può ruotare i segreti. È possibile usare la rotazione per sostituire i segreti a lungo termine con quelli a breve termine. La rotazione dei segreti limita per quanto tempo un utente non autorizzato può usare un segreto compromesso. Per questo motivo, è consigliabile ruotare frequentemente i segreti. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato
Descrizione: questo controllo controlla se le istanze EC2 sono state arrestate per più del numero di giorni consentito. Un'istanza EC2 ha esito negativo per verificare se è stata arrestata per più tempo del periodo di tempo massimo consentito, che per impostazione predefinita è 30 giorni. Una ricerca non riuscita indica che un'istanza EC2 non è stata eseguita per un periodo di tempo significativo. In questo modo si crea un rischio per la sicurezza perché l'istanza EC2 non viene gestita attivamente (analizzata, sottoposta a patch e aggiornata). Se viene avviato in un secondo momento, la mancanza di manutenzione appropriata potrebbe causare problemi imprevisti nell'ambiente AWS. Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato di non esecuzione, avviarla periodicamente per la manutenzione e quindi arrestarla dopo la manutenzione. Idealmente si tratta di un processo automatizzato.
Gravità: medio
Le identità inutilizzate nell'ambiente AWS devono essere rimosse (anteprima)
Descrizione: le identità inattive sono entità umane e non umane che non hanno eseguito alcuna azione su alcuna risorsa negli ultimi 90 giorni. Le identità IAM inattive con autorizzazioni ad alto rischio nell'account AWS possono essere soggette ad attacchi se lasciati così come sono e lasciare le organizzazioni aperte all'uso improprio o allo sfruttamento delle credenziali. Il rilevamento proattivo e la risposta alle identità inutilizzate consentono di impedire alle entità non autorizzate di accedere alle risorse AWS.
Gravità: medio
Raccomandazioni per l'identità e l'accesso GCP
Le chiavi crittografiche non devono avere più di tre utenti
Descrizione: questa raccomandazione valuta i criteri IAM per gli anelli chiave, progetti e organizzazioni e recupera le entità con ruoli che consentono di crittografare, decrittografare o firmare i dati usando chiavi del Servizio di gestione delle chiavi cloud: ruoli/proprietario, ruoli/cloudkms.cryptoKeyEncrypterDecrypter, ruoli/cloudkms.cryptoKeyEncrypter, ruoli/cloudkms.cryptoKeyDecrypter, ruoli/cloudkms.signer e ruoli/cloudkms.signerVerifier.
Gravità: medio
Verificare che le chiavi API non vengano create per un progetto
Descrizione: le chiavi non sono sicure perché possono essere visualizzate pubblicamente, ad esempio dall'interno di un browser o accessibili in un dispositivo in cui risiede la chiave. È consigliabile usare invece il flusso di autenticazione standard.
Di seguito sono riportati i rischi per la sicurezza coinvolti nell'uso delle chiavi API:
- Le chiavi API sono stringhe crittografate semplici
- Le chiavi API non identificano l'utente o l'applicazione che effettua la richiesta API
- Le chiavi API sono in genere accessibili ai client, semplificando l'individuazione e il furto di una chiave API
Per evitare il rischio di sicurezza nell'uso delle chiavi API, è consigliabile usare invece il flusso di autenticazione standard.
Gravità: alta
Assicurarsi che le chiavi API siano limitate solo alle API necessarie per l'accesso all'applicazione
Descrizione: le chiavi API non sono sicure perché possono essere visualizzate pubblicamente, ad esempio dall'interno di un browser o accessibili in un dispositivo in cui risiede la chiave. È consigliabile limitare le chiavi API per usare (chiamare) solo le API richieste da un'applicazione.
Di seguito sono riportati i rischi per la sicurezza coinvolti nell'uso delle chiavi API:
- Le chiavi API sono stringhe crittografate semplici
- Le chiavi API non identificano l'utente o l'applicazione che effettua la richiesta API
- Le chiavi API sono in genere accessibili ai client, semplificando l'individuazione e il furto di una chiave API
Alla luce di questi potenziali rischi, Google consiglia di usare il flusso di autenticazione standard anziché le chiavi API. Esistono tuttavia casi limitati in cui le chiavi API sono più appropriate. Ad esempio, se è presente un'applicazione per dispositivi mobili che deve usare l'API Google Cloud Translation, ma non ha bisogno di un server back-end, le chiavi API sono il modo più semplice per eseguire l'autenticazione a tale API.
Per ridurre le superfici di attacco fornendo privilegi minimi, le chiavi API possono essere limitate all'uso (chiamata) solo delle API richieste da un'applicazione.
Gravità: alta
Assicurarsi che le chiavi API siano limitate all'uso solo da host e app specificati
Descrizione: le chiavi senza restrizioni non sono sicure perché possono essere visualizzate pubblicamente, ad esempio dall'interno di un browser o accessibili in un dispositivo in cui risiede la chiave. È consigliabile limitare l'utilizzo delle chiavi API a host attendibili, referrer HTTP e app.
Di seguito sono riportati i rischi per la sicurezza coinvolti nell'uso delle chiavi API:
- Le chiavi API sono stringhe crittografate semplici
- Le chiavi API non identificano l'utente o l'applicazione che effettua la richiesta API
- Le chiavi API sono in genere accessibili ai client, semplificando l'individuazione e il furto di una chiave API
Alla luce di questi potenziali rischi, Google consiglia di usare il flusso di autenticazione standard anziché le chiavi API. Esistono tuttavia casi limitati in cui le chiavi API sono più appropriate. Ad esempio, se è presente un'applicazione per dispositivi mobili che deve usare l'API Google Cloud Translation, ma non ha bisogno di un server back-end, le chiavi API sono il modo più semplice per eseguire l'autenticazione a tale API.
Per ridurre i vettori di attacco, le chiavi API possono essere limitate solo a host attendibili, referrer HTTP e applicazioni.
Gravità: alta
Verificare che le chiavi API vengano ruotate ogni 90 giorni
Descrizione: è consigliabile ruotare le chiavi API ogni 90 giorni.
Di seguito sono elencati i rischi per la sicurezza coinvolti nell'uso delle chiavi API:
- Le chiavi API sono stringhe crittografate semplici
- Le chiavi API non identificano l'utente o l'applicazione che effettua la richiesta API
- Le chiavi API sono in genere accessibili ai client, semplificando l'individuazione e il furto di una chiave API
A causa di questi potenziali rischi, Google consiglia di usare il flusso di autenticazione standard anziché le chiavi API. Esistono tuttavia casi limitati in cui le chiavi API sono più appropriate. Ad esempio, se è presente un'applicazione per dispositivi mobili che deve usare l'API Google Cloud Translation, ma non ha bisogno di un server back-end, le chiavi API sono il modo più semplice per eseguire l'autenticazione a tale API.
Una volta rubata una chiave, non ha scadenza, ovvero può essere usata per un periodo illimitato, a meno che il proprietario del progetto non revoca o rigenera la chiave. La rotazione delle chiavi API ridurrà la finestra di opportunità per l'uso di una chiave di accesso associata a un account compromesso o terminato.
Le chiavi API devono essere ruotate per garantire che non sia possibile accedere ai dati con una chiave precedente che potrebbe essere stata persa, interrotta o rubata.
Gravità: alta
Verificare che le chiavi di crittografia del Servizio di gestione delle chiavi vengano ruotate entro un periodo di 90 giorni
Descrizione: Google Cloud Servizio di gestione delle chiavi archivia le chiavi crittografiche in una struttura gerarchica progettata per una gestione utile ed elegante del controllo di accesso. Il formato per la pianificazione della rotazione dipende dalla libreria client usata. Per lo strumento da riga di comando gcloud, il tempo di rotazione successivo deve essere in formato "ISO" o "RFC3339" e il periodo di rotazione deve essere nel formato "INTEGER[UNIT]", dove le unità possono essere uno dei secondi (s), minuti (m), ore (h) o giorni (d). Impostare un periodo di rotazione delle chiavi e l'ora di inizio. È possibile creare una chiave con un "periodo di rotazione" specificato, ovvero il tempo tra il momento in cui vengono generate automaticamente nuove versioni chiave. È anche possibile creare una chiave con un'ora di rotazione successiva specificata. Una chiave è un oggetto denominato che rappresenta una "chiave crittografica" usata per uno scopo specifico. Il materiale della chiave, i bit effettivi usati per la "crittografia", possono cambiare nel tempo man mano che vengono create nuove versioni delle chiavi. Una chiave viene usata per proteggere un "corpus di dati". Una raccolta di file potrebbe essere crittografata con la stessa chiave e le persone con autorizzazioni di "decrittografia" per tale chiave sarebbero in grado di decrittografare tali file. Pertanto, è necessario assicurarsi che il "periodo di rotazione" sia impostato su un orario specifico.
Gravità: medio
Verificare che esistano avvisi e filtri delle metriche dei log per le assegnazioni/modifiche della proprietà del progetto
Descrizione: per evitare assegnazioni di proprietà del progetto non necessarie a utenti/account di servizio e altri usi impropri di progetti e risorse, è necessario monitorare tutte le assegnazioni di "ruoli/proprietario". I membri (users/Service-Accounts) con un'assegnazione di ruolo al ruolo primitivo "roles/Owner" sono proprietari del progetto. Il proprietario del progetto dispone di tutti i privilegi per il progetto a cui appartiene il ruolo. Di seguito sono riepilogati:
- Tutte le autorizzazioni del visualizzatore per tutti i servizi GCP all'interno del progetto
- Autorizzazioni per le azioni che modificano lo stato di tutti i servizi GCP all'interno del progetto
- Gestire ruoli e autorizzazioni per un progetto e tutte le risorse all'interno del progetto
- Configurare la fatturazione per un progetto La concessione del ruolo proprietario a un membro (utente/account del servizio) consentirà a tale membro di modificare i criteri di Gestione identità e accesso (IAM). Concedere quindi il ruolo proprietario solo se il membro ha uno scopo legittimo per gestire i criteri IAM. Questo perché il criterio IAM del progetto contiene dati di controllo di accesso sensibili. Avere un set minimo di utenti autorizzati a gestire i criteri IAM semplifica il controllo che potrebbe essere necessario. La proprietà del progetto ha il massimo livello di privilegi per un progetto. Per evitare l'uso improprio delle risorse del progetto, è consigliabile monitorare e avvisare i destinatari interessati per le azioni di proprietà o modifica indicate in precedenza.
- Invio di inviti di proprietà del progetto
- Accettazione/rifiuto dell'invito di proprietà del progetto da parte dell'utente
- Aggiunta
role\Owner
a un account utente/servizio - Rimozione di un account utente/servizio da
role\Owner
Gravità: Bassa
Assicurarsi che oslogin sia abilitato per un progetto
Descrizione: l'abilitazione dell'accesso del sistema operativo associa i certificati SSH agli utenti IAM e facilita la gestione efficace dei certificati SSH. L'abilitazione di osLogin garantisce che le chiavi SSH usate per connettersi alle istanze vengano mappate agli utenti IAM. La revoca dell'accesso all'utente IAM revoca tutte le chiavi SSH associate a tale utente specifico. Facilita la gestione centralizzata e automatizzata della coppia di chiavi SSH, utile nella gestione di casi come la risposta alle coppie di chiavi SSH compromesse e/o alla revoca di utenti esterni/di terze parti/fornitori. Per scoprire quale istanza fa sì che il progetto non sia integro, vedere la raccomandazione "Assicurarsi che oslogin sia abilitato per tutte le istanze".
Gravità: medio
Assicurarsi che oslogin sia abilitato per tutte le istanze
Descrizione: l'abilitazione dell'accesso del sistema operativo associa i certificati SSH agli utenti IAM e facilita la gestione efficace dei certificati SSH. L'abilitazione di osLogin garantisce che le chiavi SSH usate per connettersi alle istanze vengano mappate agli utenti IAM. La revoca dell'accesso all'utente IAM revoca tutte le chiavi SSH associate a tale utente specifico. Facilita la gestione centralizzata e automatizzata della coppia di chiavi SSH, utile nella gestione di casi come la risposta alle coppie di chiavi SSH compromesse e/o alla revoca di utenti esterni/di terze parti/fornitori.
Gravità: medio
Assicurarsi che la registrazione di controllo cloud sia configurata correttamente in tutti i servizi e tutti gli utenti di un progetto
Descrizione: è consigliabile configurare La registrazione di controllo cloud per tenere traccia di tutte le attività di amministrazione e l'accesso in lettura e scrittura ai dati utente.
La registrazione di controllo cloud gestisce due log di controllo per ogni progetto, cartella e organizzazione: attività di amministratore e accesso ai dati.
- I log attività amministratore contengono voci di log per le chiamate API o altre azioni amministrative che modificano la configurazione o i metadati delle risorse.
- I log di controllo dell'attività di amministrazione sono abilitati per tutti i servizi e non possono essere configurati.
- I log di controllo di Accesso ai dati registrano chiamate API che creano, modificano o leggono i dati forniti dall'utente. Questi sono disabilitati per impostazione predefinita e devono essere abilitati.
Esistono tre tipi di informazioni sul log di controllo di accesso ai dati:
- Lettura amministratore: registra le operazioni che leggono i metadati o le informazioni di configurazione. I log di controllo dell'attività di amministrazione registrano le scritture di metadati e informazioni di configurazione che non possono essere disabilitate.
- Dati letti: registra le operazioni che leggono i dati forniti dall'utente.
- Scrittura dati: registra operazioni che scrivono dati forniti dall'utente.
È consigliabile configurare una configurazione di controllo predefinita efficace in modo che:
- Il tipo di log è impostato su DATA_READ (per registrare il rilevamento delle attività dell'utente) e DATA_WRITES (per registrare modifiche/manomissioni ai dati utente).
- La configurazione di controllo è abilitata per tutti i servizi supportati dalla funzionalità Log di controllo di accesso ai dati.
- I log devono essere acquisiti per tutti gli utenti, ovvero non esistono utenti esenti nelle sezioni di configurazione del controllo. Ciò garantisce che l'override della configurazione di controllo non sia in contrasto con il requisito.
Gravità: medio
Assicurarsi che le chiavi di crittografia del Servizio di gestione delle chiavi cloud non siano accessibili in modo anonimo o pubblico
Descrizione: è consigliabile che i criteri IAM sulle chiavi di crittografia del Servizio di gestione delle chiavi cloud limitino l'accesso anonimo e/o pubblico. La concessione delle autorizzazioni a "allUsers" o "allAuthenticatedUsers" consente a chiunque di accedere al set di dati. Tale accesso potrebbe non essere utile se i dati sensibili vengono archiviati nella posizione. In questo caso, assicurarsi che l'accesso anonimo e/o pubblico a una chiave di crittografia del Servizio di gestione delle chiavi cloud non sia consentito.
Gravità: alta
Assicurarsi che vengano usate le credenziali di accesso aziendale
Descrizione: usare le credenziali di accesso aziendale anziché gli account personali, ad esempio gli account Gmail. È consigliabile usare account Google aziendali completamente gestiti per aumentare la visibilità, il controllo e il controllo dell'accesso alle risorse della piattaforma cloud. Gli account Gmail basati all'esterno dell'organizzazione dell'utente, ad esempio gli account personali, non devono essere usati per scopi aziendali.
Gravità: alta
Assicurarsi che agli utenti IAM non siano assegnati i ruoli Utente account del servizio o Creatore di token dell'account del servizio a livello di progetto
Descrizione: è consigliabile assegnare i ruoli "Account del servizio (iam.serviceAccountUser)" e "Service Account Token Creator (iam.serviceAccountTokenCreator)" a un utente per un account di servizio specifico anziché assegnare il ruolo a un utente a livello di progetto. Un account del servizio è un account Google speciale che appartiene a un'applicazione o a una macchina virtuale anziché a un singolo utente finale. Application/VM-Instance usa l'account del servizio per chiamare l'API Google del servizio in modo che gli utenti non siano direttamente coinvolti. Oltre a essere un'identità, un account del servizio è una risorsa con criteri IAM associati. Questi criteri determinano chi può usare l'account del servizio. Gli utenti con ruoli IAM per aggiornare le istanze del motore di calcolo e del motore di calcolo (ad esempio Deployer del motore di app o Amministratore dell'istanza di calcolo) possono eseguire il codice come account del servizio usati per eseguire queste istanze e ottenere indirettamente l'accesso a tutte le risorse a cui gli account del servizio hanno accesso. Analogamente, l'accesso SSH a un'istanza del motore di calcolo può anche offrire la possibilità di eseguire codice come account di istanza/servizio. In base alle esigenze aziendali, potrebbero essere configurati più account del servizio gestiti dall'utente per un progetto. La concessione dei ruoli "iam.serviceAccountUser" o "iam.serviceAserviceAccountTokenCreatorccountUser" a un utente di un progetto consente all'utente di accedere a tutti gli account di servizio nel progetto, inclusi gli account del servizio che potrebbero essere creati in futuro. Ciò può comportare l'elevazione dei privilegi usando gli account del servizio e le corrispondenti "istanze del motore di calcolo". Per implementare le procedure consigliate per i "privilegi minimi", agli utenti IAM non devono essere assegnati i ruoli "Utente account del servizio" o "Autore token account del servizio" a livello di progetto. Questi ruoli devono invece essere assegnati a un utente per un account di servizio specifico, concedendo all'utente l'accesso all'account del servizio. L'utente "Account del servizio" consente a un utente di associare un account del servizio a un servizio di processo a esecuzione prolungata, mentre il ruolo "Autore token dell'account del servizio" consente a un utente di rappresentare direttamente (o asserire) l'identità di un account del servizio.
Gravità: medio
Assicurarsi che la separazione dei compiti venga applicata durante l'assegnazione dei ruoli correlati al Servizio di gestione delle chiavi agli utenti
Descrizione: è consigliabile applicare il principio "Separazione dei compiti" durante l'assegnazione dei ruoli correlati al Servizio di gestione delle chiavi agli utenti.
Il ruolo IAM predefinito o predefinito "Amministratore del Servizio di gestione delle chiavi cloud" consente all'utente/identità di creare, eliminare e gestire gli account del servizio.
Il ruolo Cloud KMS CryptoKey Encrypter/Decrypter
IAM predefinito/predefinito consente all'utente/identità (con privilegi adeguati per le risorse interessate) di crittografare e decrittografare i dati inattivi usando una o più chiavi di crittografia.
Il ruolo Cloud KMS CryptoKey Encrypter
IAM predefinito/predefinito consente all'utente/identità (con privilegi adeguati per le risorse interessate) di crittografare i dati inattivi usando una o più chiavi di crittografia.
Il ruolo Cloud KMS Crypto Key Decrypter
IAM predefinito/predefinito consente all'utente/identità (con privilegi adeguati per le risorse interessate) di decrittografare i dati inattivi usando una o più chiavi di crittografia.
La separazione dei compiti è il concetto di garantire che un individuo non disponga di tutte le autorizzazioni necessarie per poter completare un'azione dannosa.
Nel Servizio di gestione delle chiavi cloud potrebbe trattarsi di un'azione come l'uso di una chiave per accedere e decrittografare i dati a cui un utente normalmente non dovrebbe avere accesso.
La separazione dei compiti è un controllo aziendale usato in genere in organizzazioni di grandi dimensioni, progettato per evitare incidenti ed errori di sicurezza o privacy.
È considerata una procedura consigliata. Nessun utente deve avere l'amministratore del Servizio di gestione delle chiavi cloud e uno qualsiasi Cloud KMS CryptoKey Encrypter/Decrypter
dei ruoli , Cloud KMS CryptoKey Encrypter
, Cloud KMS CryptoKey Decrypter
assegnati contemporaneamente.
Gravità: alta
Assicurarsi che la separazione dei compiti venga applicata durante l'assegnazione dei ruoli correlati all'account del servizio agli utenti
Descrizione: è consigliabile applicare il principio "Separazione dei compiti" durante l'assegnazione di ruoli correlati all'account del servizio agli utenti. Il ruolo IAM predefinito o predefinito "Amministratore account del servizio" consente all'utente/identità di creare, eliminare e gestire gli account del servizio. Il ruolo IAM predefinito o predefinito "Utente account del servizio" consente all'utente/identità (con privilegi adeguati per calcolo e motore di app) di assegnare account di servizio alle app/istanze di calcolo. La separazione dei compiti è il concetto di garantire che un individuo non disponga di tutte le autorizzazioni necessarie per poter completare un'azione dannosa. In Cloud IAM - Account del servizio potrebbe trattarsi di un'azione come l'uso di un account del servizio per accedere alle risorse a cui l'utente normalmente non deve avere accesso. La separazione dei compiti è un controllo aziendale usato in genere in organizzazioni di grandi dimensioni, progettato per evitare incidenti ed errori di sicurezza o privacy. È considerata una procedura consigliata. Nessun utente deve avere ruoli "Amministratore account del servizio" e "Utente account del servizio" assegnati contemporaneamente.
Gravità: medio
Assicurarsi che l'account del servizio non abbia privilegi di amministratore
Descrizione: un account del servizio è un account Google speciale che appartiene a un'applicazione o a una macchina virtuale, anziché a un singolo utente finale. L'applicazione usa l'account del servizio per chiamare l'API Google del servizio in modo che gli utenti non siano direttamente coinvolti. È consigliabile non usare l'accesso amministratore per ServiceAccount. Gli account di servizio rappresentano la sicurezza a livello di servizio delle risorse (applicazione o macchina virtuale) che possono essere determinate dai ruoli assegnati. La registrazione di ServiceAccount con diritti di amministratore consente l'accesso completo a un'applicazione assegnata o a una macchina virtuale. Un titolare dell'accesso ServiceAccount può eseguire azioni critiche, ad esempio eliminare, aggiornare le impostazioni e così via senza l'intervento dell'utente. Per questo motivo, è consigliabile che gli account del servizio non dispongano dei diritti di amministratore.
Gravità: medio
Assicurarsi che i sink siano configurati per tutte le voci di log
Descrizione: è consigliabile creare un sink che esportare copie di tutte le voci di log. Ciò consente di aggregare i log da più progetti ed esportarli in un siem (Security Information and Event Management). Le voci di log vengono mantenute nella registrazione di Stackdriver. Per aggregare i log, esportarli in un sistema SIEM. Per mantenerli più a lungo, è consigliabile configurare un sink di log. L'esportazione comporta la scrittura di un filtro che seleziona le voci di log da esportare e sceglie una destinazione in Archiviazione cloud, BigQuery o Cloud Pub/Sub. Il filtro e la destinazione vengono mantenuti in un oggetto denominato sink. Per assicurarsi che tutte le voci di log vengano esportate in sink, assicurarsi che non sia configurato alcun filtro per un sink. I sink possono essere creati in progetti, organizzazioni, cartelle e account di fatturazione.
Gravità: Bassa
Assicurarsi che il filtro e gli avvisi delle metriche del log esistano per le modifiche alla configurazione di controllo
Descrizione: i servizi Google Cloud Platform (GCP) scrivono voci del log di controllo nei log attività di amministratore e accesso ai dati. Le voci aiutano a rispondere alle domande di , "chi ha fatto cosa, dove e quando?" all'interno dei progetti GCP. Le informazioni sui record di registrazione controllo cloud includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta restituiti dai servizi GCP. La registrazione di controllo cloud fornisce una cronologia delle chiamate API GCP per un account, incluse le chiamate API effettuate tramite la console, gli SDK, gli strumenti da riga di comando e altri servizi GCP. Le attività di amministratore e i log di accesso ai dati prodotti dalla registrazione di controllo cloud consentono l'analisi della sicurezza, il rilevamento delle modifiche delle risorse e il controllo della conformità. La configurazione del filtro delle metriche e degli avvisi per le modifiche alla configurazione del controllo garantisce che lo stato consigliato della configurazione di controllo venga mantenuto in modo che tutte le attività del progetto siano in grado di essere controllate in qualsiasi momento.
Gravità: Bassa
Assicurarsi che il filtro e gli avvisi delle metriche del log esistano per le modifiche al ruolo personalizzato
Descrizione: è consigliabile stabilire un filtro delle metriche e un allarme per le modifiche apportate alla creazione, all'eliminazione e all'aggiornamento dei ruoli di gestione delle identità e degli accessi . Google Cloud IAM fornisce ruoli predefiniti che consentono l'accesso granulare a risorse specifiche di Google Cloud Platform e impediscono l'accesso indesiderato ad altre risorse. Tuttavia, per soddisfare le esigenze specifiche dell'organizzazione, Cloud IAM offre anche la possibilità di creare ruoli personalizzati. I proprietari e gli amministratori del progetto con il ruolo Amministratore ruolo organizzazione o il ruolo Amministratore ruolo IAM possono creare ruoli personalizzati. Il monitoraggio delle attività di creazione, eliminazione e aggiornamento dei ruoli consente di identificare qualsiasi ruolo con privilegi elevati nelle prime fasi.
Gravità: Bassa
Verificare che le chiavi gestite dall'utente o esterne per gli account del servizio vengano ruotate ogni 90 giorni o meno
Descrizione: le chiavi dell'account di servizio sono costituite da un ID chiave (Private_key_Id) e una chiave privata, che vengono usati per firmare le richieste a livello di codice che gli utenti effettuano ai servizi cloud Google accessibili a tale account del servizio specifico. È consigliabile ruotare regolarmente tutte le chiavi dell'account del servizio. La rotazione delle chiavi dell'account del servizio ridurrà la finestra di opportunità per l'uso di una chiave di accesso associata a un account compromesso o terminato. Le chiavi dell'account del servizio devono essere ruotate per garantire che non sia possibile accedere ai dati con una chiave precedente che potrebbe essere stata persa, interrotta o rubata. Ogni account del servizio è associato a una coppia di chiavi gestita da Google Cloud Platform (GCP). Viene usato per l'autenticazione da servizio a servizio all'interno di GCP. Google ruota le chiavi ogni giorno. GCP offre la possibilità di creare una o più coppie di chiavi gestite dall'utente (dette anche coppie di chiavi esterne) da usare dall'esterno di GCP (ad esempio, per l'uso con le credenziali predefinite dell'applicazione). Quando viene creata una nuova coppia di chiavi, l'utente deve scaricare la chiave privata (che non viene mantenuta da Google).
Con le chiavi esterne, gli utenti sono responsabili della sicurezza della chiave privata e di altre operazioni di gestione, ad esempio la rotazione delle chiavi. Le chiavi esterne possono essere gestite dall'API IAM, dallo strumento da riga di comando gcloud o dalla pagina Account del servizio in Google Cloud Platform Console.
GCP facilita fino a 10 chiavi dell'account del servizio esterno per ogni account del servizio per facilitare la rotazione delle chiavi.
Gravità: medio
Le identità con provisioning eccessivo di GCP devono avere solo le autorizzazioni necessarie (anteprima)
Descrizione: un'identità attiva con provisioning eccessivo è un'identità con accesso ai privilegi non usati. Le identità attive con provisioning eccessivo, soprattutto per gli account non umani che hanno azioni e responsabilità molto definite, possono aumentare il raggio di esplosione in caso di compromissione di un utente, di una chiave o di una risorsa. Il principio dei privilegi minimi indica che una risorsa deve avere accesso solo alle risorse esatte necessarie per funzionare. Questo principio è stato sviluppato per affrontare il rischio di identità compromesse concedendo a un utente malintenzionato l'accesso a un'ampia gamma di risorse.
Il dashboard Web GKE deve essere disabilitato
Descrizione: questa raccomandazione valuta il campo kubernetesDashboard della proprietà addonsConfig per la coppia chiave-valore, 'disabled': false.
Gravità: alta
L'autorizzazione legacy deve essere disabilitata nei cluster GKE
Descrizione: questa raccomandazione valuta la proprietà legacyAbac di un cluster per la coppia chiave-valore, 'enabled': true.
Gravità: alta
Le autorizzazioni delle identità inattive nel progetto GCP devono essere revocate
Descrizione: Microsoft Defender per il cloud individuato un'identità che non ha eseguito alcuna azione su alcuna risorsa all'interno del progetto GCP negli ultimi 45 giorni. È consigliabile revocare le autorizzazioni delle identità inattive per ridurre la superficie di attacco dell'ambiente cloud.
Gravità: medio
Il ruolo IAM redis non deve essere assegnato a livello di organizzazione o cartella
Descrizione: questa raccomandazione valuta i criteri di autorizzazione IAM nei metadati delle risorse per i ruoli assegnati/redis.admin, roles/redis.editor, roles/redis.viewer a livello di organizzazione o cartella.
Gravità: alta
Gli account del servizio devono avere accesso limitato ai progetti in un cluster
Descrizione: questa raccomandazione valuta la proprietà config di un pool di nodi per verificare se non è specificato alcun account di servizio o se viene usato l'account del servizio predefinito.
Gravità: alta
Gli utenti devono avere accesso con privilegi minimi con ruoli IAM granulari
Descrizione: questa raccomandazione valuta i criteri IAM nei metadati delle risorse per qualsiasi entità assegnata ruoli/proprietario, ruoli/writer o ruoli/lettore.
Gravità: alta