Condividi tramite


Raccomandazioni per la sicurezza della rete

Questo articolo elenca tutte le raccomandazioni sulla sicurezza di rete che potrebbero essere visualizzate in Microsoft Defender per il cloud.

Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.

Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.

Suggerimento

Se una descrizione della raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa.

Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. La limitazione dei criteri solo alle raccomandazioni fondamentali semplifica la gestione dei criteri.

Raccomandazioni sulla rete di Azure

L'accesso agli account di archiviazione con configurazioni del firewall e di rete virtuale deve essere limitato

Descrizione: esaminare le impostazioni di accesso alla rete nelle impostazioni del firewall dell'account di archiviazione. È consigliabile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere all'account di archiviazione. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici. (Criterio correlato: Gli account di archiviazione devono limitare l'accesso alla rete.

Gravità: Bassa

Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet

Descrizione: Defender per il cloud ha analizzato i modelli di comunicazione del traffico Internet delle macchine virtuali elencate di seguito e ha determinato che le regole esistenti nei gruppi di sicurezza di rete associate sono eccessivamente permissive, causando un aumento della superficie di attacco potenziale. Questo problema si verifica in genere quando questo indirizzo IP non comunica regolarmente con questa risorsa. In alternativa, l'indirizzo IP è stato contrassegnato come dannoso dalle origini di intelligence sulle minacce di Defender per il cloud. (Criterio correlato: Le raccomandazioni per la protezione avanzata adattiva della rete devono essere applicate alle macchine virtuali con connessione Internet.

Gravità: alta

È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale

Descrizione: Defender per il cloud ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. (Criterio correlato: Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale.

Gravità: alta

La protezione DDoS di Azure Standard deve essere abilitata

Descrizione: Defender per il cloud ha individuato reti virtuali con risorse gateway applicazione non protette dal servizio protezione DDoS. Queste risorse contengono IP pubblici. Abilitare la mitigazione degli attacchi volumetrici e ai protocolli della rete. (Criterio correlato: È consigliabile abilitare Protezione DDoS Standard di Azure.

Gravità: medio

Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete

Descrizione: proteggere la macchina virtuale da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your VM from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete includono un elenco di regole di elenco di controllo di accesso che consentono o negano il traffico di rete verso la VM da altre istanze nella stessa subnet o all'esterno della subnet. Per mantenere il computer il più sicuro possibile, è necessario limitare l'accesso alla macchina virtuale a Internet e abilitare un gruppo di sicurezza di rete nella subnet. Le macchine virtuali con gravità "Elevata" sono macchine virtuali con connessione Internet. (Criterio correlato: Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete.

Gravità: alta

L'inoltro IP nella macchina virtuale deve essere disabilitato

Descrizione: Defender per il cloud ha rilevato che l'inoltro IP è abilitato in alcune delle macchine virtuali. L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. (Criterio correlato: L'inoltro IP nella macchina virtuale deve essere disabilitato.

Gravità: medio

I computer devono avere porte chiuse che potrebbero esporre vettori di attacco

Descrizione: le condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Questa raccomandazione elenca le porte esposte che devono essere chiuse per la sicurezza continua. Illustra anche la potenziale minaccia per ogni porta. (Nessun criterio correlato)

Gravità: alta

Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT

Descrizione: Defender per il cloud ha identificato alcune regole in ingresso eccessivamente permissive per le porte di gestione nel gruppo di sicurezza di rete. Abilitare l'accesso Just-In-Time per proteggere la VM da attacchi di forza bruta basati su Internet. Per altre informazioni, vedere Informazioni sull'accesso JIT (Just-In-Time) alle macchine virtuali. (Criterio correlato: Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JITE.

Gravità: alta

È consigliabile chiudere le porte di gestione nelle macchine virtuali

Descrizione: le porte di gestione remota aperte espongono la macchina virtuale a un alto livello di rischio da attacchi basati su Internet. per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. (Criterio correlato: Le porte di gestione devono essere chiuse nelle macchine virtuali.

Gravità: medio

Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete

Descrizione: proteggere la macchina virtuale non con connessione Internet da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your non-Internet-facing virtual machine from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete includono un elenco di regole di elenco di controllo di accesso che consentono o negano il traffico di rete verso la VM da altre istanze nella stessa subnet o all'esterno della subnet. Si noti che per assicurare la protezione massima per il computer è necessario che l'accesso della VM a Internet sia limitato e che un gruppo di sicurezza di rete venga abilitato anche sulla subnet. (Criterio correlato: Le macchine virtuali non con connessione Internet devono essere protette con i gruppi di sicurezza di rete.

Gravità: Bassa

È consigliabile abilitare il trasferimento sicuro agli account di archiviazione

Descrizione: il trasferimento sicuro è un'opzione che forza l'account di archiviazione ad accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete come attacchi man in the middle, eavesdropping e hijack della sessione. (Criterio correlato: È necessario abilitare il trasferimento sicuro agli account di archiviazione.

Gravità: alta

Le subnet devono essere associate a un gruppo di sicurezza di rete

Descrizione: proteggere la subnet da potenziali minacce limitandone l'accesso con un gruppo di sicurezza di rete.Description: Protect your subnet from potential threats by restricting access to it with a network security group (NSG). I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. Quando un gruppo di sicurezza di rete è associato a una subnet, le regole dell'elenco di controllo di accesso sono applicabili a tutte le istanze della VM e ai servizi integrati in tale subnet, ma non vengono applicate al traffico interno alla subnet. Per proteggere le risorse nella stessa subnet da un'altra subnet, abilitare direttamente il gruppo di sicurezza di rete anche sulle risorse. Si noti che i tipi di subnet seguenti verranno elencati come non applicabili: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Criterio correlato: Le subnet devono essere associate a un gruppo di sicurezza di rete.

Gravità: Bassa

È consigliabile che le reti virtuali siano protette da Firewall di Azure

Descrizione: alcune reti virtuali non sono protette con un firewall. Usare Firewall di Azure per limitare l'accesso alle reti virtuali e prevenire potenziali minacce. (Criterio correlato: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito).

Raccomandazioni di rete di AWS

Amazon EC2 deve essere configurato per l'uso degli endpoint VPC

Descrizione: questo controllo controlla se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo ha esito negativo se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2. Per migliorare il comportamento di sicurezza del VPC, è possibile configurare Amazon EC2 per l'uso di un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su AWS PrivateLink, una tecnologia che consente di accedere privatamente alle operazioni dell'API Amazon EC2. Limita tutto il traffico di rete tra il VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa area, non è possibile creare un endpoint tra un VPC e un servizio in un'area diversa. In questo modo si evitano chiamate API Amazon EC2 indesiderate ad altre aree. Per altre informazioni sulla creazione di endpoint VPC per Amazon EC2, vedere Amazon EC2 e interfacce endpoint VPC nella Guida utente amazon EC2 per le istanze linux.

Gravità: medio

I servizi Amazon ECS non devono avere indirizzi IP pubblici assegnati automaticamente

Descrizione: un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se si avviano le istanze di Amazon ECS con un indirizzo IP pubblico, le istanze di Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso imprevisto ai server applicazioni contenitore.

Gravità: alta

I nodi master del cluster Amazon EMR non devono avere indirizzi IP pubblici

Descrizione: questo controllo controlla se i nodi master nei cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo ha esito negativo se il nodo master ha indirizzi IP pubblici associati a una delle relative istanze. Gli indirizzi IP pubblici sono designati nel campo PublicIp della configurazione NetworkInterfaces per l'istanza. Questo controllo controlla solo i cluster Amazon EMR in uno stato RUNNING o WAITING.

Gravità: alta

I cluster Amazon Redshift devono usare il routing VPC avanzato

Descrizione: questo controllo controlla se un cluster Amazon Redshift ha EnhancedVpcRouting abilitato. Il routing VPC avanzato forza tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati per passare attraverso il VPC. È quindi possibile usare le funzionalità VPC, ad esempio i gruppi di sicurezza e gli elenchi di controllo di accesso alla rete, per proteggere il traffico di rete. È anche possibile usare i log dei flussi VPC per monitorare il traffico di rete.

Gravità: alta

Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS

Descrizione: per applicare la crittografia in transito, è consigliabile usare le azioni di reindirizzamento con i servizi di bilanciamento del carico dell'applicazione per reindirizzare le richieste HTTP client a una richiesta HTTPS sulla porta 443.

Gravità: medio

I servizi di bilanciamento del carico dell'applicazione devono essere configurati per eliminare le intestazioni HTTP

Descrizione: questo controllo valuta i servizi di bilanciamento del carico delle applicazioni AWS (ALB) per assicurarsi che siano configurati per eliminare intestazioni HTTP non valide. Il controllo ha esito negativo se il valore di routing.http.drop_invalid_header_fields.enabled è impostato su false. Per impostazione predefinita, gli ALB non sono configurati per eliminare valori di intestazione HTTP non validi. La rimozione di questi valori di intestazione impedisce attacchi di desync HTTP.

Gravità: medio

Configurare le funzioni lambda in un VPC

Descrizione: questo controllo controlla se una funzione Lambda si trova in un VPC. Non valuta la configurazione del routing della subnet VPC per determinare la raggiungibilità pubblica. Si noti che se Lambda@Edge viene trovato nell'account, questo controllo genera risultati non riusciti. Per evitare questi risultati, è possibile disabilitare questo controllo.

Gravità: Bassa

Le istanze EC2 non devono avere un indirizzo IP pubblico

Descrizione: questo controllo controlla se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo ha esito negativo se il campo "publicIp" è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli indirizzi IPv4. Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se si avvia l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP che non è raggiungibile da Internet. È possibile usare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella rete privata connessa. Gli indirizzi IPv6 sono univoci a livello globale e pertanto sono raggiungibili da Internet. Per impostazione predefinita, tuttavia, per tutte le subnet l'attributo di indirizzamento IPv6 è impostato su false. Per altre informazioni su IPv6, vedere Indirizzi IP nel VPC nella Guida dell'utente di Amazon VPC. Se si dispone di un caso d'uso legittimo per gestire le istanze EC2 con indirizzi IP pubblici, è possibile eliminare i risultati da questo controllo. Per altre informazioni sulle opzioni di architettura front-end, vedere il blog sull'architettura di AWS o la serie This Is My Architecture (Questa è la mia architettura).

Gravità: alta

Le istanze EC2 non devono usare più ENI

Descrizione: questo controllo controlla se un'istanza EC2 usa più interfacce di rete elastiche (ENI) o schede elastiche di infrastruttura (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri facoltativo per identificare le ENI consentite. Più ENI possono causare istanze a doppio homeing, ovvero istanze con più subnet. Ciò può aggiungere complessità di sicurezza di rete e introdurre percorsi di rete e accesso imprevisti.

Gravità: Bassa

Le istanze EC2 devono usare IMDSv2

Descrizione: questo controllo controlla se la versione dei metadati dell'istanza EC2 è configurata con il servizio metadati dell'istanza versione 2 (IMDSv2). Il controllo passa se "HttpTokens" è impostato su "obbligatorio" per IMDSv2. Il controllo ha esito negativo se "HttpTokens" è impostato su "facoltativo". I metadati dell'istanza vengono usati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso alle credenziali temporanee e spesso ruotate. Queste credenziali rimuovono la necessità di impostare come hardcoded o distribuire credenziali sensibili alle istanze manualmente o a livello di codice. L'IMDS viene collegato localmente a ogni istanza EC2. Viene eseguito su un indirizzo IP speciale "link local" 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione nell'istanza di . La versione 2 di IMDS aggiunge nuove protezioni per i tipi di vulnerabilità seguenti. Queste vulnerabilità possono essere usate per tentare di accedere a IMDS.

  • Aprire i firewall delle applicazioni del sito Web
  • Aprire proxy inversi
  • Vulnerabilità della richiesta sul lato server (SSRF)
  • Aprire i firewall di livello 3 e l'hub di sicurezza NAT (Network Address Translation) consiglia di configurare le istanze EC2 con IMDSv2.

Gravità: alta

Le subnet EC2 non devono assegnare automaticamente indirizzi IP pubblici

Descrizione: questo controllo controlla se l'assegnazione di indirizzi IP pubblici nelle subnet Amazon Virtual Private Cloud (Amazon VPC) ha impostato "MapPublicIpOnLaunch" su "FALSE". Il controllo passa se il flag è impostato su "FALSE". Tutte le subnet hanno un attributo che determina se un'interfaccia di rete creata nella subnet riceve automaticamente un indirizzo IPv4 pubblico. Le istanze avviate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete primaria.

Gravità: medio

Verificare che esista un filtro e un allarme delle metriche del log per le modifiche alla configurazione di AWS Config

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per rilevare le modifiche apportate alle configurazioni di CloudTrail. Il monitoraggio delle modifiche apportate alla configurazione di AWS Config consente di garantire una visibilità sostenuta degli elementi di configurazione all'interno dell'account AWS.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche del log per gli errori di autenticazione di AWS Management Console

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per i tentativi di autenticazione della console non riusciti. Il monitoraggio degli accessi alla console non riusciti potrebbe ridurre il lead time per rilevare un tentativo di forza bruta di una credenziale, che potrebbe fornire un indicatore, ad esempio l'INDIRIZZO IP di origine, che può essere usato in altre correlazioni di eventi.

Gravità: Bassa

Assicurarsi che esista un filtro e un allarme delle metriche del log per le modifiche apportate agli elenchi di Controllo di accesso di rete (NACL)

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I CRL vengono usati come filtro di pacchetti senza stato per controllare il traffico in ingresso e in uscita per le subnet all'interno di un VPC. È consigliabile stabilire un filtro di metrica e un allarme per le modifiche apportate ai CRL. Il monitoraggio delle modifiche apportate ai CRL consente di garantire che le risorse e i servizi aws non siano involontariamente esposti.

Gravità: Bassa

Assicurarsi che esista un filtro e un allarme per le metriche dei log per le modifiche apportate ai gateway di rete

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I gateway di rete sono necessari per inviare/ricevere traffico a una destinazione esterna a un VPC. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche ai gateway di rete. Il monitoraggio delle modifiche apportate ai gateway di rete consente di garantire che tutto il traffico in ingresso/uscita attraversi il bordo VPC tramite un percorso controllato.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche del log per le modifiche alla configurazione di CloudTrail

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per rilevare le modifiche apportate alle configurazioni di CloudTrail.

Il monitoraggio delle modifiche apportate alla configurazione di CloudTrail consente di garantire una visibilità sostenuta delle attività eseguite nell'account AWS.

Gravità: Bassa

Verificare che esista un filtro e un allarme per la metrica del log per disabilitare o pianificare l'eliminazione dei cmk creati dal cliente

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro di metrica e un allarme per i cmk creati dal cliente, che hanno modificato lo stato in un'eliminazione disabilitata o pianificata. I dati crittografati con chiavi disabilitate o eliminate non saranno più accessibili.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche del log per le modifiche ai criteri IAM

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile che venga stabilito un filtro delle metriche e un allarme apportate ai criteri di gestione delle identità e degli accessi .it's recommended that a metric filter and alarm be established changes to Identity and Access Management (IAM). Il monitoraggio delle modifiche ai criteri IAM consente di garantire che i controlli di autenticazione e autorizzazione rimangano intatti.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche di log per l'accesso a Management Console senza MFA

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per gli account di accesso alla console che non sono protetti dall'autenticazione a più fattori (MFA). Il monitoraggio degli account di accesso alla console a fattore singolo aumenta la visibilità degli account non protetti da MFA.

Gravità: Bassa

Verificare che esista un filtro delle metriche del log e un allarme per le modifiche alla tabella di route

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. Le tabelle di routing vengono usate per instradare il traffico di rete tra subnet e gateway di rete. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche alle tabelle di route. Il monitoraggio delle modifiche alle tabelle di route consente di garantire che tutto il traffico VPC passi attraverso un percorso previsto.

Gravità: Bassa

Verificare che esista un filtro delle metriche del log e un allarme per le modifiche ai criteri del bucket S3

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche ai criteri bucket S3. Il monitoraggio delle modifiche ai criteri bucket S3 potrebbe ridurre il tempo necessario per rilevare e correggere i criteri permissivi nei bucket S3 sensibili.

Gravità: Bassa

Verificare che esista un filtro delle metriche del log e un allarme per le modifiche del gruppo di sicurezza

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I gruppi di sicurezza sono un filtro di pacchetti con stato che controlla il traffico in ingresso e in uscita all'interno di un VPC. È consigliabile che venga stabilito un filtro delle metriche e un allarme per i gruppi di sicurezza. Il monitoraggio delle modifiche apportate al gruppo di sicurezza consente di assicurarsi che le risorse e i servizi non siano involontariamente esposti.

Gravità: Bassa

Verificare che esista un filtro e un allarme per le metriche di log per le chiamate API non autorizzate

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per le chiamate API non autorizzate. Il monitoraggio delle chiamate API non autorizzate consente di rivelare gli errori dell'applicazione e potrebbe ridurre il tempo necessario per rilevare attività dannose.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche del log per l'utilizzo dell'account "root"

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per i tentativi di accesso radice.

Il monitoraggio degli account di accesso radice offre visibilità sull'uso di un account con privilegi completi e un'opportunità per ridurre l'uso di esso.

Gravità: Bassa

Verificare che esista un filtro e un allarme delle metriche del log per le modifiche del VPC

Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È possibile avere più VPC all'interno di un account, inoltre è anche possibile creare una connessione peer tra 2 VPC, consentendo al traffico di rete di instradarsi tra reti virtuali. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche apportate alle VPN. Il monitoraggio delle modifiche ai criteri IAM consente di garantire che i controlli di autenticazione e autorizzazione rimangano intatti.

Gravità: Bassa

Verificare che nessun gruppo di sicurezza consenta l'ingresso da 0.0.0.0/0 alla porta 3389

Descrizione: i gruppi di sicurezza forniscono un filtro con stato del traffico di rete in ingresso/uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso in ingresso senza restrizioni alla porta 3389. Quando si rimuove la connettività senza interruzioni ai servizi console remoti, ad esempio RDP, si riduce l'esposizione di un server a rischi.

Gravità: alta

I database e i cluster Servizi Desktop remoto non devono usare una porta predefinita del motore di database

Descrizione: questo controllo controlla se il cluster o l'istanza di Servizi Desktop remoto utilizza una porta diversa dalla porta predefinita del motore di database. Se si usa una porta nota per distribuire un cluster o un'istanza di Servizi Desktop remoto, un utente malintenzionato può indovinare informazioni sul cluster o sull'istanza. L'utente malintenzionato può usare queste informazioni insieme ad altre informazioni per connettersi a un cluster o a un'istanza di Servizi Desktop remoto o ottenere informazioni aggiuntive sull'applicazione. Quando si modifica la porta, è necessario aggiornare anche i stringa di connessione esistenti usati per connettersi alla porta precedente. È anche necessario controllare il gruppo di sicurezza dell'istanza del database per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.

Gravità: Bassa

Le istanze di Servizi Desktop remoto devono essere distribuite in un VPC

Descrizione: le VPN forniscono diversi controlli di rete per proteggere l'accesso alle risorse di Servizi Desktop remoto. Questi controlli includono endpoint VPC, ACL di rete e gruppi di sicurezza. Per sfruttare questi controlli, è consigliabile spostare le istanze di EC2-Classic RDS in EC2-VPC.

Gravità: Bassa

I bucket S3 devono richiedere richieste per l'uso di Secure Socket Layer

Descrizione: è consigliabile richiedere alle richieste di usare Secure Socket Layer (SSL) in tutti i bucket Amazon S3. I bucket S3 devono avere criteri che richiedono tutte le richieste ('Azione: S3:*') per accettare solo la trasmissione dei dati su HTTPS nei criteri di risorsa S3, indicati dalla chiave della condizione 'aws:SecureTransport'.

Gravità: medio

I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22

Descrizione: per ridurre l'esposizione del server, è consigliabile non consentire l'accesso in ingresso senza restrizioni alla porta '22'.

Gravità: alta

I gruppi di sicurezza non devono consentire l'accesso senza restrizioni alle porte con rischio elevato

Descrizione: questo controllo controlla se il traffico in ingresso senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate con il rischio più elevato. Questo controllo passa quando nessuna delle regole in un gruppo di sicurezza consente il traffico in ingresso da 0.0.0.0/0 per tali porte. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, ad esempio l'hacking, gli attacchi Denial of Service e la perdita di dati. I gruppi di sicurezza forniscono il filtro con stato del traffico di rete in ingresso e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso in ingresso senza restrizioni alle porte seguenti:

  • 3389 (RDP)
  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 110 (POP3)
  • 143 (IMAP)
  • 3306 (MySQL)
  • 8080 (proxy)
  • 1433, 1434 (MSSQL)
  • 9200 o 9300 (Elasticsearch)
  • 5601 (Kibana)
  • 25 (SMTP)
  • 445 (CIFS)
  • 135 (RPC)
  • 4333 (ahsp)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)

Gravità: medio

I gruppi di sicurezza devono consentire solo il traffico in ingresso senza restrizioni per le porte autorizzate

Descrizione: questo controllo controlla se i gruppi di sicurezza in uso consentono il traffico in ingresso senza restrizioni. Facoltativamente, la regola controlla se i numeri di porta sono elencati nel parametro "authorizedTcpPorts".

  • Se il numero di porta della regola del gruppo di sicurezza consente il traffico in ingresso senza restrizioni, ma il numero di porta viene specificato in "authorizedTcpPorts", il controllo passa. Il valore predefinito per "authorizedTcpPorts" è 80, 443.
  • Se il numero di porta della regola del gruppo di sicurezza consente il traffico in ingresso senza restrizioni, ma il numero di porta non è specificato nel parametro di input authorizedTcpPorts, il controllo ha esito negativo.
  • Se il parametro non viene usato, il controllo ha esito negativo per qualsiasi gruppo di sicurezza con una regola in ingresso senza restrizioni. I gruppi di sicurezza forniscono il filtro con stato del traffico di rete in ingresso e in uscita verso AWS. Le regole del gruppo di sicurezza devono rispettare il principio dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta l'opportunità di attività dannose, ad esempio l'hacking, gli attacchi Denial of Service e la perdita di dati. A meno che non sia consentita specificamente una porta, la porta deve negare l'accesso senza restrizioni.

Gravità: alta

Gli EIP EC2 inutilizzati devono essere rimossi

Descrizione: gli indirizzi IP elastici allocati a un VPC devono essere collegati alle istanze di Amazon EC2 o alle interfacce di rete elastiche (ENI) in uso.

Gravità: Bassa

Gli elenchi di controllo di accesso alla rete inutilizzati devono essere rimossi

Descrizione: questo controllo controlla se sono presenti elenchi di controllo di accesso di rete inutilizzati (ACL). Il controllo controlla la configurazione dell'elemento della risorsa "AWS::EC2::NetworkAcl" e determina le relazioni dell'ACL di rete. Se l'unica relazione è il VPC dell'ACL di rete, il controllo ha esito negativo. Se vengono elencate altre relazioni, il controllo passa.

Gravità: Bassa

Il gruppo di sicurezza predefinito di VPC deve limitare tutto il traffico

Descrizione: il gruppo di sicurezza deve limitare tutto il traffico per ridurre l'esposizione delle risorse.

Gravità: Bassa

Raccomandazioni sulla rete GCP

Gli host del cluster devono essere configurati in modo da usare solo indirizzi IP privati e interni per accedere alle API Google

Descrizione: questa raccomandazione valuta se la proprietà privateIpGoogleAccess di una sottorete è impostata su false.

Gravità: alta

Le istanze di calcolo devono usare un servizio di bilanciamento del carico configurato per l'uso di un proxy HTTPS di destinazione

Descrizione: questa raccomandazione valuta se la proprietà selfLink della risorsa targetHttpProxy corrisponde all'attributo di destinazione nella regola di inoltro e se la regola di inoltro contiene un campo loadBalancingScheme impostato su Esterno.

Gravità: medio

Le reti autorizzate del piano di controllo devono essere abilitate nei cluster GKE

Descrizione: questa raccomandazione valuta la proprietà masterAuthorizedNetworksConfig di un cluster per la coppia chiave-valore, 'enabled': false.

Gravità: alta

La regola di negazione in uscita deve essere impostata su un firewall per bloccare il traffico in uscita indesiderato

Descrizione: questa raccomandazione valuta se la proprietà destinationRanges nel firewall è impostata su 0.0.0.0/0 e la proprietà negata contiene la coppia chiave-valore, 'IPProtocol': 'all.'

Gravità: Bassa

Verificare che le regole del firewall per le istanze dietro il proxy IAP (Identity Aware Proxy) consentano solo il traffico proveniente da Google Cloud Loadbalancer (GCLB) Health Check and Proxy Addresses (GCLB)

Descrizione: l'accesso alle macchine virtuali deve essere limitato dalle regole del firewall che consentono solo il traffico IAP assicurando che siano consentite solo le connessioni proxy tramite IAP. Per garantire che anche il bilanciamento del carico funzioni correttamente, è consigliabile consentire i controlli di integrità. IAP garantisce che l'accesso alle macchine virtuali sia controllato tramite l'autenticazione delle richieste in ingresso. Tuttavia, se la macchina virtuale è ancora accessibile da indirizzi IP diversi dall'IAP, potrebbe comunque essere possibile inviare richieste non autenticate all'istanza. È necessario prestare attenzione per assicurarsi che i controlli di integrità di loadblancer non vengano bloccati perché il servizio di bilanciamento del carico non conosce correttamente l'integrità della macchina virtuale e il bilanciamento del carico correttamente.

Gravità: medio

Verificare che le reti legacy non esistano per un progetto

Descrizione: per impedire l'uso di reti legacy, un progetto non deve avere una rete legacy configurata. Le reti legacy hanno un singolo intervallo di prefissi IPv4 di rete e un singolo indirizzo IP del gateway per l'intera rete. La rete è globale nell'ambito e si estende su tutte le aree cloud. Non è possibile creare subnet in una rete legacy e non è possibile passare da reti legacy a reti subnet personalizzate o auto. Le reti legacy possono avere un impatto sui progetti di traffico di rete elevato e sono soggette a un singolo punto di contesa o errore.

Gravità: medio

Assicurarsi che il flag di database "log_hostname" per l'istanza di Cloud SQL PostgreSQL sia impostato in modo appropriato

Descrizione: PostgreSQL registra solo l'indirizzo IP degli host di connessione. Il flag "log_hostname" controlla la registrazione di "nomi host" oltre agli indirizzi IP registrati. Il successo delle prestazioni dipende dalla configurazione dell'ambiente e dalla configurazione della risoluzione dei nomi host. Questo parametro può essere impostato solo nel file "postgresql.conf" o nella riga di comando del server. La registrazione dei nomi host può comportare un sovraccarico sulle prestazioni del server in quanto per ogni istruzione registrata, la risoluzione DNS sarà necessaria per convertire l'indirizzo IP in nome host. A seconda dell'installazione, questo potrebbe non essere trascurabile. Inoltre, gli indirizzi IP registrati possono essere risolti nei nomi DNS in un secondo momento quando si esaminano i log esclusi i casi in cui vengono usati nomi host dinamici. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.

Gravità: Bassa

Assicurarsi che nessun servizio di bilanciamento del carico proxy HTTPS o SSL consenta i criteri SSL con pacchetti di crittografia deboli

Descrizione: i criteri SSL (Secure Sockets Layer) determinano quali client delle funzionalità tls (Transport Layer Security) delle porte possono usare durante la connessione ai servizi di bilanciamento del carico. Per evitare l'utilizzo di funzionalità non sicure, i criteri SSL devono usare (a) almeno TLS 1.2 con il profilo MODERN; o (b) il profilo CON RESTRIZIONI, perché richiede effettivamente ai client di usare TLS 1.2 indipendentemente dalla versione minima di TLS scelta; o (3) un profilo PERSONALIZZATO che non supporta alcuna delle funzionalità seguenti: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

I servizi di bilanciamento del carico vengono usati per distribuire in modo efficiente il traffico tra più server. I servizi di bilanciamento del carico SSL e HTTPS sono servizi di bilanciamento del carico esterni, ovvero distribuiscono il traffico da Internet a una rete GCP. I clienti GCP possono configurare i criteri SSL del servizio di bilanciamento del carico con una versione minima di TLS (1.0, 1.1 o 1.2) che i client possono usare per stabilire una connessione, insieme a un profilo (compatibile, moderno, con restrizioni o personalizzato) che specifica pacchetti di crittografia consentiti. Per garantire la conformità agli utenti che usano protocolli obsoleti, i servizi di bilanciamento del carico GCP possono essere configurati per consentire pacchetti di crittografia non sicuri. Infatti, il criterio SSL predefinito GCP usa una versione minima tls 1.0 e un profilo compatibile, che consente la gamma più ampia di suite di crittografia non sicure. Di conseguenza, è facile per i clienti configurare un servizio di bilanciamento del carico senza nemmeno sapere che stanno consentendo suite di crittografia obsolete.

Gravità: medio

Assicurarsi che la registrazione DNS cloud sia abilitata per tutte le reti VPC

Descrizione: la registrazione DNS cloud registra le query dai server dei nomi all'interno del VPC a Stackdriver. Le query registrate possono provenire da macchine virtuali del motore di calcolo, contenitori GKE o altre risorse GCP di cui è stato effettuato il provisioning all'interno del VPC. Il monitoraggio della sicurezza e le analisi forensi non possono dipendere esclusivamente dagli indirizzi IP dai log dei flussi VPC, soprattutto quando si considera l'utilizzo di ip dinamico delle risorse cloud, il routing dell'host virtuale HTTP e altre tecnologie che possono nascondere il nome DNS usato da un client dall'indirizzo IP. Il monitoraggio dei log DNS cloud offre visibilità sui nomi DNS richiesti dai client all'interno del VPC. Questi log possono essere monitorati per i nomi di dominio anomali, valutati in base all'intelligence sulle minacce e

Per l'acquisizione completa del DNS, il firewall deve bloccare l'uscita UDP/53 (DNS) e TCP/443 (DNS su HTTPS) per impedire al client di usare il server dei nomi DNS esterno per la risoluzione.

Gravità: alta

Assicurarsi che DNSSEC sia abilitato per IL DNS cloud

Descrizione: Cloud Domain Name System (DNS) è un sistema di nomi di dominio veloce, affidabile e conveniente che supporta milioni di domini su Internet. Domain Name System Security Extensions (DNSSEC) in CLOUD DNS consente ai proprietari di dominio di eseguire semplici operazioni per proteggere i domini da attacchi DNS di hijack e man-in-the-middle e altri attacchi. Domain Name System Security Extensions (DNSSEC) aggiunge sicurezza al protocollo DNS abilitando la convalida delle risposte DNS. Avere un DNS attendibile che converte un nome di dominio come www.example.com nell'indirizzo IP associato è un blocco predefinito sempre più importante delle applicazioni basate sul Web di oggi. Gli utenti malintenzionati possono dirottare questo processo di ricerca di dominio/IP e reindirizzare gli utenti a un sito dannoso tramite attacchi DNS di hijack e man-in-the-middle. DNSSEC consente di ridurre il rischio di tali attacchi tramite la firma crittografica dei record DNS. Di conseguenza, impedisce agli utenti malintenzionati di emettere risposte DNS false che potrebbero indirizzare i browser in modo non diretto a siti Web illeciti.

Gravità: medio

Assicurarsi che l'accesso RDP sia limitato da Internet

Descrizione: le regole del firewall GCP sono specifiche di una rete VPC. Ogni regola consente o nega il traffico quando vengono soddisfatte le relative condizioni. Le condizioni consentono agli utenti di specificare il tipo di traffico, ad esempio porte e protocolli, e l'origine o la destinazione del traffico, inclusi indirizzi IP, subnet e istanze. Le regole del firewall vengono definite a livello di rete VPC e sono specifiche della rete in cui sono definite. Le regole stesse non possono essere condivise tra reti. Le regole del firewall supportano solo il traffico IPv4. Quando si specifica un'origine per una regola di ingresso o una destinazione per una regola di uscita per indirizzo, è possibile usare un indirizzo IPv4 o un blocco IPv4 nella notazione CIDR. È possibile evitare il traffico generico (0.0.0.0/0) da Internet a un'istanza VPC o vm tramite RDP sulla porta 3389. Regole del firewall GCP all'interno di una rete VPC. Queste regole si applicano al traffico in uscita (in uscita) dalle istanze e dal traffico in ingresso alle istanze della rete. I flussi di traffico in uscita e in ingresso vengono controllati anche se il traffico rimane all'interno della rete , ad esempio la comunicazione tra istanze. Affinché un'istanza disponga dell'accesso a Internet in uscita, la rete deve avere una route del gateway Internet valida o una route personalizzata il cui indirizzo IP di destinazione è specificato. Questa route definisce semplicemente il percorso verso Internet, per evitare l'intervallo IP di destinazione più generale (0.0.0.0/0) specificato da Internet tramite RDP con la porta predefinita 3389. L'accesso generico da Internet a un intervallo IP specifico deve essere limitato.

Gravità: alta

Assicurarsi che RSASHA1 non venga usato per la chiave di firma della chiave in DNS DNSSEC cloud

Descrizione: i numeri di algoritmo DNSSEC in questo Registro di sistema possono essere usati nelle richieste RR CERT. La firma della zona (DNSSEC) e i meccanismi di sicurezza delle transazioni (SIG(0) e TSIG usano determinati subset di questi algoritmi. L'algoritmo usato per la firma della chiave deve essere consigliato e deve essere sicuro. I numeri di algoritmo DNSSEC (Domain Name System Security Extensions) in questo Registro di sistema potrebbero essere usati nelle richieste RR CERT. La firma della zona (DNSSEC) e i meccanismi di sicurezza delle transazioni (SIG(0) e TSIG usano determinati subset di questi algoritmi. L'algoritmo usato per la firma della chiave deve essere consigliato e deve essere sicuro. Quando si abilita DNSSEC per una zona gestita o si crea una zona gestita con DNSSEC, l'utente può selezionare gli algoritmi di firma DNSSEC e il tipo denial-of-existence. La modifica delle impostazioni DNSSEC è valida solo per una zona gestita se DNSSEC non è già abilitato. Se è necessario modificare le impostazioni per una zona gestita in cui è stata abilitata, disattivare DNSSEC e quindi riabilitarla con impostazioni diverse.

Gravità: medio

Assicurarsi che RSASHA1 non venga usato per la chiave di firma della zona in DNS DNSSEC cloud

Descrizione: i numeri di algoritmo DNSSEC in questo Registro di sistema possono essere usati nelle richieste RR CERT. La firma della zona (DNSSEC) e i meccanismi di sicurezza delle transazioni (SIG(0) e TSIG usano determinati subset di questi algoritmi. L'algoritmo usato per la firma della chiave deve essere consigliato e deve essere sicuro. I numeri di algoritmo DNSSEC in questo Registro di sistema potrebbero essere usati nelle richieste RR CERT. La firma della zona (DNSSEC) e i meccanismi di sicurezza delle transazioni (SIG(0) e TSIG usano determinati subset di questi algoritmi. L'algoritmo usato per la firma della chiave deve essere consigliato e deve essere sicuro. Quando si abilita DNSSEC per una zona gestita o si crea una zona gestita con DNSSEC, è possibile selezionare gli algoritmi di firma DNSSEC e il tipo denial-of-existence. La modifica delle impostazioni DNSSEC è valida solo per una zona gestita se DNSSEC non è già abilitato. Se è necessario modificare le impostazioni per una zona gestita in cui è stata abilitata, disattivare DNSSEC e quindi riabilitarla con impostazioni diverse.

Gravità: medio

Assicurarsi che l'accesso SSH sia limitato da Internet

Descrizione: le regole del firewall GCP sono specifiche di una rete VPC. Ogni regola consente o nega il traffico quando vengono soddisfatte le relative condizioni. Le condizioni consentono all'utente di specificare il tipo di traffico, ad esempio porte e protocolli, e l'origine o la destinazione del traffico, inclusi indirizzi IP, subnet e istanze. Le regole del firewall vengono definite a livello di rete VPC e sono specifiche della rete in cui sono definite. Le regole stesse non possono essere condivise tra reti. Le regole del firewall supportano solo il traffico IPv4. Quando si specifica un'origine per una regola di ingresso o una destinazione per una regola di uscita per indirizzo, è possibile usare solo un indirizzo IPv4 o un blocco IPv4 nella notazione CIDR. È possibile evitare il traffico generico (0.0.0.0/0) da Internet a VPC o istanza di macchina virtuale tramite SSH sulla porta 22. Le regole del firewall GCP all'interno di una rete VPC si applicano al traffico in uscita (in uscita) dalle istanze e dal traffico in ingresso alle istanze della rete. I flussi di traffico in uscita e in ingresso vengono controllati anche se il traffico rimane all'interno della rete , ad esempio la comunicazione tra istanze. Affinché un'istanza disponga dell'accesso a Internet in uscita, la rete deve avere una route del gateway Internet valida o una route personalizzata il cui indirizzo IP di destinazione è specificato. Questa route definisce semplicemente il percorso verso Internet, per evitare l'intervallo IP di destinazione più generale (0.0.0.0/0) specificato da Internet tramite SSH con la porta predefinita '22'. L'accesso generico da Internet a un intervallo IP specifico deve essere limitato.

Gravità: alta

Verificare che la rete predefinita non esista in un progetto

Descrizione: per impedire l'uso della rete "predefinita", un progetto non deve avere una rete "predefinita". La rete predefinita ha una configurazione di rete preconfigurata e genera automaticamente le regole firewall non sicure seguenti:

  • default-allow-internal: consente connessioni in ingresso per tutti i protocolli e le porte tra le istanze della rete.
  • default-allow-ssh: consente le connessioni in ingresso sulla porta TCP 22(SSH) da qualsiasi origine a qualsiasi istanza della rete.
  • default-allow-rdp: consente connessioni in ingresso sulla porta TCP 3389(RDP) da qualsiasi origine a qualsiasi istanza della rete.
  • default-allow-icmp: consente il traffico ICMP in ingresso da qualsiasi origine a qualsiasi istanza della rete.

Queste regole del firewall create automaticamente non vengono registrate e non possono essere configurate per abilitare la registrazione delle regole del firewall. Inoltre, la rete predefinita è una rete in modalità automatica, il che significa che le subnet usano lo stesso intervallo predefinito di indirizzi IP e, di conseguenza, non è possibile usare cloud VPN o peering di rete VPC con la rete predefinita. In base ai requisiti di sicurezza e rete dell'organizzazione, l'organizzazione deve creare una nuova rete ed eliminare la rete predefinita.

Gravità: medio

Assicurarsi che il filtro delle metriche del log e gli avvisi esistano per le modifiche alla rete VPC

Descrizione: è consigliabile stabilire un filtro delle metriche e un allarme per le modifiche alla rete VPC (Virtual Private Cloud). È possibile avere più VPC all'interno di un progetto. Inoltre, è anche possibile creare una connessione peer tra due VPC, consentendo al traffico di rete di instradare tra reti virtuali. Il monitoraggio delle modifiche apportate a un VPC consentirà di garantire che il flusso del traffico VPC non venga influenzato.

Gravità: Bassa

Assicurarsi che il filtro e gli avvisi delle metriche del log esistano per le modifiche apportate alle regole del firewall di rete VPC

Descrizione: è consigliabile stabilire un filtro delle metriche e un allarme per le modifiche alle regole del firewall di rete del cloud privato virtuale (VPC). Il monitoraggio degli eventi delle regole Create o Update Firewall fornisce informazioni dettagliate sulle modifiche all'accesso alla rete e potrebbe ridurre il tempo necessario per rilevare attività sospette.

Gravità: Bassa

Assicurarsi che il filtro delle metriche del log e gli avvisi esistano per le modifiche alla route di rete VPC

Descrizione: è consigliabile stabilire un filtro delle metriche e un allarme per le modifiche alla route di rete del cloud privato virtuale (VPC). Le route GCP (Google Cloud Platform) definiscono i percorsi che il traffico di rete prende da un'istanza di macchina virtuale a un'altra destinazione. L'altra destinazione può trovarsi all'interno della rete VPC dell'organizzazione (ad esempio un'altra macchina virtuale) o all'esterno di essa. Ogni route è costituita da una destinazione e da un hop successivo. Il traffico il cui INDIRIZZO IP di destinazione si trova all'interno dell'intervallo di destinazione viene inviato all'hop successivo per il recapito. Il monitoraggio delle modifiche alle tabelle di route consente di garantire che tutto il traffico VPC passi attraverso un percorso previsto.

Gravità: Bassa

Assicurarsi che il flag di database "log_connections" per l'istanza di Cloud SQL PostgreSQL sia impostato su "on"

Descrizione: l'abilitazione dell'impostazione log_connections determina la registrazione di ogni tentativo di connessione al server, insieme al completamento dell'autenticazione client. Questo parametro non può essere modificato dopo l'avvio della sessione. PostgreSQL non registra le connessioni tentate per impostazione predefinita. L'abilitazione dell'impostazione log_connections creerà le voci di log per ogni connessione tentata, nonché il completamento dell'autenticazione client, che può essere utile per la risoluzione dei problemi e per determinare eventuali tentativi di connessione insoliti al server. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.

Gravità: medio

Assicurarsi che il flag di database "log_disconnections" per l'istanza di Cloud SQL PostgreSQL sia impostato su "on"

Descrizione: l'abilitazione dell'impostazione log_disconnections registra la fine di ogni sessione, inclusa la durata della sessione. PostgreSQL non registra i dettagli della sessione, ad esempio la durata e la fine della sessione per impostazione predefinita. L'abilitazione dell'impostazione log_disconnections creerà voci di log alla fine di ogni sessione, che può essere utile per la risoluzione dei problemi e determinare eventuali attività insolite in un periodo di tempo. Il log_disconnections e log_connections lavoro in mano e in genere, la coppia verrebbe abilitata/disabilitata insieme. Questa raccomandazione è applicabile alle istanze del database PostgreSQL.

Gravità: medio

Assicurarsi che i log dei flussi VPC siano abilitati per ogni subnet in una rete VPC

Descrizione: i log di flusso sono una funzionalità che consente agli utenti di acquisire informazioni sul traffico IP che passano da e verso le interfacce di rete nelle subnet VPC dell'organizzazione. Dopo aver creato un log di flusso, l'utente può visualizzare e recuperare i dati in Stackdriver Logging. È consigliabile abilitare i log dei flussi per ogni subnet VPC critica per l'azienda. Le reti VPC e le subnet forniscono partizioni di rete isolate e sicure logicamente in cui è possibile avviare le risorse GCP. Quando i log dei flussi sono abilitati per una subnet, le macchine virtuali all'interno di tale subnet avviano la creazione di report su tutti i flussi TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Ogni macchina virtuale esegue il flusso TCP e UDP che vede, in ingresso e in uscita, indipendentemente dal fatto che il flusso sia da o verso un'altra macchina virtuale, un host nel data center locale, un servizio Google o un host su Internet. Se due MACCHINE virtuali GCP comunicano e entrambe si trovano in subnet in cui sono abilitati i log dei flussi VPC, entrambe le macchine virtuali segnalano i flussi. I log di flusso supportano i casi d'uso seguenti: 1. Monitoraggio di rete. 2. Informazioni sull'utilizzo della rete e sull'ottimizzazione delle spese per il traffico di rete. 3. Rete forense. 4. I log dei flussi di analisi della sicurezza in tempo reale offrono visibilità sul traffico di rete per ogni macchina virtuale all'interno della subnet e possono essere usati per rilevare traffico anomalo o informazioni dettagliate durante i flussi di lavoro di sicurezza.

Gravità: Bassa

La registrazione delle regole del firewall deve essere abilitata

Descrizione: questa raccomandazione valuta la proprietà logConfig nei metadati del firewall per verificare se è vuota o contiene la coppia chiave-valore 'enable': false.

Gravità: medio

Il firewall non deve essere configurato per essere aperto all'accesso pubblico

Descrizione: questa raccomandazione valuta le proprietà sourceRanges e allowed per una delle due configurazioni seguenti:

La proprietà sourceRanges contiene 0.0.0.0/0 e la proprietà consentita contiene una combinazione di regole che includono qualsiasi protocollo o protocollo:port, ad eccezione dei seguenti:

  • Icmp
  • tcp: 22
  • tcp: 443
  • tcp: 3389
  • udp: 3389
  • sctp: 22

La proprietà sourceRanges contiene una combinazione di intervalli IP che includono qualsiasi indirizzo IP non privato e la proprietà consentita contiene una combinazione di regole che consentono tutte le porte TCP o tutte le porte UDP.

Gravità: alta

Il firewall non deve essere configurato per avere una porta CASSANDRA aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta aperta CISCOSECURE_WEBSM che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per il protocollo e la porta seguenti: TCP: 9090.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta aperta DIRECTORY_SERVICES che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 445 e UDP: 445.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta DNS aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 53 e UDP: 53.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta ELASTICSEARCH aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 9200, 9300.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta FTP aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per il protocollo e la porta seguenti: TCP: 21.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta HTTP aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 80.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta LDAP aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 389, 636 e UDP: 389.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta MEMCACHED aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 11211, 11214-11215 e UDP: 11211, 11214-11215.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta MONGODB aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 27017-27019.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta MYSQL aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per il protocollo e la porta seguenti: TCP: 3306.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta NETBIOS aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 137-139 e UDP: 137-139.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta ORACLEDB aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 1521, 2483-2484 e UDP: 2483-2484.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta POP3 aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per il protocollo e la porta seguenti: TCP: 110.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta PostgreSQL aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta la proprietà consentita nei metadati del firewall per i protocolli e le porte seguenti: TCP: 5432 e UDP: 5432.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta REDIS aperta che consenta l'accesso generico

Descrizione: questa raccomandazione valuta se la proprietà consentita nei metadati del firewall contiene il protocollo e la porta seguenti: TCP: 6379.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta SMTP aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta se la proprietà consentita nei metadati del firewall contiene il protocollo e la porta seguenti: TCP: 25.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta SSH aperta che consenta l'accesso generico

Descrizione: questa raccomandazione valuta se la proprietà consentita nei metadati del firewall contiene i protocolli e le porte seguenti: TCP: 22 e SCTP: 22.

Gravità: Bassa

Il firewall non deve essere configurato per avere una porta TELNET aperta che consente l'accesso generico

Descrizione: questa raccomandazione valuta se la proprietà consentita nei metadati del firewall contiene il protocollo e la porta seguenti: TCP: 23.

Gravità: Bassa

I cluster GKE devono avere intervalli IP alias abilitati

Descrizione: questa raccomandazione valuta se il campo useIPAliases di ipAllocationPolicy in un cluster è impostato su false.

Gravità: Bassa

I cluster GKE devono avere cluster privati abilitati

Descrizione: questa raccomandazione valuta se il campo enablePrivateNodes della proprietà privateClusterConfig è impostato su false.

Gravità: alta

I criteri di rete devono essere abilitati nei cluster GKE

Descrizione: questa raccomandazione valuta il campo networkPolicy della proprietà addonsConfig per la coppia chiave-valore, 'disabled': true.

Gravità: medio