次の方法で共有


ネットワーク セキュリティに関する推奨事項

この記事では、Microsoft Defender for Cloud に表示されるすべてのネットワーク セキュリティに関する推奨事項を示します。

環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。

これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。

ヒント

推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。

たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。

Azure ネットワークに関する推奨事項

ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要がある

説明: ストレージ アカウントのファイアウォール設定のネットワーク アクセスの設定を確認します。 許可されているネットワークからのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成することをお勧めします。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。 (関連ポリシー: ストレージ アカウントでは、ネットワーク アクセス) を制限する必要があります。

重大度: 低

アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある

説明: Defender for Cloud は、以下に示す仮想マシンのインターネット トラフィック通信パターンを分析し、それらに関連付けられている NSG 内の既存のルールが過度に制限されていると判断し、潜在的な攻撃対象領域を増やしました。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 (関連ポリシー: アダプティブ ネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシン) に適用する必要があります。

重大度: 高

仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある

説明: Defender for Cloud では、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎないように特定されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 (関連ポリシー: すべてのネットワーク ポートは、仮想マシン) に関連付けられているネットワーク セキュリティ グループで制限する必要があります。

重大度: 高

Azure DDoS Protection Standard を有効にする必要がある

説明: Defender for Cloud は、DDoS 保護サービスによって保護されていない Application Gateway リソースを持つ仮想ネットワークを検出しました。 これらのリソースには、パブリック IP が含まれています。 ネットワークに対する帯域幅消費型攻撃およびプロトコル攻撃の軽減を有効にします。 (関連ポリシー: Azure DDoS Protection Standard を有効にする必要があります)。

重大度: 中

インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある

説明: ネットワーク セキュリティ グループ (NSG) を使用して VM へのアクセスを制限することで、潜在的な脅威から VM を保護します。 NSG には、同じサブネット内外の他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 重大度が "高" の VM は、インターネットに接続する VM です。 (関連ポリシー: インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループ) で保護する必要があります。

重大度: 高

仮想マシンでの IP 転送を無効にする必要がある

説明: Defender for Cloud は、一部の仮想マシンで IP 転送が有効になっていることを検出しました。 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 (関連ポリシー: 仮想マシンでの IP 転送を無効にする必要があります)。

重大度: 中

マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります

説明: Azure の使用条件 、Microsoft サーバーまたはネットワークに損害を与えたり、無効にしたり、過負荷にしたり、損なったりする可能性のある方法で Azure サービスを使用することを禁止します。 この推奨事項には、セキュリティを維持するために閉じる必要がある公開ポートが列挙されます。 また、各ポートに対する潜在的な脅威も示されます。 (関連ポリシーはありません)

重大度: 高

仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある

説明: Defender for Cloud は、ネットワーク セキュリティ グループ内の管理ポートに対して、過度に制限の緩い受信規則をいくつか特定しました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。 (関連ポリシー: 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御) で保護する必要があります。

重大度: 高

仮想マシンの管理ポートを閉じておく必要がある

説明: オープン リモート管理ポートは、インターネットベースの攻撃による高レベルのリスクに VM を公開しています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 (関連ポリシー: 管理ポートは、仮想マシンで閉じる必要があります)。

重大度: 中

インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある

説明: ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG には、同じサブネット上にあるかどうかに関係なく、他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 (関連ポリシー: インターネットに接続していない仮想マシンは、ネットワーク セキュリティ グループ) で保護する必要があります。

重大度: 低

ストレージ アカウントへの安全な転送を有効にする必要がある

説明: セキュリティで保護された転送は、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるようにストレージ アカウントに強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。 (関連ポリシー: ストレージ アカウントへの安全な転送を有効にする必要があります)。

重大度: 高

サブネットはネットワーク セキュリティ グループに関連付けられている必要がある

説明: ネットワーク セキュリティ グループ (NSG) を使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM インスタンスと統合サービスに適用されますが、サブネット内の内部トラフィックには適用されません。 同じサブネット内のリソースを相互にセキュリティで保護するには、リソースでも直接 NSG を有効にします。 適用なしとして表示されるサブネットの種類は、GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet です。 (関連ポリシー: サブネットは、ネットワーク セキュリティ グループ) に関連付ける必要があります。

重大度: 低

仮想ネットワークは、Azure Firewall によって保護する必要がある

説明: 一部の仮想ネットワークはファイアウォールで保護されていません。 Azure Firewall を使用して、仮想ネットワークへのアクセスを制限し、潜在的な脅威を防ぎます。 (関連ポリシー: すべてのインターネット トラフィックは、デプロイされた Azure Firewall) 経由でルーティングする必要があります。

AWS のネットワークに関する推奨事項

Amazon EC2 は、VPC エンドポイントを使用して構成する必要がある

説明: このコントロールは、Amazon EC2 のサービスエンドポイントが VPC ごとに作成されているかどうかを確認します。 VPC に Amazon EC2 サービス用に作成された VPC エンドポイントがない場合、コントロールは失敗します。 VPC のセキュリティ体制を改善するには、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を構成します。 インターフェイス エンドポイントには、Amazon EC2 API 操作にプライベートに接続できるテクノロジである AWS PrivateLink が活用されています。 これにより、VPC と Amazon EC2 の間のネットワーク トラフィックが Amazon ネットワークに制限されます。 エンドポイントは同じリージョン内でのみサポートされるため、VPC と別のリージョンのサービスの間にエンドポイントを作成することはできません。 これにより、他のリージョンへの意図しない Amazon EC2 API 呼び出しを防ぐことができます。 Amazon EC2 の VPC エンドポイントの作成に関する詳細については、Linux インスタンス用 Amazon EC2 ユーザー ガイドの「Amazon EC2 and interface VPC endpoints」 (Amazon EC2 とインターフェイス VPC エンドポイント) を参照してください。

重大度: 中

Amazon ECS サービスには、パブリック IP アドレスを自動的に割り当てないようにする必要がある

説明: パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。 パブリック IP アドレスを使用して Amazon ECS インスタンスを起動すると、Amazon ECS インスタンスは、インターネットから到達可能となります。 Amazon ECS サービスには、コンテナー アプリケーション サーバーへの意図しないアクセスが許可される可能性があるため、パブリックにアクセスできないようにする必要があります。

重大度: 高

Amazon EMR クラスター マスター ノードには、パブリック IP アドレスを指定しないようにする必要がある

説明: このコントロールは、Amazon EMR クラスターのマスター ノードにパブリック IP アドレスがあるかどうかを確認します。 このコントロールは、マスター ノードに、そのいずれかのインスタンスに関連付けられているパブリック IP アドレスが指定されている場合に失敗します。 パブリック IP アドレスは、インスタンスの NetworkInterfaces 構成の PublicIp フィールドに指定されます。 このコントロールを使用すると、RUNNING または WAITING 状態の Amazon EMR クラスターのみ、チェックできます。

重大度: 高

Amazon Redshift クラスターでは、拡張 VPC ルーティングを使用する必要がある

説明: このコントロールは、Amazon Redshift クラスターで EnhancedVpcRouting が有効になっているかどうかを確認します。 拡張 VPC ルーティングにより、クラスターとデータ リポジトリの間のすべての COPY トラフィックと UNLOAD トラフィックが、強制的に VPC を通過します。 その後は、セキュリティ グループやネットワーク アクセス コントロール リストなどの VPC 機能を使用して、ネットワーク トラフィックをセキュリティで保護することができます。 また、ネットワーク トラフィックの監視には、VPC Flow ログも使用することができます。

重大度: 高

Application Load Balancer は、すべての HTTP 要求を HTTPS にリダイレクトするように構成する必要がある

説明: 転送中に暗号化を適用するには、アプリケーション ロード バランサーでリダイレクト アクションを使用して、クライアント HTTP 要求をポート 443 の HTTPS 要求にリダイレクトする必要があります。

重大度: 中

Application Load Balancer は、HTTP ヘッダーを削除するように構成する必要がある

説明: このコントロールは、AWS Application Load Balancer (ALB) を評価して、無効な HTTP ヘッダーを削除するように構成されていることを確認します。 このコントロールは、routing.http.drop_invalid_header_fields.enabled の値が false に設定されている場合に失敗します。 既定では、ALB は無効な HTTP ヘッダー値を削除するように構成されていません。 これらのヘッダー値を削除すると、HTTP 非同期攻撃を防ぐことができます。

重大度: 中

Lambda 関数を VPC に構成する

説明: このコントロールは、Lambda 関数が VPC 内にあるかどうかをチェックします。 パブリック到達可能性を判断するために VPC サブネットルーティング構成は評価されません。 アカウントに Lambda@Edge がある場合は、このコントロールによって失敗の結果が生成されます。 このような結果を回避するには、このコントロールを無効にしてください。

重大度: 低

EC2 インスタンスには、パブリック IP アドレスを指定しないようにする必要がある

説明: このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかを確認します。 このコントロールは、EC2 インスタンス構成アイテムに "publicIp" フィールドが存在する場合に失敗します。 このコントロールは、IPv4 アドレスにのみ適用されます。 パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。 パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスは、インターネットから到達可能となります。 プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。 同じ VPC 内または接続されたプライベート ネットワーク内の EC2 インスタンス間の通信には、プライベート IPv4 アドレスを使用できます。 IPv6 アドレスは、グローバルに一意であるため、インターネットから到達可能です。 ただし、既定では、すべてのサブネットで、IPv6 アドレス属性が false に設定されています。 IPv6 の詳細については、Amazon VPC ユーザー ガイドの「IP addressing in your VPC」 (VPC の IP アドレス指定) を参照してください。 パブリック IP アドレスが指定されている EC2 インスタンスを維持するための正当なユース ケースがある場合は、このコントロールの結果を抑制することができます。 フロントエンド アーキテクチャのオプションの詳細については、AWS アーキテクチャのブログ、または「This Is My Architecture」シリーズを参照してください。

重大度: 高

EC2 インスタンスでは、複数の ENI を使用しないようにする必要がある

説明: このコントロールは、EC2 インスタンスが複数の Elastic Network Interfaces (ISI) または Elastic Fabric Adapter (EFA) を使用しているかどうかを確認します。 このコントロールは、1 つのネットワーク アダプターが使用される場合に渡されます。 このコントロールには、許可されている ENI を識別するための、省略可能なパラメーター リストが含まれています。 複数の ENI があると、デュアルホームのインスタンス、つまり複数のサブネットを持つインスタンスが生成される場合があります。 これにより、ネットワーク セキュリティがさらに複雑になり、意図しないネットワーク パスやアクセスが発生する可能性があります。

重大度: 低

EC2 インスタンスでは、IMDSv2 を使用する必要がある

説明: このコントロールは、EC2 インスタンス メタデータ バージョンがインスタンス メタデータ サービス バージョン 2 (IMDSv2) で構成されているかどうかを確認します。 このコントロールは、'HttpTokens' が IMDSv2 に対して 'required' に設定されている場合に合格します。 このコントロールは、'HttpTokens' が 'optional' に設定されている場合に失敗します。 実行中のインスタンスを構成または管理するには、インスタンスのメタデータを使用します。 IMDS を使用すると、頻繁にローテーションされる一時的な資格情報にアクセスできます。 このような資格情報により、機密である資格情報を、ハードコーディングしたり、手動またはプログラムによってインスタンスに配布したりする必要がなくなります。 IMDS は、すべての EC2 インスタンスにローカルにアタッチされます。 特別な 'リンク ローカル' IP アドレスである 169.254.169.254 で実行されます。 この IP アドレスへは、インスタンスで実行されているソフトウェアによってのみアクセスできます。 IMDS のバージョン 2 では、次の種類の脆弱性に対する新たな保護が追加されています。 これらの脆弱性は、IMDS へのアクセスを試みるために使用される場合があります。

  • Web サイト アプリケーション ファイアウォールを開く
  • リバース プロキシを開く
  • サーバー側要求フォージェリ (SSRF) の脆弱性
  • レイヤー 3 のファイアウォールとネットワーク アドレス変換 (NAT) Security Hub を開くには、IMDSv2 を使用して EC2 インスタンスを構成することをお勧めします。

重大度: 高

EC2 サブネットでは、パブリック IP アドレスを自動的に割り当てないようにする必要がある

説明: このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットでのパブリック IP の割り当てに "MapPublicIpOnLaunch" が "FALSE" に設定されているかどうかを確認します。 このコントロールは、フラグが 'FALSE' に設定されている場合に合格します。 すべてのサブネットには、そのサブネットに作成されたネットワーク インターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを決定する属性があります。 この属性が有効になっているサブネットに起動されるインスタンスには、プライマリ ネットワーク インターフェイスに割り当てられたパブリック IP アドレスが指定されます。

重大度: 中

AWS Config 構成の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリック フィルターとアラームを確立することをお勧めします。 AWS Config 構成の変更を監視することで、AWS アカウント内の構成項目を持続的に可視化できます。

重大度: 低

AWS マネジメント コンソールの認証エラーに対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 失敗したコンソール認証の試行に対してメトリック フィルターとアラームを確立することをお勧めします。 コンソール ログインの失敗を監視すると、資格情報をブルート フォースする試みを検出するリード タイムが短縮される可能性があります。これにより、他のイベント相関関係で使用できるインジケーター (ソース IP など) が提供される可能性があります。

重大度: 低

ネットワーク アクセス コントロール リスト (NACL) の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 NACL は、VPC 内のサブネットのイングレスおよびエグレス トラフィックを制御するためのステートレス パケット フィルターとして使用されます。 NACL に加えられた変更に対して、メトリック フィルターとアラームを設定することをお勧めします。 NACL に対する変更を監視することで、AWS のリソースとサービスが意図せずに公開されないようにすることができます。

重大度: 低

ネットワーク ゲートウェイの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ネットワーク ゲートウェイは、VPC の外側にある宛先とのトラフィックのを送信/受信に必要です。 ネットワーク ゲートウェイへの変更については、メトリック フィルターとアラームを確立することをお勧めします。 ネットワークゲートウェイに対する変更を監視することで、すべてのイングレス/エグレストラフィックが制御されたパスを介して VPC ボーダーを通過することを保証できます。

重大度: 低

CloudTrail 構成の変更に対して、ログ メトリック フィルターとアラームが存在することを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリック フィルターとアラームを確立することをお勧めします。

CloudTrail の構成に対する変更を監視することで、AWS アカウントで実行されたアクティビティを継続的に可視化できます。

重大度: 低

顧客が作成した CMK の無効化またはスケジュールされた削除に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 状態が無効またはスケジュールされた削除に変更された、顧客が作成した CMK に対してメトリック フィルターとアラームを確立することをお勧めします。 無効化または削除されたキーで暗号化されたデータには、アクセスできなくなります。

重大度: 低

IAM ポリシーの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ID およびアクセス管理 (IAM) ポリシーに対するメトリック フィルターとアラームの変更を確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。

重大度: 低

MFA を使用しないマネジメント コンソール サインインに対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 多要素認証 (MFA) によって保護されていないコンソール ログインには、メトリック フィルターとアラームを確立することをお勧めします。 単一要素のコンソール ログインを監視すると、MFA によって保護されていないアカウントの可視性が向上します。

重大度: 低

ルート テーブルの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ルーティング テーブルは、サブネット間およびネットワーク ゲートウェイへ向かうネットワーク トラフィックをルーティングするために使用されます。 ルート テーブルの変更については、メトリック フィルターとアラームを確立することをお勧めします。 ルートテーブルに対する変更を監視すると、すべての VPC トラフィックが予想されるパスを通過することが保証されます。

重大度: 低

S3 バケット ポリシーの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 S3 バケット ポリシーの変更に対して、メトリック フィルターとアラームを設定することをお勧めします。 S3 バケット ポリシーに対する変更を監視すると、機密性の高い S3 バケットの許容ポリシーを検出して修正する時間が短縮される場合があります。

重大度: 低

セキュリティ グループの変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 Security Groups は、VPC 内のサブネットのイングレス/エグレス トラフィックを制御するためのステートレス パケット フィルターとして使用されます。 セキュリティ グループに対するメトリック フィルターとアラームの変更を確立することをお勧めします。 セキュリティ グループに対する変更を監視すると、リソースとサービスが意図せずに公開されないようにすることができます。

重大度: 低

未承認の API 呼び出しに対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 承認されていない API 呼び出しに対してメトリック フィルターとアラームを確立することをお勧めします。 承認されていない API 呼び出しを監視すると、アプリケーション エラーが明らかになり、悪意のあるアクティビティを検出する時間が短縮される可能性があります。

重大度: 低

'root' アカウントの使用に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 ルート ログインの試行に対してメトリック フィルターとアラームを確立することをお勧めします。

ルート アカウント ログインの監視により、完全な特権を持つアカウントの使用が可視化され、その使用を減らすことができます。

重大度: 低

VPC の変更に対して、ログ メトリック フィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリック フィルターとアラームを確立します。 アカウント内に複数の VPC を含めることもできます。さらに、2 つの VPC 間にピア接続を作成して、ネットワーク トラフィックを VPC 間でルーティングすることもできます。 VPN に加えられた変更については、メトリック フィルターとアラームを確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。

重大度: 低

0.0.0.0/0 からポート 3389 へのイングレスを許可するセキュリティ グループが存在しないことを確認する

説明: セキュリティ グループは、AWS リソースへのイングレス/エグレス ネットワーク トラフィックのステートフル フィルター処理を提供します。 ポート 3389 への無制限のイングレス アクセスを許可するセキュリティ グループはないことをお勧めします。 RDP などのリモート コンソール サービスへの接続を解除すると、サーバーのリスクにさらされるリスクが軽減されます。

重大度: 高

RDS のデータベースとクラスターでは、データベース エンジンの既定のポートを使用しないようにする必要がある

説明: このコントロールは、RDS クラスターまたはインスタンスがデータベース エンジンの既定のポート以外のポートを使用しているかどうかを確認します。 既知のポートを使用して RDS クラスターまたはインスタンスをデプロイすると、攻撃者は、クラスターまたはインスタンスに関する情報を推測できます。 攻撃者は、この情報を他の情報と併せて使用することで、RDS クラスターやインスタンスに接続したり、アプリケーションに関する追加情報を取得したりすることができます。 ポートを変更する場合は、古いポートへの接続に使用されていた既存の接続文字列も更新する必要があります。 また、DB インスタンスのセキュリティ グループを確認して、新しいポートでの接続を許可するイングレス規則が含まれていることを確認する必要があります。

重大度: 低

RDS インスタンスは、VPC にデプロイする必要がある

説明: VPN には、RDS リソースへのアクセスをセキュリティで保護するための多数のネットワーク制御が用意されています。 これらのコントロールには、VPC エンドポイント、ネットワーク ACL、セキュリティグループが含まれます。 これらのコントロールを活用するには、EC2-Classic RDS インスタンスを EC2-VPC に移動することをお勧めします。

重大度: 低

S3 バケットでは、要求に Secure Socket Layer を使用する必要がある

説明: すべての Amazon S3 バケットで Secure Socket Layer (SSL) を使用する要求を要求することをお勧めします。 S3 バケットには、条件キー 'aws:SecureTransport' によって示されているように、S3 リソース ポリシーで HTTPS 経由のデータ転送のみを許可することをすべての要求 ('Action: S3:*') に求めるポリシーが必要です。

重大度: 中

セキュリティ グループでは、0.0.0.0/0 からポート 22 へのイングレスを許可しないようにする必要がある

説明: サーバーの露出を減らすために、ポート '22' への無制限のイングレス アクセスを許可しないことをお勧めします。

重大度: 高

セキュリティ グループでは、リスクの高いポートに対して無制限のアクセスを許可しないようにする必要がある

説明: このコントロールは、セキュリティ グループの無制限の着信トラフィックが、リスクが最も高い指定されたポートからアクセスできるかどうかを確認します。 このコントロールは、セキュリティ グループ内に、このようなポートに対して 0.0.0.0/0 からのイングレス トラフィックを許可する規則が存在しない場合に合格します。 無制限のアクセス (0.0.0.0/0) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。 セキュリティ グループでは、AWS リソースへのイングレスおよびエグレス ネットワーク トラフィックのステートフル フィルタリングを実行することができます。 いかなるセキュリティ グループにおいても、次のポートへの無制限のイングレス アクセスは許可されていません。

  • 3389 (RDP)
  • 20、21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 110 (POP3)
  • 143 (IMAP)
  • 3306 (MySQL)
  • 8080 (プロキシ)
  • 1433、1434 (MSSQL)
  • 9200 または 9300 (Elasticsearch)
  • 5601 (Kibana)
  • 25 (SMTP)
  • 445 (CIFS)
  • 135 (RPC)
  • 4333 (ahsp)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)

重大度: 中

セキュリティ グループでは、承認済みポートに対する無制限の受信トラフィックのみを許可する必要がある

説明: このコントロールは、使用中のセキュリティ グループが無制限の着信トラフィックを許可するかどうかを確認します。 必要に応じて、この規則に従い、"authorizedTcpPorts" パラメーターにポート番号が表示されているかどうかをチェックします。

  • セキュリティ グループ規則のポート番号で無制限の着信トラフィックが許可されているが、ポート番号が "authorizedTcpPorts" で指定されている場合、コントロールは渡されます。 "authorizedTcpPorts" の既定値は、80、443 です。
  • セキュリティ グループ規則のポート番号で無制限の受信トラフィックが許可されているが、ポート番号が authorizedTcpPorts 入力パラメーターに指定されていない場合、コントロールは失敗します。
  • パラメーターが使用されていない場合、無制限の受信規則を持つセキュリティ グループのコントロールは失敗します。 セキュリティ グループでは、AWS へのイングレスおよびエグレス ネットワーク トラフィックのステートフル フィルタリングを実行することができます。 セキュリティ グループの規則は、最小限の特権アクセスの原則に従う必要があります。 無制限のアクセス (サフィックスが a /0 の IP アドレス) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。 ポートが明示的に許可されていない限り、そのポートに対しては、無制限のアクセスを拒否する必要があります。

重大度: 高

使用されていない EC2 EIP は、削除する必要がある

説明: VPC に割り当てられたエラスティック IP アドレスは、Amazon EC2 インスタンスまたは使用中のエラスティック ネットワーク インターフェイス (ISI) にアタッチする必要があります。

重大度: 低

使用されていないネットワーク アクセス コントロール リストは、削除する必要がある

説明: このコントロールは、未使用のネットワーク アクセス制御リスト (ACL) があるかどうかを確認します。 このコントロールを使用すると、リソース "AWS::EC2::NetworkAcl" のアイテム構成をチェックできることに加え、ネットワーク ACL のリレーションシップを判別することができます。 リレーションシップがネットワーク ACL の VPC のみである場合、このコントロールは失敗します。 他のリレーションシップが表示されている場合、このコントロールは合格します。

重大度: 低

VPC の既定のセキュリティ グループでは、トラフィックを制限する必要がある

説明: セキュリティ グループでは、リソースの露出を減らすためにすべてのトラフィックを制限する必要があります。

重大度: 低

GCP ネットワークに関する推奨事項

クラスター ホストは、Google API にアクセスするためにプライベートの内部 IP アドレスのみを使用するように構成する必要があります

説明: この推奨事項では、サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを評価します。

重大度: 高

コンピューティング インスタンスでは、ターゲット HTTPS プロキシを使用するように構成されているロード バランサーを使用する必要があります

説明: この推奨事項は、targetHttpProxy リソースの selfLink プロパティが転送ルールのターゲット属性と一致するかどうか、および転送ルールに外部に設定された loadBalancingScheme フィールドが含まれているかどうかを評価します。

重大度: 中

コントロール プレーン承認済みネットワークが GKE クラスターで有効になっている必要がある

説明: この推奨事項では、クラスターの masterAuthorizedNetworksConfig プロパティのキーと値のペア 'enabled': false が評価されます。

重大度: 高

望ましくない送信トラフィックをブロックするには、Egress 拒否ルールをファイアウォールに設定する必要があります

説明: この推奨事項は、ファイアウォールの destinationRanges プロパティが 0.0.0.0/0 に設定され、拒否されたプロパティにキーと値のペアが含まれているかどうかを評価します。 'IPProtocol': 'all.'

重大度: 低

Identity Aware Proxy (IAP) の背後にあるインスタンスのファイアウォール規則で、Google Cloud Loadbalancer (GCLB) の正常性チェックおよびプロキシ アドレスからのトラフィックのみが許可されていることを確認する

説明: IAP によってプロキシされた接続のみが許可されるようにすることで、IAP トラフィックのみを許可するファイアウォール規則によって VM へのアクセスを制限する必要があります。 負荷分散が正しく機能することを確認するには、正常性チェックも許可する必要があります。 IAP では、受信要求を認証することで、VM へのアクセスが制御されます。 ただし、VM に IAP 以外の IP アドレスから引き続きアクセスできる場合は、認証されていない要求をインスタンスに送信できる可能性があります。 ロード バランサーが VM の正常性と負荷分散を正しく認識するのを防ぎ、ロード ブランカーの正常性チェックがブロックされないように注意する必要があります。

重大度: 中

プロジェクトでレガシ ネットワークが存在しないことを確認する

説明: レガシ ネットワークの使用を防ぐために、プロジェクトにレガシ ネットワークを構成する必要はありません。 レガシ ネットワークには、ネットワーク全体で単一のネットワーク IPv4 プレフィックス範囲と単一のゲートウェイ IP アドレスがあります。 ネットワークの範囲はグローバルで、すべてのクラウド リージョンに配置されます。 サブネットワークはレガシ ネットワークに作成できず、レガシ から自動またはカスタムのサブネット ネットワークに切り替えることはできません。 レガシ ネットワークは、ネットワーク トラフィックの多いプロジェクトに影響を与え、単一競合点または障害点を引き起こす可能性があります。

重大度: 中

Cloud SQL PostgreSQL インスタンスの 'log_hostname' データベース フラグが適切に設定されていることを確認する

説明: PostgreSQL は、接続しているホストの IP アドレスのみをログに記録します。 "log_hostname" フラグは、ログに記録される IP アドレスに加えて、"ホスト名" のログ記録を制御します。 パフォーマンスの低下は、環境の構成とホスト名解決の設定に依存します。 このパラメーターは、"postgresql.conf" ファイルまたはサーバーのコマンド ラインでのみ設定できます。 ホスト名のログ記録によって、サーバーのパフォーマンスにオーバーヘッドが発生する可能性があります。これはログに記録される各ステートメントに対して、IP アドレスをホスト名に変換する DNS 解決が必要になるためです。 セットアップによっては、無視できない場合があります。 さらに、動的ホスト名が使用されている場合を除き、ログに記録される IP アドレスは、後でログを確認するときに DNS 名に解決することができます。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。

重大度: 低

暗号スイートの脆弱な SSL ポリシーを許可している HTTPS または SSL プロキシ ロード バランサーがないことを確認する

説明: Secure Sockets Layer (SSL) ポリシーによって、ロード バランサーへの接続時にクライアントが使用できるポートトランスポート層セキュリティ (TLS) 機能が決まります。 セキュリティで保護されていない機能の使用を防ぐために、SSL ポリシーでは、少なくとも MODERN プロファイルで TLS 1.2 を使用する必要があります。(b) RESTRICTED プロファイルは、選択した最小 TLS バージョンに関係なく、クライアントが TLS 1.2 を使用する必要があるためです。または (3) 次の機能をサポートしていない CUSTOM プロファイル: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

ロード バランサーは、複数のサーバー間でトラフィックを効率的に分散するために使用されます。 SSL プロキシと HTTPS ロード バランサーはどちらも外部ロード バランサーです。つまり、インターネットから GCP ネットワークへのトラフィックを分散します。 GCP のお客様は、クライアントが接続の確立に使用できる最小の TLS バージョン (1.0、1.1、または 1.2) と、許容される暗号スイートを指定するプロファイル (Compatible、Modern、Restricted、または Custom) を使用して、ロード バランサー SSL ポリシーを構成できます。 古いプロトコルを使用するユーザーに対応して、セキュリティで保護されていない暗号スイートを許可するように GCP ロード バランサーを構成できます。 実際、GCP の既定の SSL ポリシーでは、最小 TLS バージョン 1.0 と Compatible プロファイルが使用されます。これにより、最も広い範囲の安全でない暗号スイートを使用できます。 その結果、古い暗号スイートが許可されていることを知らなくても、お客様はロード バランサーを簡単に構成できます。

重大度: 中

すべての VPC ネットワークで Cloud DNS ログが有効になっていることを確認する

説明: クラウド DNS ログは、VPC 内のネームサーバーから Stackdriver へのクエリを記録します。 ログに記録されるクエリは、Compute Engine VM、GKE コンテナー、または VPC 内でプロビジョニングされた他の GCP リソースから取得できます。 セキュリティの監視とフォレンジックは、特にクラウド リソースの動的 IP 使用率、HTTP 仮想ホスト ルーティング、およびクライアントが使用する DNS 名を IP アドレスから隠すことができるその他のテクノロジを考慮する場合に、VPC フロー ログからの IP アドレスのみに依存することはできません。 クラウド DNS ログの監視により、VPC 内のクライアントによって要求された DNS 名が可視化されます。 これらのログは、異常なドメイン名がないか監視でき、脅威インテリジェンスに対して評価されます。

DNS を完全にキャプチャするには、クライアントが解決のために外部 DNS ネーム サーバーを使用できないように、ファイアウォールでエグレス UDP/53 (DNS) と TCP/443 (DNS over HTTPS) をブロックする必要があります。

重大度: 高

クラウド DNS に対して DNSSEC が有効になっていることを確認する

説明: クラウド ドメイン ネーム システム (DNS) は、インターネット上の何百万ものドメインを強化する、高速で信頼性が高く、コスト効率の高いドメイン ネーム システムです。 クラウド DNS のドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) を使用すると、ドメイン所有者は簡単な手順を実行して、DNS ハイジャックや中間者攻撃、およびその他の攻撃からドメインを保護することができます。 ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) は、DNS 応答の検証を有効にすることで DNS プロトコルのセキュリティを向上させます。 www.example.comなどのドメイン名を関連する IP アドレスに変換する信頼できる DNS を持つことは、今日の Web ベースのアプリケーションのますます重要な構成要素です。 攻撃者は、このドメイン/IP 検索のプロセスを乗っ取り、DNS ハイジャックと中間者攻撃を通じてユーザーを悪意のあるサイトにリダイレクトすることができます。 DNSSEC は、DNS レコードに暗号で署名することで、このような攻撃のリスクを軽減するのに役立ちます。 その結果、攻撃者が偽の DNS 応答を発行するのを防ぎ、ブラウザーを悪質な Web サイトに誤ってリダイレクトする可能性があります。

重大度: 中

インターネットからの RDP アクセスが制限されていることを確認する

説明: GCP ファイアウォール規則は VPC ネットワークに固有です。 各規則の条件が満たされるとトラフィックが許可または拒否されます。 その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。 ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。 ルール自体をネットワーク間で共有することはできません。 ファイアウォール規則は IPv4 トラフィックのみをサポートします。 アドレスでイングレス ルールの送信元またはエグレス ルールの宛先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックを使用できます。 ポート 3389 で RDP を使用してインターネットから VPC または VM インスタンスへの汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則。 これらの規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。 トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレス トラフィック フローは制御されます。 インスタンスが送信インターネット アクセスを得るには、ネットワークに有効なインターネット ゲートウェイ ルートまたは宛先 IP が指定されているカスタム ルートが必要です。 このルートは、既定のポート 3389 を使用して RDP を介して指定された最も汎用的な (0.0.0.0/0) 宛先 IP 範囲を避けるため、インターネットへのパスを単純に定義します。 インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。

重大度: 高

クラウド DNS DNSSEC でキーを署名するキーに RSASHA1 が使用されていないことを確認する

説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 このレジストリのドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) アルゴリズム番号は、CERT R で使用される場合があります。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 マネージド ゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージド ゾーンを作成すると、ユーザーは DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージド ゾーンに対して有効になります。 有効になっているマネージド ゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。

重大度: 中

クラウド DNS DNSSEC でゾーンを署名するキーに RSASHA1 が使用されていないことを確認する

説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。 ゾーン署名 (DNSSEC) とトランザクション セキュリティ メカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。 キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。 マネージド ゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージド ゾーンを作成すると、DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージド ゾーンに対して有効になります。 有効になっているマネージド ゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。

重大度: 中

インターネットからの SSH アクセスが制限されていることを確認する

説明: GCP ファイアウォール規則は VPC ネットワークに固有です。 各規則の条件が満たされるとトラフィックが許可または拒否されます。 その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。 ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。 ルール自体をネットワーク間で共有することはできません。 ファイアウォール規則は IPv4 トラフィックのみをサポートします。 アドレスでイングレス ルールの送信元またはエグレス ルールの送信先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックのみを使用できます。 インターネットから VPC または VM インスタンスへの、SSH を使用したポート 22 の汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。 トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレス トラフィック フローは制御されます。 インスタンスが送信インターネット アクセスを得るには、ネットワークに有効なインターネット ゲートウェイ ルートまたは宛先 IP が指定されているカスタム ルートが必要です。 このルートでは、インターネットから既定のポート '22' を使用して SSH 経由で指定された最も一般的な (0.0.0.0/0) 宛先 IP 範囲を回避するために、インターネットへのパスを定義するだけです。 インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。

重大度: 高

既定のネットワークがプロジェクトに存在しないことを確認する

説明: "既定" のネットワークを使用しないようにするには、プロジェクトに "既定" のネットワークを含めることはできません。 既定のネットワークには事前構成済みのネットワーク構成があり、安全でない次のファイアウォール規則を自動的に生成します。

  • default-allow-internal: ネットワーク内のインスタンス間のすべてのプロトコルとポートにイングレス通信を許可します。
  • default-allow-ssh: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 22 (SSH) でのイングレス通信を許可します。
  • default-allow-rdp: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 3389 (RDP) でのイングレス通信を許可します。
  • default-allow-icmp: ネットワーク内の任意のソースから任意のインスタンスへのイングレス ICMP トラフィックを許可します。

これらの自動的に作成されたファイアウォール規則は監査ログに記録されないため、ファイアウォール規則のログ記録を有効にするように構成することはできません。 さらに、既定のネットワークは "Auto" モードのネットワークです。そのため、サブネットが IP アドレスの同じ事前定義済みの範囲を使用するため、既定のネットワークとクラウド VPN または VPC ネットワーク ピアリングを使用することができません。 組織は、組織のセキュリティとネットワーク要件に基づいて、新しいネットワークを作成して既定のネットワークを削除する必要があります。

重大度: 中

VPC ネットワークの変更のためのログ メトリック フィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワークの変更に対してメトリック フィルターとアラームを確立することをお勧めします。 プロジェクト内に複数の VPC を含めることもできます。 さらに、2 つの VPC 間にピア接続を作成して、ネットワーク トラフィックが VPC 間でルーティングできるようにすることもできます。 VPC に対する変更を監視すると、VPC トラフィック フローが影響を受けないようにするのに役立ちます。

重大度: 低

VPC ネットワーク ファイアウォール規則の変更のためのログ メトリック フィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワーク ファイアウォール規則の変更に対してメトリック フィルターとアラームを確立することをお勧めします。 ファイアウォール規則の作成または更新のイベントを監視すると、ネットワーク アクセスの変更に関する分析情報が得られ、疑わしいアクティビティの検出にかかる時間が短縮される可能性があります。

重大度: 低

VPC ネットワーク ルートの変更のためのログ メトリック フィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワーク ルートの変更に対してメトリック フィルターとアラームを確立することをお勧めします。 Google Cloud Platform (GCP) のルートでは、VM インスタンスから別の宛先までのネットワーク トラフィックがたどるパスが定義されます。 別の宛先は、組織の VPC ネットワーク内 (別の VM など) であるか、その外部である場合があります。 すべてのルートは、宛先とネクスト ホップで構成されます。 宛先 IP が宛先範囲内にあるトラフィックは、配信のためにネクスト ホップに送信されます。 ルート テーブルの変更を監視することで、すべての VPC トラフィックが、想定されたパスを通過することを確認できます。

重大度: 低

Cloud SQL PostgreSQL インスタンスの 'log_connections' データベース フラグが 'on' に設定されていることを確認する

説明: log_connections設定を有効にすると、サーバーへの接続が試行されるたびにログに記録され、クライアント認証が正常に完了します。 このパラメーターは、セッションの開始後に変更することはできません。 PostgreSQL では、試行された接続は既定ではログに記録されません。 log_connections設定を有効にすると、試行された接続ごとにログ エントリが作成され、クライアント認証が正常に完了します。これは、問題のトラブルシューティングやサーバーへの異常な接続試行の特定に役立ちます。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。

重大度: 中

Cloud SQL PostgreSQL インスタンスの 'log_disconnections' データベース フラグが 'on' に設定されていることを確認する

説明: log_disconnections設定を有効にすると、セッション期間を含め、各セッションの終了がログに記録されます。 PostgreSQL では、期間やセッションの終了などのセッションの詳細は既定ではログに記録されません。 log_disconnections設定を有効にすると、各セッションの最後にログ エントリが作成されます。これは、問題のトラブルシューティングや、一定期間にわたる異常なアクティビティの特定に役立ちます。 log_disconnections と log_connections は連携して動作し、一般的に、これらのペアは一緒に有効または無効になります。 この推奨事項は、PostgreSQL データベース インスタンスに適用されます。

重大度: 中

VPC フロー ログが VPC ネットワーク内のすべてのサブネットで有効になっていることを確認する

説明: フロー ログは、組織の VPC サブネット内のネットワーク インターフェイスとの間で送受信される IP トラフィックに関する情報をユーザーがキャプチャできるようにする機能です。 フロー ログが作成されると、ユーザーは Stackdriver ログでデータを表示および取得できます。 ビジネスクリティカルな VPC サブネットごとにフローログを有効にすることをお勧めします。 VPC ネットワークとサブネットワークにより、GCP リソースを配置できる、論理的に分離されセキュリティで保護されたネットワーク パーティションが提供されます。 サブネットに対してフロー ログが有効になっている場合、そのサブネット内の VM では、すべての伝送制御プロトコル (TCP) フローとユーザー データグラム プロトコル (UDP) フローに関するレポートが開始されます。 各 VM では、フローが別の VM、オンプレミスのデータセンター内のホスト、Google サービス、またはインターネット上のホストなどのいずれとの間のフローであるかに関係なく、観察される受信と送信の TCP フローと UDP フローがサンプリングされます。 2 つの GCP VM が通信していて、これらの両方が、VPC フロー ログが有効になっているサブネット内にある場合、両方の VM でフローが報告されます。 フロー ログでは、次のユース ケースがサポートされています。1. ネットワーク監視。 2. ネットワークの使用状況の理解とネットワーク トラフィックのコストの最適化。 3. ネットワーク フォレンジクス。 4. リアルタイムセキュリティ分析フロー ログは、サブネット内の各 VM のネットワーク トラフィックを可視化し、セキュリティ ワークフロー中に異常なトラフィックや分析情報を検出するために使用できます。

重大度: 低

ファイアウォール規則のログ記録を有効にする必要がある

説明: この推奨事項では、ファイアウォール メタデータの logConfig プロパティを評価して、空であるか、キーと値のペア 'enable' が含まれているかどうかを確認します。

重大度: 中

ファイアウォールをパブリック アクセスに対してオープンに構成しないでください

説明: この推奨事項では、次の 2 つの構成のいずれかで sourceRanges と許可されるプロパティを評価します。

sourceRanges プロパティに 0.0.0.0/0 が含まれています。許可されたプロパティには、以下を除く、任意のプロトコルまたは protocol:port を含む規則の組み合わせが含まれています。

  • icmp
  • tcp: 22
  • tcp: 443
  • tcp: 3389
  • udp: 3389
  • sctp: 22

sourceRanges プロパティには、非プライベート IP アドレスを含む IP 範囲の組み合わせが含まれており、許可されるプロパティには、すべての tcp ポートまたはすべての udp ポートを許可する規則の組み合わせが含まれています。

重大度: 高

ファイアウォールは、汎用アクセスを許可する開かれた CASSANDRA ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。TCP: 7000-7001、7199、8888、9042、9160、61620-61621。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた CISCOSECURE_WEBSM ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 9090。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれたDIRECTORY_SERVICES ポートを持つように構成しないでください

説明: この推奨事項では、TCP: 445 と UDP: 445 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた DNS ポートを持つように構成しないでください

説明: この推奨事項では、TCP: 53 と UDP: 53 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた ELASTICSEARCH ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 9200、9300。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた FTP ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 21。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた HTTP ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 80。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた LDAP ポートを持つように構成しないでください

説明: この推奨事項では、TCP: 389、636、UDP: 389 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた MEMCACHED ポートを持つように構成しないでください

説明: この推奨事項では、TCP: 11211、11214-11215、UDP: 11211、11214-11215 の各プロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた MONGODB ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します。TCP: 27017-27019。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた MYSQL ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 3306。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた NETBIOS ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。TCP: 137-139 および UDP: 137-139。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた ORACLEDB ポートを持つように構成しないでください

説明: この推奨事項は、ファイアウォール メタデータで許可されているプロパティを、TCP: 1521、2483-2484、UDP: 2483-2484 のプロトコルとポートで評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた POP3 ポートを持つように構成しないでください

説明: この推奨事項では、次のプロトコルとポートのファイアウォール メタデータで許可されているプロパティを評価します: TCP: 110。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた PostgreSQL ポートを持つように構成しないでください

説明: この推奨事項では、TCP: 5432 および UDP: 5432 のプロトコルとポートのファイアウォール メタデータで許可されるプロパティを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた REDIS ポートを持つように構成しないでください

説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 6379 のプロトコルとポートが含まれているかどうかを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた SMTP ポートを持つように構成しないでください

説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 25 のプロトコルとポートが含まれているかどうかを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた SSH ポートを持つように構成しないでください

説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 22 と SCTP: 22 のプロトコルとポートが含まれているかどうかを評価します。

重大度: 低

ファイアウォールは、汎用アクセスを許可する開かれた TELNET ポートを持つように構成しないでください

説明: この推奨事項では、ファイアウォール メタデータで許可されるプロパティに TCP: 23 のプロトコルとポートが含まれているかどうかを評価します。

重大度: 低

GKE クラスターではエイリアス IP 範囲を有効にする必要があります

説明: この推奨事項では、クラスター内の ipAllocationPolicy の useIPAliases フィールドが false に設定されているかどうかを評価します。

重大度: 低

GKE クラスターではプライベート クラスターを有効にする必要があります

説明: この推奨事項では、privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを評価します。

重大度: 高

GKE クラスターでネットワーク ポリシーを有効にする必要がある

説明: この推奨事項では、キーと値のペア 'disabled' の addonsConfig プロパティの networkPolicy フィールドを評価します。true。

重大度: 中