Aanbevelingen voor identiteits- en toegangsbeveiliging

Dit artikel bevat alle aanbevelingen voor identiteits- en toegangsbeveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Aanbevelingen voor Azure-identiteit en -toegang

Er moeten maximaal 3 eigenaren worden aangewezen voor abonnementen

Beschrijving: Als u het risico op schendingen door gecompromitteerde eigenaarsaccounts wilt verminderen, raden we u aan het aantal eigenaarsaccounts te beperken tot maximaal 3 (Gerelateerd beleid: maximaal 3 eigenaren moeten worden aangewezen voor uw abonnement).

Ernst: Hoog

Azure Cosmos DB-accounts moeten Azure Active Directory als enige verificatiemethode gebruiken

Beschrijving: De beste manier om te verifiëren bij Azure-services is door op rollen gebaseerd toegangsbeheer (RBAC) te gebruiken. Met RBAC kunt u het principe van minimale bevoegdheden behouden en ondersteunt u de mogelijkheid om machtigingen in te trekken als een effectieve reactiemethode wanneer er inbreuk wordt uitgevoerd. U kunt uw Azure Cosmos DB-account configureren om RBAC af te dwingen als de enige verificatiemethode. Wanneer de afdwinging is geconfigureerd, worden alle andere toegangsmethoden geweigerd (primaire/secundaire sleutels en toegangstokens). (Geen gerelateerd beleid)

Ernst: gemiddeld

Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd

Beschrijving: Accounts die zijn geblokkeerd voor aanmelding bij Active Directory, moeten worden verwijderd uit uw Azure-resources. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)

Ernst: Hoog

Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd

Beschrijving: Accounts die zijn geblokkeerd voor aanmelding bij Active Directory, moeten worden verwijderd uit uw Azure-resources. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)

Ernst: Hoog

Afgeschafte accounts moeten worden verwijderd uit abonnementen

Beschrijving: Gebruikersaccounts die zijn geblokkeerd voor aanmelding, moeten worden verwijderd uit uw abonnementen. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Afgeschafte accounts moeten worden verwijderd uit uw abonnement).

Ernst: Hoog

Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen

Beschrijving: Gebruikersaccounts die zijn geblokkeerd voor aanmelding, moeten worden verwijderd uit uw abonnementen. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement).

Ernst: Hoog

Diagnostische logboeken in Key Vault moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Key Vault moeten zijn ingeschakeld).

Ernst: Laag

Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen

Beschrijving: Accounts met eigenaarsmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement).

Ernst: Hoog

Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen

Beschrijving: Accounts met leesmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement).

Ernst: Hoog

Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen

Beschrijving: Accounts met schrijfmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement).

Ernst: Hoog

De firewall moet zijn ingeschakeld in Key Vault

Beschrijving: De firewall van de sleutelkluis voorkomt dat onbevoegd verkeer uw sleutelkluis bereikt en biedt een extra beveiligingslaag voor uw geheimen. Schakel de firewall in om ervoor te zorgen dat alleen verkeer van toegestane netwerken toegang heeft tot uw sleutelkluis. (Gerelateerd beleid: Firewall moet zijn ingeschakeld in Key Vault).

Ernst: gemiddeld

Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd

Beschrijving: Accounts met eigenaarsmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)

Ernst: Hoog

Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd

Beschrijving: Accounts met leesmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)

Ernst: Hoog

Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd

Beschrijving: Accounts met schrijfmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)

Ernst: Hoog

Key Vault-sleutels moeten een vervaldatum hebben

Beschrijving: Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het is een aanbevolen beveiligingspraktijk om vervaldatums in te stellen op cryptografische sleutels. (Gerelateerd beleid: Key Vault-sleutels moeten een vervaldatum hebben).

Ernst: Hoog

Key Vault-geheimen moeten een vervaldatum hebben

Beschrijving: Geheimen moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het is een aanbevolen beveiligingspraktijk om vervaldatums in te stellen voor geheimen. (Gerelateerd beleid: Key Vault-geheimen moeten een vervaldatum hebben).

Ernst: Hoog

Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen

Beschrijving: Schadelijk verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan sleutelkluizen verwijderen en leegmaken. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. (Gerelateerd beleid: Sleutelkluizen moeten beveiliging tegen opschonen zijn ingeschakeld).

Ernst: gemiddeld

Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen

Beschrijving: Als u een sleutelkluis verwijdert zonder voorlopig verwijderen ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis definitief verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. (Gerelateerd beleid: Sleutelkluizen moeten voorlopig verwijderen zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor Key Vault moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor Cloud bevat Microsoft Defender voor Key Vault en biedt een extra beveiligingsinformatielaag. Microsoft Defender voor Key Vault detecteert ongebruikelijke en mogelijk schadelijke pogingen om Key Vault-accounts te openen of misbruiken.

Beveiligingen van dit abonnement worden in rekening gebracht, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen sleutelkluizen in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later sleutelkluizen voor dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Key Vault. (Gerelateerd beleid: Azure Defender voor Key Vault moet zijn ingeschakeld).

Ernst: Hoog

Machtigingen van inactieve identiteiten in uw Azure-abonnement moeten worden ingetrokken

Beschrijving: Microsoft Defender voor Cloud een identiteit ontdekt die de afgelopen 45 dagen geen actie heeft uitgevoerd op een resource binnen uw Azure-abonnement. Het wordt aanbevolen om machtigingen van inactieve identiteiten in te trekken om de kwetsbaarheid voor aanvallen van uw cloudomgeving te verminderen.

Ernst: gemiddeld

Er moet een privé-eindpunt worden geconfigureerd voor Key Vault

Beschrijving: Private Link biedt een manier om Key Vault te verbinden met uw Azure-resources zonder verkeer via het openbare internet te verzenden. Een privékoppeling biedt uitgebreide beveiliging tegen gegevensexfiltratie. (Gerelateerd beleid: Het privé-eindpunt moet worden geconfigureerd voor Key Vault).

Ernst: gemiddeld

Openbare toegang tot een opslagaccount moet niet worden toegestaan

Beschrijving: Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. (Gerelateerd beleid: Openbare toegang tot het opslagaccount moet niet zijn toegestaan).

Ernst: gemiddeld

Er moet meer dan één eigenaar zijn toegewezen aan abonnementen

Beschrijving: Wijs meer dan één abonnementseigenaar aan om beheerderstoegangredundantie te hebben. (Gerelateerd beleid: Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement).

Ernst: Hoog

De geldigheidsperiode van certificaten die in Azure Key Vault zijn opgeslagen, mag niet langer zijn dan twaalf maanden

Beschrijving: Zorg ervoor dat uw certificaten geen geldigheidsperiode hebben die langer is dan 12 maanden. (Gerelateerd beleid: Certificaten moeten de opgegeven maximale geldigheidsperiode hebben).

Ernst: gemiddeld

Overprovisioned identiteiten van Azure mogen alleen de benodigde machtigingen hebben (preview)

Beschrijving: Overprovisioned identities, or over permissioned identities, don't use many of their granted permissions. Regelmatig juiste machtigingen van deze identiteiten om het risico op misbruik van machtigingen te verminderen, hetzij per ongeluk of kwaadwillend. Deze actie vermindert de potentiële straal van de explosie tijdens een beveiligingsincident.

Ernst: gemiddeld

Bevoorrechte rollen mogen geen permanente toegang hebben op abonnements- en resourcegroepniveau

Beschrijving: Microsoft Defender voor Cloud een identiteit ontdekt die de afgelopen 45 dagen geen actie heeft uitgevoerd op een resource binnen uw Azure-abonnement. Het wordt aanbevolen om machtigingen van inactieve identiteiten in te trekken om de kwetsbaarheid voor aanvallen van uw cloudomgeving te verminderen.

Ernst: Hoog

Service-principals mogen niet worden toegewezen met beheerdersrollen op abonnements- en resourcegroepniveau

Beschrijving: Defender voor Cloud geïdentificeerde service-principals die zijn toegewezen met bevoorrechte rollen op het niveau van de resourcegroep of het abonnement. Bevoorrechte beheerdersrollen zijn rollen die gevoelige bewerkingen kunnen uitvoeren op de resource, zoals Eigenaar, Inzender of Beheerder voor gebruikerstoegang. Service-principals spelen een cruciale rol bij het efficiënt en veilig beheren van Azure-resources, waardoor menselijke tussenkomst niet meer nodig is. Het is belangrijk om het principe van minimale bevoegdheden te volgen, alleen het minimale toegangsniveau te verlenen dat nodig is voor een bepaalde service-principal om hun taken uit te voeren. Beheerders en bevoegde toegang zijn het primaire doelwit van hackers. Zie Best practices voor Azure RBAC voor aanbevolen procedures bij het gebruik van bevoorrechte beheerdersroltoewijzingen. Aanbevolen procedures voor Azure RBAC. Zie de ingebouwde rollen van Azure voor een lijst met beschikbare rollen in Azure RBAC.

Ernst: Hoog

AANBEVELINGEN voor AWS-identiteit en -toegang

Amazon Elasticsearch Service-domeinen moeten zich in een VPC bevinden

Beschrijving: VPC mag geen domeinen met een openbaar eindpunt bevatten. Hiermee wordt de routeringsconfiguratie van het VPC-subnet niet geëvalueerd om de openbare bereikbaarheid te bepalen.

Ernst: Hoog

Amazon S3-machtigingen die zijn verleend aan andere AWS-accounts in bucketbeleid, moeten worden beperkt

Beschrijving: Het implementeren van toegang met minimale bevoegdheden is essentieel voor het verminderen van beveiligingsrisico's en de impact van fouten of schadelijke intenties. Als een S3-bucketbeleid toegang toestaat vanuit externe accounts, kan dit leiden tot gegevensexfiltratie door een insider-bedreiging of een aanvaller. Met de parameter blacklistedactionpatterns kan de regel voor S3-buckets worden geëvalueerd. De parameter verleent toegang tot externe accounts voor actiepatronen die niet zijn opgenomen in de lijst blacklistedactionpatterns.

Ernst: Hoog

Vermijd het gebruik van het hoofdaccount

Beschrijving: Het hoofdaccount heeft onbeperkte toegang tot alle resources in het AWS-account. Het wordt ten zeerste aanbevolen dat het gebruik van dit account wordt vermeden. Het hoofdaccount is het meest bevoegde AWS-account. Het minimaliseren van het gebruik van dit account en het aannemen van het principe van minimale bevoegdheden voor toegangsbeheer vermindert het risico op onbedoelde wijzigingen en onbedoelde openbaarmaking van referenties met hoge bevoegdheden.

Ernst: Hoog

AWS KMS-sleutels mogen niet onbedoeld worden verwijderd

Beschrijving: Met dit besturingselement wordt gecontroleerd of KMS-sleutels zijn gepland voor verwijdering. Het besturingselement mislukt als een KMS-sleutel is gepland voor verwijdering. KMS-sleutels kunnen niet worden hersteld zodra ze zijn verwijderd. Gegevens die zijn versleuteld onder een KMS-sleutel, zijn ook permanent onherstelbaar als de KMS-sleutel wordt verwijderd. Als zinvolle gegevens zijn versleuteld onder een KMS-sleutel die is gepland voor verwijdering, kunt u overwegen de gegevens te ontsleutelen of de gegevens opnieuw te versleutelen onder een nieuwe KMS-sleutel, tenzij u opzettelijk een cryptografische verwijdering uitvoert. Wanneer een KMS-sleutel is gepland voor verwijdering, wordt een verplichte wachttijd afgedwongen om tijd te geven om de verwijdering ongedaan te maken, als deze in een fout is gepland. De standaardwachtperiode is 30 dagen, maar kan worden teruggebracht tot zo kort als zeven dagen wanneer de KMS-sleutel is gepland voor verwijdering. Tijdens de wachttijd kan de geplande verwijdering worden geannuleerd en wordt de KMS-sleutel niet verwijderd. Zie Deleting KMS keys in the AWS Key Management Service Developer Guide (Ontwikkelaarshandleiding voor AWS Key Management Service) voor meer informatie over het verwijderen van KMS-sleutels .

Ernst: Hoog

Overprovisioned identiteiten van AWS mogen alleen de benodigde machtigingen hebben (preview)

Beschrijving: Een over-ingerichte actieve identiteit is een identiteit die toegang heeft tot bevoegdheden die ze niet hebben gebruikt. Met te veel ingerichte actieve identiteiten, met name voor niet-menselijke accounts met gedefinieerde acties en verantwoordelijkheden, kan de straal van de straal toenemen in het geval van een inbreuk op een gebruiker, sleutel of resource. Verwijder overbodige machtigingen en stel beoordelingsprocessen in om de minst bevoegde machtigingen te verkrijgen.

Ernst: gemiddeld

AWS WAF Classic globale web-ACL-logboekregistratie moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of logboekregistratie is ingeschakeld voor een globale AWS WAF-web-ACL. Dit besturingselement mislukt als logboekregistratie niet is ingeschakeld voor de web-ACL. Logboekregistratie is een belangrijk onderdeel van het onderhouden van de betrouwbaarheid, beschikbaarheid en prestaties van AWS WAF wereldwijd. Het is een bedrijfs- en nalevingsvereiste in veel organisaties en stelt u in staat om het gedrag van toepassingen op te lossen. Het biedt ook gedetailleerde informatie over het verkeer dat wordt geanalyseerd door de web-ACL die is gekoppeld aan AWS WAF.

Ernst: gemiddeld

CloudFront-distributies moeten een standaardhoofdobject hebben geconfigureerd

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon CloudFront-distributie is geconfigureerd om een specifiek object te retourneren dat het standaardhoofdobject is. Het besturingselement mislukt als voor de CloudFront-distributie geen standaardhoofdobject is geconfigureerd. Een gebruiker kan soms de hoofd-URL van de distributies aanvragen in plaats van een object in de distributie. Als dit gebeurt, kan het opgeven van een standaardhoofdobject u helpen om te voorkomen dat de inhoud van uw webdistributie zichtbaar wordt.

Ernst: Hoog

CloudFront-distributies moeten de identiteit voor oorsprongstoegang hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon CloudFront-distributie met het type Amazon S3 Origin Origin Origin OAI (Origin Access Identity) is geconfigureerd. Het besturingselement mislukt als OAI niet is geconfigureerd. CloudFront OAI voorkomt dat gebruikers rechtstreeks toegang hebben tot inhoud van S3-buckets. Wanneer gebruikers rechtstreeks toegang hebben tot een S3-bucket, omzeilen ze de CloudFront-distributie en alle machtigingen die worden toegepast op de onderliggende S3-bucketinhoud.

Ernst: gemiddeld

Validatie van cloudTrail-logboekbestanden moet zijn ingeschakeld

Beschrijving: Voor extra integriteitscontrole van CloudTrail-logboeken raden we u aan bestandsvalidatie in te schakelen voor alle CloudTrails.

Ernst: Laag

CloudTrail moet zijn ingeschakeld

Beschrijving: AWS CloudTrail is een webservice die AWS API-aanroepen voor uw account registreert en logboekbestanden aan u levert. Niet alle services schakelen logboekregistratie standaard in voor alle API's en gebeurtenissen. U moet eventuele andere audittrails dan CloudTrail implementeren en de documentatie voor elke service in CloudTrail Supported Services en Integrations bekijken.

Ernst: Hoog

CloudTrail-paden moeten worden geïntegreerd met CloudWatch Logs

Beschrijving: Naast het vastleggen van CloudTrail-logboeken binnen een opgegeven S3-bucket voor langetermijnanalyse, kan realtime-analyse worden uitgevoerd door CloudTrail te configureren om logboeken naar CloudWatch-logboeken te verzenden. Voor een spoor dat is ingeschakeld in alle regio's in een account, verzendt CloudTrail logboekbestanden van al deze regio's naar een logboekgroep van CloudWatch Logs. We raden u aan cloudTrail-logboeken te verzenden naar CloudWatch-logboeken om ervoor te zorgen dat awS-accountactiviteiten worden vastgelegd, bewaakt en op de juiste wijze worden gealarmeerd. Het verzenden van CloudTrail-logboeken naar CloudWatch-logboeken vereenvoudigt logboekregistratie van realtime en historische activiteiten op basis van gebruikers, API, resource en IP-adres en biedt mogelijkheden om waarschuwingen en meldingen vast te stellen voor afwijkende of gevoeligheidsaccountactiviteit.

Ernst: Laag

Databaselogboekregistratie moet zijn ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of de volgende logboeken van Amazon RDS zijn ingeschakeld en verzonden naar CloudWatch-logboeken:

• Oracle: (Waarschuwing, Controle, Trace, Listener)
• PostgreSQL: (Postgresql, Upgrade)
• MySQL: (Controle, Fout, Algemeen, SlowQuery)
• MariaDB: (Controle, Fout, Algemeen, SlowQuery)
• SQL Server: (fout, agent)
• Aurora: (Controle, Fout, Algemeen, SlowQuery)
• Aurora-MySQL: (Audit, Fout, Algemeen, SlowQuery)
• Aurora-PostgreSQL: (Postgresql, Upgrade). RDS-databases moeten relevante logboeken hebben ingeschakeld. Logboekregistratie van databases biedt gedetailleerde records van aanvragen die zijn ingediend bij RDS. Databaselogboeken kunnen helpen bij beveiligings- en toegangscontroles en kunnen helpen bij het vaststellen van beschikbaarheidsproblemen.

Ernst: gemiddeld

Directe internettoegang uitschakelen voor Amazon Sage Maker-notebookexemplaren

Beschrijving: Directe internettoegang moet worden uitgeschakeld voor een Sage Maker-notebookexemplaren. Hiermee wordt gecontroleerd of het veld DirectInternetAccess is uitgeschakeld voor het notebookexemplaren. Uw exemplaar moet worden geconfigureerd met een VPC en de standaardinstelling moet worden uitgeschakeld: toegang tot internet via een VPC. Als u internettoegang wilt inschakelen voor het trainen of hosten van modellen vanuit een notebook, moet u ervoor zorgen dat uw VPC een NAT-gateway heeft en dat uw beveiligingsgroep uitgaande verbindingen toestaat. Zorg ervoor dat de toegang tot uw Sage Maker-configuratie is beperkt tot alleen geautoriseerde gebruikers en beperk de IAM-machtigingen van gebruikers om Sage Maker-instellingen en -resources te wijzigen.

Ernst: Hoog

Geen toegangssleutels instellen tijdens de eerste gebruikersconfiguratie voor alle IAM-gebruikers met een consolewachtwoord

Beschrijving: AWS-console staat standaard het selectievakje voor het maken van toegangssleutels voor ingeschakeld. Dit resulteert in veel toegangssleutels die onnodig worden gegenereerd. Naast onnodige referenties genereert het ook onnodig beheerwerk bij het controleren en roteren van deze sleutels. Als u wilt dat de gebruiker na het maken van een profiel extra stappen uitvoert, geeft dit een sterkere indicatie van de intentie dat toegangssleutels [a] nodig zijn voor hun werk en [b] zodra de toegangssleutel is ingesteld op een account dat de sleutels ergens in de organisatie kunnen worden gebruikt.

Ernst: gemiddeld

Zorg ervoor dat er een ondersteuningsrol is gemaakt voor het beheren van incidenten met AWS-ondersteuning

Beschrijving: AWS biedt een ondersteuningscentrum dat kan worden gebruikt voor incidentmeldingen en -reacties, evenals technische ondersteuning en klantenservice. Maak een IAM-rol om geautoriseerde gebruikers toe te staan incidenten te beheren met AWS-ondersteuning. Wanneer u minimale bevoegdheden voor toegangsbeheer implementeert, vereist een IAM-rol een geschikt IAM-beleid om toegang tot het ondersteuningscentrum toe te staan om incidenten met AWS-ondersteuning te beheren.

Ernst: Laag

Zorg ervoor dat toegangssleutels elke 90 dagen of minder worden geroteerd

Beschrijving: Toegangssleutels bestaan uit een toegangssleutel-id en geheime toegangssleutel, die worden gebruikt om programmatische aanvragen te ondertekenen die u in AWS maakt. AWS-gebruikers hebben hun eigen toegangssleutels nodig om programmatische aanroepen naar AWS uit te voeren via de AWS-opdrachtregelinterface (AWS CLI), Hulpprogramma's voor Windows PowerShell, de AWS SDK's of directe HTTP-aanroepen met behulp van de API's voor afzonderlijke AWS-services. Het is raadzaam dat alle toegangssleutels regelmatig worden gedraaid. Door de toegangssleutels te draaien, wordt het kansvenster beperkt voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt. Toegangssleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel, die mogelijk verloren, gekraakt of gestolen zijn.

Ernst: gemiddeld

Zorg ervoor dat AWS-configuratie is ingeschakeld in alle regio's

Beschrijving: AWS Config is een webservice die configuratiebeheer uitvoert van ondersteunde AWS-resources binnen uw account en logboekbestanden aan u levert. De opgenomen informatie omvat het configuratie-item (AWS-resource), relaties tussen configuratie-items (AWS-resources), eventuele configuratiewijzigingen tussen resources. Het is raadzaam om AWS-configuratie in te schakelen in alle regio's.

De awS-configuratie-itemgeschiedenis die door AWS Config is vastgelegd, maakt beveiligingsanalyse, het bijhouden van resourcewijziging en nalevingscontrole mogelijk.

Ernst: gemiddeld

Controleren of CloudTrail is ingeschakeld in alle regio's

Beschrijving: AWS CloudTrail is een webservice die AWS API-aanroepen voor uw account registreert en logboekbestanden aan u levert. De vastgelegde informatie bevat de identiteit van de API-aanroeper, het tijdstip van de API-aanroep, het bron-IP-adres van de API-aanroeper, de aanvraagparameters en de antwoordelementen die door de AWS-service worden geretourneerd. CloudTrail biedt een geschiedenis van AWS API-aanroepen voor een account, waaronder API-aanroepen die worden gedaan via de Beheerconsole, SDK's, opdrachtregelprogramma's en AWS-services op een hoger niveau (zoals CloudFormation). De geschiedenis van de AWS-API-aanroep die door CloudTrail wordt geproduceerd, maakt beveiligingsanalyse, tracering van resourcewijziging en nalevingscontrole mogelijk. Bijkomend:

• Als u controleert of er een spoor met meerdere regio's bestaat, zorgt u ervoor dat er onverwachte activiteit plaatsvindt in niet-gebruikte regio's.
• Als u controleert of er een trail met meerdere regio's bestaat, zorgt u ervoor dat Global Service Logging standaard is ingeschakeld voor een trail om de opname van gebeurtenissen vast te leggen die zijn gegenereerd op algemene AWS-services.
• Voor een trail met meerdere regio's controleert u of beheergebeurtenissen zijn geconfigureerd voor alle typen lees-/schrijfbewerkingen, zodat beheerbewerkingen worden geregistreerd die op alle resources in een AWS-account worden uitgevoerd.

Ernst: Hoog

Zorg ervoor dat referenties die gedurende 90 dagen of langer worden gebruikt, zijn uitgeschakeld

Beschrijving: AWS IAM-gebruikers hebben toegang tot AWS-resources met behulp van verschillende typen referenties, zoals wachtwoorden of toegangssleutels. Het is raadzaam dat alle referenties die in 90 of meer dagen niet zijn gebruikt, worden verwijderd of gedeactiveerd. Als u overbodige referenties uitschakelt of verwijdert, vermindert u het kansvenster voor referenties die zijn gekoppeld aan een gecompromitteerd of verlaten account dat moet worden gebruikt.

Ernst: gemiddeld

Zorg ervoor dat het IAM-wachtwoordbeleid binnen 90 dagen of minder wachtwoorden verloopt

Beschrijving: IAM-wachtwoordbeleid kan vereisen dat wachtwoorden na een bepaald aantal dagen worden geroteerd of verlopen. Het is raadzaam om het wachtwoordbeleid na 90 dagen of minder te laten verlopen. Het verminderen van de levensduur van het wachtwoord verhoogt de accounttolerantie tegen brute force-aanmeldingspogingen. Daarnaast zijn er regelmatig wachtwoordwijzigingen nodig in de volgende scenario's:

• Wachtwoorden kunnen soms zonder uw kennis worden gestolen of aangetast. Dit kan gebeuren via een systeeminbreuk, softwareprobleem of interne bedreiging.
• Bepaalde bedrijfs- en overheidswebfilters of proxyservers hebben de mogelijkheid om verkeer te onderscheppen en vast te leggen, zelfs als het versleuteld is.
• Veel mensen gebruiken hetzelfde wachtwoord voor veel systemen, zoals werk, e-mail en persoonlijk.
• Gecompromitteerde werkstations van eindgebruikers hebben mogelijk een toetsaanslaglogger.

Ernst: Laag

Zorg ervoor dat het IAM-wachtwoordbeleid het hergebruik van wachtwoorden voorkomt

Beschrijving: IAM-wachtwoordbeleid kan het hergebruik van een bepaald wachtwoord door dezelfde gebruiker voorkomen. Het is raadzaam dat het wachtwoordbeleid het hergebruik van wachtwoorden voorkomt. Voorkomen dat wachtwoorden opnieuw worden gebruikt, verhoogt de accounttolerantie tegen beveiligingspogingen.

Ernst: Laag

Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één kleine letter vereist

Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één kleine letter is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.

Ernst: gemiddeld

Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één nummer vereist

Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één nummer is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.

Ernst: gemiddeld

Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één symbool vereist

Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één symbool is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.

Ernst: gemiddeld

Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één hoofdletter vereist

Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één hoofdletter is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.

Ernst: gemiddeld

Zorg ervoor dat het IAM-wachtwoordbeleid minimaal 14 of hoger vereist

Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord ten minste een bepaalde lengte heeft. Het is raadzaam dat het wachtwoordbeleid een minimale wachtwoordlengte '14' vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.

Ernst: gemiddeld

Zorg ervoor dat meervoudige verificatie (MFA) is ingeschakeld voor alle IAM-gebruikers met een consolewachtwoord

Beschrijving: Meervoudige verificatie (MFA) voegt een extra beveiligingslaag toe boven op een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker, wanneer deze zich aanmeldt bij een AWS-website, gevraagd om zijn gebruikersnaam en wachtwoord, evenals om een verificatiecode van het AWS MFA-apparaat. Het is raadzaam om MFA in te schakelen voor alle accounts met een consolewachtwoord. Het inschakelen van MFA biedt meer beveiliging voor consoletoegang, omdat de verificatie-principal een apparaat heeft dat een tijdgevoelige sleutel verzendt en kennis heeft van een referentie.

Ernst: gemiddeld

GuardDuty moet zijn ingeschakeld

Beschrijving: Om extra bescherming te bieden tegen indringers, moet GuardDuty zijn ingeschakeld voor uw AWS-account en -regio.

GuardDuty is mogelijk geen volledige oplossing voor elke omgeving.

Ernst: gemiddeld

Hardware MFA moet zijn ingeschakeld voor het hoofdaccount

Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een account. MFA voegt een extra beveiligingslaag toe bovenop een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker bij een AWS-website gevraagd om zijn gebruikersnaam en wachtwoord en om een verificatiecode van het AWS MFA-apparaat. Voor niveau 2 is het raadzaam om het hoofdaccount te beveiligen met een hardware-MFA. Een hardware-MFA heeft een kleiner aanvalsoppervlak dan een virtuele MFA. Een hardware-MFA lijdt bijvoorbeeld niet aan het aanvalsoppervlak dat is geïntroduceerd door de mobiele smartphone waarop een virtuele MFA zich bevindt. Wanneer u voor veel accounts hardware voor MFA gebruikt, kan dit een logistiek probleem met apparaatbeheer tot gevolg hebben. Als dit gebeurt, kunt u overwegen deze aanbeveling op niveau 2 selectief te implementeren op de hoogste beveiligingsaccounts. Vervolgens kunt u de aanbeveling niveau 1 toepassen op de resterende accounts.

Ernst: Laag

IAM-verificatie moet worden geconfigureerd voor RDS-clusters

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een RDS DB-cluster IAM-databaseverificatie is ingeschakeld. Met IAM-databaseverificatie is verificatie zonder wachtwoord mogelijk voor database-exemplaren. De verificatie maakt gebruik van een verificatietoken. Netwerkverkeer van en naar de database wordt versleuteld met SSL. Zie IAM-databaseverificatie in de Gebruikershandleiding voor Amazon Aurora voor meer informatie.

Ernst: gemiddeld

IAM-verificatie moet worden geconfigureerd voor RDS-exemplaren

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een RDS DB-exemplaar IAM-databaseverificatie is ingeschakeld. Met IAM-databaseverificatie is verificatie mogelijk voor database-exemplaren met een verificatietoken in plaats van een wachtwoord. Netwerkverkeer van en naar de database wordt versleuteld met SSL. Zie IAM-databaseverificatie in de Gebruikershandleiding voor Amazon Aurora voor meer informatie.

Ernst: gemiddeld

Door de IAM-klant beheerde beleidsregels mogen geen ontsleutelingsacties toestaan voor alle KMS-sleutels

Beschrijving: Controleert of de standaardversie van door de klant beheerd IAM-beleid principals toestaat om de AWS KMS-ontsleutelingsacties op alle resources te gebruiken. Dit besturingselement maakt gebruik van Zelkova, een geautomatiseerde redeneringsengine, om u te valideren en te waarschuwen over beleidsregels die brede toegang kunnen verlenen tot uw geheimen in AWS-accounts. Dit besturingselement mislukt als de acties kms: Ontsleutelen of kms: ReEncryptFrom zijn toegestaan voor alle KMS-sleutels. Het besturingselement evalueert zowel gekoppelde als niet-gekoppelde door de klant beheerde beleidsregels. Het controleert geen inlinebeleid of door AWS beheerde beleidsregels. Met AWS KMS bepaalt u wie uw KMS-sleutels kan gebruiken en toegang kan krijgen tot uw versleutelde gegevens. IAM-beleid definieert welke acties een identiteit (gebruiker, groep of rol) kan uitvoeren op welke resources. Na aanbevolen beveiligingsprocedures raadt AWS u aan minimale bevoegdheden toe te staan. Met andere woorden, u moet alleen identiteiten verlenen aan de machtigingen kms:Decrypt of kms:ReEncryptFrom en alleen voor de sleutels die nodig zijn om een taak uit te voeren. Anders kan de gebruiker sleutels gebruiken die niet geschikt zijn voor uw gegevens. In plaats van machtigingen voor alle sleutels te verlenen, bepaalt u de minimale set sleutels die gebruikers nodig hebben voor toegang tot versleutelde gegevens. Ontwerp vervolgens beleidsregels waarmee gebruikers alleen die sleutels kunnen gebruiken. Sta bijvoorbeeld de machtiging kms: Ontsleutelen niet toe voor alle KMS-sleutels. In plaats daarvan staat u 'kms: Ontsleutelen' alleen toe op sleutels in een bepaalde regio voor uw account. Door het principe van minimale bevoegdheden te hanteren, kunt u het risico op onbedoelde openbaarmaking van uw gegevens verminderen.

Ernst: gemiddeld

Door de IAM-klant beheerde beleidsregels die u maakt, mogen geen acties met jokertekens toestaan voor services

Beschrijving: Met dit besturingselement wordt gecontroleerd of het IAM-identiteitsbeleid dat u maakt, toestaan-instructies bevat die gebruikmaken van het jokerteken * om machtigingen te verlenen voor alle acties voor elke service. Het besturingselement mislukt als een beleidsinstructie 'Effect' bevat: 'Toestaan' met 'Actie': 'Service:*'. De volgende instructie in een beleid resulteert bijvoorbeeld in een mislukte bevindingen.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Het besturingselement mislukt ook als u 'Effect' gebruikt: 'Toestaan' met 'NotAction': 'service:'. In dat geval biedt het element NotAction toegang tot alle acties in een AWS-service, met uitzondering van de acties die zijn opgegeven in NotAction. Dit besturingselement is alleen van toepassing op door de klant beheerd IAM-beleid. Dit geldt niet voor IAM-beleid dat wordt beheerd door AWS. Wanneer u machtigingen toewijst aan AWS-services, is het belangrijk dat de toegestane IAM-acties in uw IAM-beleid worden beperkt. U moet IAM-acties beperken tot alleen de acties die nodig zijn. Dit helpt u bij het inrichten van machtigingen voor minimale bevoegdheden. Te veel beleid kan leiden tot escalatie van bevoegdheden als het beleid is gekoppeld aan een IAM-principal waarvoor de machtiging mogelijk niet is vereist. In sommige gevallen wilt u mogelijk IAM-acties met een vergelijkbaar voorvoegsel toestaan, zoals DescribeFlowLogs en DescribeAvailabilityZones. In deze geautoriseerde gevallen kunt u een achtervoegsel jokerteken toevoegen aan het algemene voorvoegsel. Bijvoorbeeld ec2:Describe.

Dit besturingselement wordt doorgegeven als u een voorvoegsel IAM-actie met een achtervoegsel jokerteken gebruikt. De volgende instructie in een beleid resulteert bijvoorbeeld in een geslaagde resultaten.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

Wanneer u gerelateerde IAM-acties op deze manier groeperen, kunt u ook voorkomen dat u de limieten voor de IAM-beleidsgrootte overschrijdt.

Ernst: Laag

IAM-beleid mag alleen worden gekoppeld aan groepen of rollen

Beschrijving: IAM-gebruikers, -groepen en -rollen hebben standaard geen toegang tot AWS-resources. IAM-beleid is de methode waarmee bevoegdheden worden verleend aan gebruikers, groepen of rollen. Het wordt aanbevolen om IAM-beleid rechtstreeks toe te passen op groepen en rollen, maar niet op gebruikers. Het toewijzen van bevoegdheden op groep- of rolniveau vermindert de complexiteit van toegangsbeheer naarmate het aantal gebruikers toeneemt. Het verminderen van complexiteit van toegangsbeheer kan ook de mogelijkheid voor een principal verminderen om onbedoeld overmatige bevoegdheden te ontvangen of te behouden.

Ernst: Laag

IAM-beleid dat volledige ':'-beheerdersbevoegdheden toestaat, mag niet worden gemaakt

Beschrijving: IAM-beleid is het middel waarmee bevoegdheden worden verleend aan gebruikers, groepen of rollen. Het wordt aanbevolen en beschouwd als een standaardbeveiligingsadvies om minimale bevoegdheden te verlenen, dat wil gezegd, waarbij alleen de machtigingen worden verleend die nodig zijn om een taak uit te voeren. Bepaal wat gebruikers moeten doen en stel vervolgens beleidsregels op waarmee de gebruikers alleen die taken kunnen uitvoeren, in plaats van volledige beheerdersbevoegdheden toe te staan. Het is veiliger om te beginnen met een minimale set machtigingen en zo nodig extra machtigingen te verlenen, in plaats van te beginnen met machtigingen die te soepel zijn en ze later aan te scherpen. Als u volledige beheerdersbevoegdheden opgeeft in plaats van te beperken tot de minimale set machtigingen die de gebruiker nodig heeft om de resources bloot te stellen aan mogelijk ongewenste acties. IAM-beleid met een instructie met 'Effect': 'Toestaan' met 'Actie': '' over 'Resource': '' moet worden verwijderd.

Ernst: Hoog

IAM-principals mogen geen inline IAM-beleid hebben waarmee ontsleutelingsacties op alle KMS-sleutels zijn toegestaan

Beschrijving: Controleert of het inlinebeleid dat is ingesloten in uw IAM-identiteiten (rol, gebruiker of groep) de AWS KMS-ontsleutelingsacties op alle KMS-sleutels toestaat. Dit besturingselement maakt gebruik van Zelkova, een geautomatiseerde redeneringsengine, om u te valideren en te waarschuwen over beleidsregels die brede toegang kunnen verlenen tot uw geheimen in AWS-accounts. Dit besturingselement mislukt als kms:Decrypt of kms:ReEncryptFrom acties zijn toegestaan voor alle KMS-sleutels in een inlinebeleid. Met AWS KMS bepaalt u wie uw KMS-sleutels kan gebruiken en toegang kan krijgen tot uw versleutelde gegevens. IAM-beleid definieert welke acties een identiteit (gebruiker, groep of rol) kan uitvoeren op welke resources. Na aanbevolen beveiligingsprocedures raadt AWS u aan minimale bevoegdheden toe te staan. Met andere woorden, u moet identiteiten alleen de machtigingen verlenen die ze nodig hebben en alleen voor sleutels die nodig zijn om een taak uit te voeren. Anders kan de gebruiker sleutels gebruiken die niet geschikt zijn voor uw gegevens. In plaats van machtigingen voor alle sleutels te verlenen, bepaalt u de minimale set sleutels die gebruikers nodig hebben voor toegang tot versleutelde gegevens. Ontwerp vervolgens beleidsregels waarmee de gebruikers alleen die sleutels kunnen gebruiken. Sta bijvoorbeeld geen machtigingen toe kms:Decrypt voor alle KMS-sleutels. Sta ze in plaats daarvan alleen toe op sleutels in een bepaalde regio voor uw account. Door het principe van minimale bevoegdheden te hanteren, kunt u het risico op onbedoelde openbaarmaking van uw gegevens verminderen.

Ernst: gemiddeld

Lambda-functies moeten openbare toegang beperken

Beschrijving: Beleid op basis van resources op basis van lambda-functies moet openbare toegang beperken. Met deze aanbeveling wordt de toegang door interne principals niet gecontroleerd. Zorg ervoor dat de toegang tot de functie alleen is beperkt tot geautoriseerde principals met behulp van op resources gebaseerde beleidsregels met minimale bevoegdheden.

Ernst: Hoog

MFA moet zijn ingeschakeld voor alle IAM-gebruikers

Beschrijving: Alle IAM-gebruikers moeten meervoudige verificatie (MFA) hebben ingeschakeld.

Ernst: gemiddeld

MFA moet zijn ingeschakeld voor het hoofdaccount

Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een account. MFA voegt een extra beveiligingslaag toe bovenop een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker bij een AWS-website gevraagd om zijn gebruikersnaam en wachtwoord en om een verificatiecode van het AWS MFA-apparaat. Wanneer u virtuele MFA gebruikt voor hoofdaccounts, is het raadzaam dat het gebruikte apparaat geen persoonlijk apparaat is. Gebruik in plaats daarvan een speciaal mobiel apparaat (tablet of telefoon) dat u beheert om kosten in rekening te houden en te beveiligen, onafhankelijk van afzonderlijke persoonlijke apparaten. Dit vermindert de risico's van het verliezen van toegang tot de MFA vanwege apparaatverlies, het inruilen van apparaten of als de persoon die eigenaar is van het apparaat niet meer in dienst is van het bedrijf.

Ernst: Laag

Wachtwoordbeleidsregels voor IAM-gebruikers moeten sterke configuraties hebben

Beschrijving: Controleert of het wachtwoordbeleid voor het account voor IAM-gebruikers de volgende minimale configuraties gebruikt.

• RequireUppercaseCharacters- Minimaal één hoofdletter in wachtwoord vereisen. (Standaard = true)
• RequireLowercaseCharacters- Minimaal één kleine letter in wachtwoord vereisen. (Standaard = true)
• RequireNumbers- Minimaal één getal in wachtwoord vereisen. (Standaard = true)
• MinimumPasswordLength- Minimale lengte van wachtwoord. (Standaard = 7 of langer)
• PasswordReusePrevention- Aantal wachtwoorden voordat hergebruik wordt toegestaan. (Standaard = 4)
• MaxPasswordAge: het aantal dagen voordat het wachtwoord verloopt. (Standaard = 90)

Ernst: gemiddeld

Machtigingen van inactieve identiteiten in uw AWS-account moeten worden ingetrokken

Beschrijving: Microsoft Defender voor Cloud een identiteit gedetecteerd die in de afgelopen 45 dagen geen actie heeft uitgevoerd op een resource binnen uw AWS-account. Het wordt aanbevolen om machtigingen van inactieve identiteiten in te trekken om de kwetsbaarheid voor aanvallen van uw cloudomgeving te verminderen.

Ernst: gemiddeld

De toegangssleutel van het hoofdaccount mag niet bestaan

Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een AWS-account. AWS-toegangssleutels bieden programmatische toegang tot een bepaald AWS-account. Het wordt aanbevolen om alle toegangssleutels die aan het hoofdaccount zijn gekoppeld, te verwijderen. Als u toegangssleutels verwijdert die zijn gekoppeld aan het hoofdaccount, worden vectoren beperkt waarmee het account kan worden aangetast. Daarnaast moedigt het verwijderen van de hoofdtoegangssleutels het maken en gebruiken van accounts op basis van rollen aan die het minst bevoegd zijn.

Ernst: Hoog

De instelling S3 Openbare toegang blokkeren moet zijn ingeschakeld

Beschrijving: Het inschakelen van de instelling Openbare toegang blokkeren voor uw S3-bucket kan helpen bij het voorkomen van lekken van gevoelige gegevens en het beveiligen van uw bucket tegen schadelijke acties.

Ernst: gemiddeld

De instelling S3 Openbare toegang blokkeren moet zijn ingeschakeld op bucketniveau

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor S3-buckets openbare toegangsblokken op bucketniveau zijn toegepast. Dit besturingselement mislukt als een van de volgende instellingen is ingesteld op false:

• ignorePublicAcls
• blockPublicPolicy
• blockPublicAcls
• beperk PublicBuckets Block Public Access op het niveau van de S3-bucket biedt besturingselementen om ervoor te zorgen dat objecten nooit openbare toegang hebben. Openbare toegang wordt verleend aan buckets en objecten via toegangsbeheerlijsten (ACL's), bucketbeleid of beide. Tenzij u van plan bent om uw S3-buckets openbaar toegankelijk te maken, moet u de functie Amazon S3 Openbare toegang blokkeren configureren op bucketniveau.

Ernst: Hoog

Openbare leestoegang voor S3-buckets moet worden verwijderd

Beschrijving: Als u openbare leestoegang tot uw S3-bucket verwijdert, kunt u uw gegevens beschermen en een gegevensschending voorkomen.

Ernst: Hoog

Openbare schrijftoegang voor S3-buckets moet worden verwijderd

Beschrijving: Als u openbare schrijftoegang tot uw S3-bucket toestaat, kunt u kwetsbaar zijn voor schadelijke acties, zoals het opslaan van gegevens ten koste van uw kosten, het versleutelen van uw bestanden voor losgeld of het gebruik van uw bucket om malware te gebruiken.

Ernst: Hoog

Secrets Manager-geheimen moeten automatische rotatie hebben ingeschakeld

Beschrijving: Met dit besturingselement wordt gecontroleerd of een geheim dat is opgeslagen in AWS Secrets Manager is geconfigureerd met automatische rotatie. Secrets Manager helpt u de beveiligingspostuur van uw organisatie te verbeteren. Geheimen zijn databasereferenties, wachtwoorden en API-sleutels van derden. U kunt Secrets Manager gebruiken om geheimen centraal op te slaan, geheimen automatisch te versleutelen, de toegang tot geheimen te beheren en geheimen veilig en automatisch te roteren. Secrets Manager kan geheimen draaien. U kunt rotatie gebruiken om geheimen op lange termijn te vervangen door korte termijn geheimen. Als u uw geheimen roteert, wordt beperkt hoelang een onbevoegde gebruiker een gecompromitteerd geheim kan gebruiken. Daarom moet u uw geheimen regelmatig roteren. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.

Ernst: gemiddeld

Gestopte EC2-exemplaren moeten na een opgegeven periode worden verwijderd

Beschrijving: Met dit besturingselement wordt gecontroleerd of ec2-exemplaren langer dan het toegestane aantal dagen zijn gestopt. Een EC2-exemplaar mislukt deze controle als deze langer wordt gestopt dan de maximaal toegestane periode, die standaard 30 dagen is. Een mislukte vaststelling geeft aan dat een EC2-exemplaar gedurende een aanzienlijke periode niet is uitgevoerd. Hierdoor ontstaat een beveiligingsrisico omdat het EC2-exemplaar niet actief wordt onderhouden (geanalyseerd, gepatcht, bijgewerkt). Als het later wordt gestart, kan het gebrek aan goed onderhoud leiden tot onverwachte problemen in uw AWS-omgeving. Als u een EC2-exemplaar na verloop van tijd veilig wilt onderhouden in een niet-uitgevoerde status, start u deze regelmatig voor onderhoud en stopt u deze na onderhoud. Idealiter is dit een geautomatiseerd proces.

Ernst: gemiddeld

Ongebruikte identiteiten in uw AWS-omgeving moeten worden verwijderd (preview)

Beschrijving: Inactieve identiteiten zijn menselijke en niet-menselijke entiteiten die de afgelopen 90 dagen geen actie hebben uitgevoerd op een resource. Inactieve IAM-identiteiten met machtigingen met een hoog risico in uw AWS-account kunnen gevoelig zijn voor aanvallen als dit zo blijft en organisaties open laten voor misbruik van referenties of misbruik. Door proactief ongebruikte identiteiten te detecteren en erop te reageren, kunt u voorkomen dat onbevoegde entiteiten toegang krijgen tot uw AWS-resources.

Ernst: gemiddeld

Aanbevelingen voor GCP-identiteit en -toegang

Cryptografische sleutels mogen niet meer dan drie gebruikers hebben

Beschrijving: Deze aanbeveling evalueert IAM-beleid voor sleutelringen, projecten en organisaties en haalt principals op met rollen waarmee ze gegevens kunnen versleutelen, ontsleutelen of ondertekenen met behulp van Cloud KMS-sleutels: rollen/eigenaar, rollen/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, and roles/cloudkms.signerVerifier.

Ernst: gemiddeld

Zorg ervoor dat API-sleutels niet worden gemaakt voor een project

Beschrijving: Sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, zoals vanuit een browser, of ze kunnen worden geopend op een apparaat waarop de sleutel zich bevindt. Het is raadzaam om in plaats daarvan de standaardverificatiestroom te gebruiken.

Hieronder ziet u beveiligingsrisico's voor het gebruik van API-sleutels:

• API-sleutels zijn eenvoudige versleutelde tekenreeksen
• API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
• API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

Om het beveiligingsrisico bij het gebruik van API-sleutels te voorkomen, is het raadzaam om in plaats daarvan de standaardverificatiestroom te gebruiken.

Ernst: Hoog

Zorg ervoor dat API-sleutels worden beperkt tot alleen API's waarvoor de toepassing toegang nodig heeft

Beschrijving: API-sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, bijvoorbeeld vanuit een browser, of ze kunnen worden geopend op een apparaat waar de sleutel zich bevindt. Het is raadzaam om API-sleutels te beperken om alleen API's te gebruiken (aanroepen) die vereist zijn voor een toepassing.

Hieronder ziet u de beveiligingsrisico's voor het gebruik van API-sleutels:

• API-sleutels zijn eenvoudige versleutelde tekenreeksen
• API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
• API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

In het licht van deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Om kwetsbaarheid voor aanvallen te verminderen door minimale bevoegdheden te bieden, kunnen API-sleutels worden beperkt tot het gebruik van api's (alleen aanroepen) die vereist zijn voor een toepassing.

Ernst: Hoog

Zorg ervoor dat API-sleutels worden beperkt tot gebruik door alleen opgegeven hosts en apps

Beschrijving: Onbeperkte sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, zoals vanuit een browser, of ze kunnen worden geopend op een apparaat waar de sleutel zich bevindt. Het is raadzaam om het gebruik van API-sleutels te beperken tot vertrouwde hosts, HTTP-referrers en apps.

Hieronder ziet u beveiligingsrisico's voor het gebruik van API-sleutels:

• API-sleutels zijn eenvoudige versleutelde tekenreeksen
• API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
• API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

In het licht van deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Om aanvalsvectoren te verminderen, kunnen API-sleutels alleen worden beperkt tot vertrouwde hosts, HTTP-referrers en toepassingen.

Ernst: Hoog

Zorg ervoor dat API-sleutels elke 90 dagen worden geroteerd

Beschrijving: Het is raadzaam om api-sleutels elke 90 dagen te roteren.

Hieronder vindt u beveiligingsrisico's voor het gebruik van API-sleutels:

• API-sleutels zijn eenvoudige versleutelde tekenreeksen
• API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
• API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

Vanwege deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Zodra een sleutel is gestolen, heeft deze geen vervaldatum, wat betekent dat deze voor onbepaalde tijd kan worden gebruikt, tenzij de projecteigenaar de sleutel intrekt of opnieuw genereert. Het roteren van API-sleutels vermindert het kansvenster voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt.

API-sleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel die mogelijk is verloren, gekraakt of gestolen.

Ernst: Hoog

Zorg ervoor dat KMS-versleutelingssleutels binnen een periode van 90 dagen worden geroteerd

Beschrijving: Google Cloud Key Management Service slaat cryptografische sleutels op in een hiërarchische structuur die is ontworpen voor nuttig en elegant toegangsbeheer. De indeling voor het rotatieschema is afhankelijk van de clientbibliotheek die wordt gebruikt. Voor het opdrachtregelprogramma gcloud moet de volgende draaitijd de notatie ISO of RFC3339 hebben en moet de rotatieperiode de notatie INTEGER[EENHEID] hebben, waarbij eenheden een van seconden (s), minuten (m), uren (h) of dagen (d) kunnen zijn. Stel een sleutelrotatieperiode en begintijd in. Een sleutel kan worden gemaakt met een opgegeven 'rotatieperiode'. Dit is de tijd tussen het automatisch genereren van nieuwe sleutelversies. Een sleutel kan ook worden gemaakt met een opgegeven volgende rotatietijd. Een sleutel is een benoemd object dat een cryptografische sleutel vertegenwoordigt die voor een specifiek doel wordt gebruikt. Het sleutelmateriaal, de werkelijke bits die worden gebruikt voor 'versleuteling', kunnen na verloop van tijd veranderen wanneer nieuwe sleutelversies worden gemaakt. Een sleutel wordt gebruikt om een deel van de gegevens te beveiligen. Een verzameling bestanden kan worden versleuteld met dezelfde sleutel en personen met 'ontsleuteling'-machtigingen voor die sleutel kunnen die bestanden ontsleutelen. Daarom is het noodzakelijk om ervoor te zorgen dat de 'rotatieperiode' is ingesteld op een specifieke tijd.

Ernst: gemiddeld

Zorg ervoor dat het filter en waarschuwingen voor logboekgegevens bestaan voor toewijzingen/wijzigingen van projecteigendom

Beschrijving: om onnodige toewijzingen van projecteigendom aan gebruikers/serviceaccounts en verdere misbruik van projecten en resources te voorkomen, moeten alle toewijzingen van rollen/eigenaar worden bewaakt. Leden (gebruikers/serviceaccounts) met een roltoewijzing aan primitieve rol 'rollen/eigenaar' zijn projecteigenaren. De projecteigenaar heeft alle bevoegdheden voor het project waartoe de rol behoort. Deze worden hieronder samengevat:

• Alle viewermachtigingen voor alle GCP Services binnen het project
• Machtigingen voor acties die de status van alle GCP-services binnen het project wijzigen
• Rollen en machtigingen voor een project en alle resources binnen het project beheren
• Als u facturering instelt voor een project dat de rol van eigenaar aan een lid (gebruiker/serviceaccount) verleent, kan dat lid het IAM-beleid (Identity and Access Management) wijzigen. Verdeel daarom alleen de rol van eigenaar als het lid een legitiem doel heeft om het IAM-beleid te beheren. Dit komt doordat het IAM-beleid van het project gevoelige toegangsbeheergegevens bevat. Als u een minimale set gebruikers hebt die IAM-beleid mogen beheren, wordt elke controle vereenvoudigd die mogelijk nodig is. Het eigendom van een project heeft het hoogste niveau van bevoegdheden voor een project. Om misbruik van projectbronnen te voorkomen, moeten de hierboven genoemde acties voor het toewijzen/wijzigen van projecteigendom worden bewaakt en gewaarschuwd voor betrokken geadresseerden.
• Uitnodigingen voor projecteigendom verzenden
• Acceptatie/afwijzing van uitnodiging voor projecteigendom door gebruiker
• Toevoegen role\Owner aan een gebruikers-/serviceaccount
• Een gebruikers-/serviceaccount verwijderen uit role\Owner

Ernst: Laag

Controleren of oslogin is ingeschakeld voor een project

Beschrijving: Het inschakelen van aanmelding van het besturingssysteem verbindt SSH-certificaten aan IAM-gebruikers en vereenvoudigt effectief SSH-certificaatbeheer. Als u osLogin inschakelt, zorgt u ervoor dat SSH-sleutels die worden gebruikt om verbinding te maken met exemplaren, worden toegewezen aan IAM-gebruikers. Als u de toegang tot de IAM-gebruiker intrekt, worden alle SSH-sleutels ingetrokken die aan die specifieke gebruiker zijn gekoppeld. Het vereenvoudigt gecentraliseerd en geautomatiseerd SSH-sleutelpaarbeheer, wat handig is bij het afhandelen van zaken als reactie op gecompromitteerde SSH-sleutelparen en/of het intrekken van externe/externe/leveranciersgebruikers. Als u wilt achterhalen welke instantie ervoor zorgt dat het project niet in orde is, raadpleegt u de aanbeveling 'Ensure oslogin is enabled for all instances'.

Ernst: gemiddeld

Controleren of oslogin is ingeschakeld voor alle exemplaren

Beschrijving: Het inschakelen van aanmelding van het besturingssysteem verbindt SSH-certificaten aan IAM-gebruikers en vereenvoudigt effectief SSH-certificaatbeheer. Als u osLogin inschakelt, zorgt u ervoor dat SSH-sleutels die worden gebruikt om verbinding te maken met exemplaren, worden toegewezen aan IAM-gebruikers. Als u de toegang tot de IAM-gebruiker intrekt, worden alle SSH-sleutels ingetrokken die aan die specifieke gebruiker zijn gekoppeld. Het vereenvoudigt gecentraliseerd en geautomatiseerd SSH-sleutelpaarbeheer, wat handig is bij het afhandelen van zaken als reactie op gecompromitteerde SSH-sleutelparen en/of het intrekken van externe/externe/leveranciersgebruikers.

Ernst: gemiddeld

Zorg ervoor dat cloudcontrolelogboekregistratie juist is geconfigureerd voor alle services en alle gebruikers van een project

Beschrijving: Het wordt aanbevolen om cloudcontrolelogboekregistratie te configureren voor het bijhouden van alle beheeractiviteiten en het lezen, schrijven van toegang tot gebruikersgegevens.

Cloud Audit Logging onderhoudt twee auditlogboeken voor elk project, elke map en organisatie: Beheeractiviteit en Gegevenstoegang.

• Logboeken voor beheerdersactiviteiten bevatten logboekvermeldingen voor API-aanroepen of andere beheeracties waarmee de configuratie of metagegevens van resources worden gewijzigd.
• Auditlogboeken voor beheerdersactiviteiten zijn ingeschakeld voor alle services en kunnen niet worden geconfigureerd.
• In auditlogboeken van Data Access worden API-aanroepen vastgelegd waarmee door de gebruiker verstrekte gegevens worden gemaakt, gewijzigd of gelezen. Deze zijn standaard uitgeschakeld en moeten worden ingeschakeld.

Er zijn drie soorten Gegevenstoegang-auditlogboekgegevens:

• Beheerder gelezen: Registreert bewerkingen die metagegevens of configuratiegegevens lezen. Auditlogboeken voor beheerdersactiviteiten registreren schrijfbewerkingen van metagegevens en configuratiegegevens die niet kunnen worden uitgeschakeld.
• Gegevens gelezen: records die door de gebruiker verstrekte gegevens lezen.
• Gegevens schrijven: registreert bewerkingen die door de gebruiker verstrekte gegevens schrijven.

Het is raadzaam om een effectieve standaardcontroleconfiguratie zo te configureren dat:

• Het logboektype is ingesteld op DATA_READ (om gebruikersactiviteiten bij te houden) en DATA_WRITES (om wijzigingen/manipulatie in gebruikersgegevens te registreren).
• Controleconfiguratie is ingeschakeld voor alle services die worden ondersteund door de functie Data Access-auditlogboeken.
• Logboeken moeten worden vastgelegd voor alle gebruikers, dat wil gezegd, er zijn geen uitgesloten gebruikers in een van de secties voor auditconfiguratie. Dit zorgt ervoor dat het overschrijven van de auditconfiguratie niet in strijd is met de vereiste.

Ernst: gemiddeld

Zorg ervoor dat cloud KMS-cryptosleutels niet anoniem of openbaar toegankelijk zijn

Beschrijving: Het wordt aanbevolen dat het IAM-beleid voor Cloud KMS-cryptosleutels anonieme en/of openbare toegang moet beperken. Als u machtigingen verleent aan 'allUsers' of 'allAuthenticatedUsers', heeft iedereen toegang tot de gegevensset. Dergelijke toegang is mogelijk niet wenselijk als gevoelige gegevens op de locatie worden opgeslagen. In dit geval moet u ervoor zorgen dat anonieme en/of openbare toegang tot een Cloud KMS-cryptosleutel niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat de aanmeldingsreferenties van het bedrijf worden gebruikt

Beschrijving: Gebruik referenties voor bedrijfsaanmelding in plaats van persoonlijke accounts, zoals Gmail-accounts. Het wordt aanbevolen om volledig beheerde zakelijke Google-accounts te gebruiken voor betere zichtbaarheid, controle en het beheren van de toegang tot Cloud Platform-resources. Gmail-accounts die zijn gebaseerd buiten de organisatie van de gebruiker, zoals persoonlijke accounts, mogen niet worden gebruikt voor zakelijke doeleinden.

Ernst: Hoog

Zorg ervoor dat IAM-gebruikers niet de rollen Gebruiker van serviceaccount of Serviceaccountmaker op projectniveau hebben toegewezen

Beschrijving: Het is raadzaam om de rollen ServiceAccountGebruiker (iam.serviceAccountUser) en Service Account Token Creator (iam.serviceAccountTokenCreator) toe te wijzen aan een gebruiker voor een specifiek serviceaccount in plaats van de rol toe te wijzen aan een gebruiker op projectniveau. Een serviceaccount is een speciaal Google-account dat deel uitmaakt van een toepassing of een virtuele machine (VM), in plaats van aan een afzonderlijke eindgebruiker. Toepassing/VM-exemplaar gebruikt het serviceaccount om de Google API van de service aan te roepen, zodat gebruikers niet rechtstreeks betrokken zijn. Naast een identiteit is een serviceaccount een resource waaraan IAM-beleid is gekoppeld. Met deze beleidsregels wordt bepaald wie het serviceaccount kan gebruiken. Gebruikers met IAM-rollen voor het bijwerken van de App Engine- en Compute Engine-exemplaren (zoals App Engine Deployer of Compute Instance Admin) kunnen code effectief uitvoeren als de serviceaccounts die worden gebruikt om deze exemplaren uit te voeren en indirect toegang krijgen tot alle resources waartoe de serviceaccounts toegang hebben. Op dezelfde manier biedt SSH-toegang tot een Compute Engine-exemplaar mogelijk ook de mogelijkheid om code uit te voeren als dat exemplaar/serviceaccount. Op basis van bedrijfsbehoeften kunnen er meerdere door de gebruiker beheerde serviceaccounts zijn geconfigureerd voor een project. Het verlenen van de rollen iam.serviceAccountUser of iam.serviceAccountTokenCreatorccountUser aan een gebruiker voor een project geeft de gebruiker toegang tot alle serviceaccounts in het project, inclusief serviceaccounts die in de toekomst kunnen worden gemaakt. Dit kan leiden tot uitbreiding van bevoegdheden met behulp van serviceaccounts en bijbehorende 'Compute Engine-exemplaren'. Om best practices voor 'minimale bevoegdheden' te implementeren, mogen IAM-gebruikers niet de rollen 'Serviceaccountgebruiker' of 'ServiceaccounttokenMaker' toewijzen op projectniveau. In plaats daarvan moeten deze rollen worden toegewezen aan een gebruiker voor een specifiek serviceaccount, waardoor die gebruiker toegang krijgt tot het serviceaccount. Met de serviceaccountgebruiker kan een gebruiker een serviceaccount binden aan een langlopende taakservice, terwijl met de rol Serviceaccounttokenmaker een gebruiker de identiteit van een serviceaccount rechtstreeks kan imiteren (of bevestigen).

Ernst: gemiddeld

Zorg ervoor dat scheiding van taken wordt afgedwongen tijdens het toewijzen van KMS-gerelateerde rollen aan gebruikers

Beschrijving: Het wordt aanbevolen dat het principe 'Scheiding van taken' wordt afgedwongen bij het toewijzen van KMS-gerelateerde rollen aan gebruikers. Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS-beheerder kan de gebruiker/identiteit serviceaccounts maken, verwijderen en beheren. Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS CryptoKey Encrypter/Decrypter kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) data-at-rest versleutelen en ontsleutelen met behulp van een versleutelingssleutel(s). Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS CryptoKey Encrypter kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) data-at-rest versleutelen met behulp van een versleutelingssleutel(s). Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS Crypto Key Decrypter kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) data-at-rest ontsleutelen met behulp van een versleutelingssleutel(s). Scheiding van taken is het concept om ervoor te zorgen dat één persoon niet alle benodigde machtigingen heeft om een kwaadwillende actie te kunnen voltooien. In CLOUD KMS kan dit een actie zijn, zoals het gebruik van een sleutel voor toegang tot en ontsleuteling van gegevens waar een gebruiker normaal gesproken geen toegang toe heeft. Scheiding van taken is een bedrijfsbeheer dat doorgaans wordt gebruikt in grotere organisaties, bedoeld om beveiligings- of privacyincidenten en -fouten te voorkomen. Het wordt beschouwd als best practice. Geen enkele gebruiker(s) moet cloud-KMS-beheerder en een van de Cloud KMS CryptoKey Encrypter/Decrypterrollen Cloud KMS CryptoKey Encrypterdie tegelijkertijd zijn toegewezen, Cloud KMS CryptoKey Decrypter hebben.

Ernst: Hoog

Zorg ervoor dat scheiding van taken wordt afgedwongen tijdens het toewijzen van aan gebruikers gerelateerde rollen voor serviceaccounts

Beschrijving: Het wordt aanbevolen dat het principe 'Scheiding van taken' wordt afgedwongen bij het toewijzen van serviceaccounts aan gebruikers. Met de ingebouwde/vooraf gedefinieerde IAM-rol Serviceaccountbeheerder kan de gebruiker/identiteit serviceaccounts maken, verwijderen en beheren. Met de ingebouwde/vooraf gedefinieerde IAM-rol Serviceaccountgebruiker kan de gebruiker/identiteit (met voldoende bevoegdheden voor Compute en App Engine) serviceaccounts toewijzen aan Apps/Compute-exemplaren. Scheiding van taken is het concept om ervoor te zorgen dat één persoon niet alle benodigde machtigingen heeft om een kwaadwillende actie te kunnen voltooien. In Cloud IAM- serviceaccounts kan dit een actie zijn, zoals het gebruik van een serviceaccount voor toegang tot resources waartoe de gebruiker normaal gesproken geen toegang moet hebben. Scheiding van taken is een bedrijfsbeheer dat doorgaans wordt gebruikt in grotere organisaties, bedoeld om beveiligings- of privacyincidenten en -fouten te voorkomen. Het wordt beschouwd als best practice. Geen enkele gebruiker mag de rollen 'Serviceaccountbeheerder' en 'Serviceaccountgebruiker' tegelijk hebben toegewezen.

Ernst: gemiddeld

Zorg ervoor dat het serviceaccount geen beheerdersbevoegdheden heeft

Beschrijving: Een serviceaccount is een speciaal Google-account dat deel uitmaakt van een toepassing of virtuele machine, in plaats van aan een afzonderlijke eindgebruiker. De toepassing gebruikt het serviceaccount om de Google API van de service aan te roepen, zodat gebruikers niet rechtstreeks betrokken zijn. Het is raadzaam om geen beheerderstoegang te gebruiken voor ServiceAccount. Serviceaccounts vertegenwoordigen de beveiliging op serviceniveau van de resources (toepassing of een VM) die kan worden bepaald door de rollen die eraan zijn toegewezen. Het inschrijven van ServiceAccount met beheerdersrechten biedt volledige toegang tot een toegewezen toepassing of een VIRTUELE machine. Een ServiceAccount Access-houder kan kritieke acties uitvoeren, zoals instellingen voor verwijderen, wijzigen van wijzigingen, enzovoort, zonder tussenkomst van de gebruiker. Daarom wordt aanbevolen dat serviceaccounts geen beheerdersrechten hebben.

Ernst: gemiddeld

Zorg ervoor dat sinks zijn geconfigureerd voor alle logboekvermeldingen

Beschrijving: Het is raadzaam om een sink te maken waarmee kopieën van alle logboekvermeldingen worden geëxporteerd. Dit kan helpen bij het aggregeren van logboeken van meerdere projecten en deze exporteren naar een SIEM (Security Information and Event Management). Logboekvermeldingen worden bewaard in Stackdriver-logboekregistratie. Als u logboeken wilt aggregeren, exporteert u deze naar een SIEM. Als u ze langer wilt houden, is het raadzaam om een logboeksink in te stellen. Exporteren omvat het schrijven van een filter dat de logboekvermeldingen selecteert die u wilt exporteren en een bestemming kiest in Cloud Storage, BigQuery of Cloud Pub/Sub. Het filter en de bestemming worden bewaard in een object dat een sink wordt genoemd. Om ervoor te zorgen dat alle logboekvermeldingen worden geëxporteerd naar sinks, moet u ervoor zorgen dat er geen filter is geconfigureerd voor een sink. Sinks kunnen worden gemaakt in projecten, organisaties, mappen en factureringsaccounts.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de controleconfiguratie

Beschrijving: GCP-services (Google Cloud Platform) schrijven vermeldingen in auditlogboeken naar de activiteiten- en gegevenstoegangslogboeken van de beheerder. Vermeldingen helpen bij het beantwoorden van de vragen 'wie heeft wat gedaan, waar en wanneer?' binnen GCP-projecten. Auditlogboekregistratie van de cloud bevat informatie over de identiteit van de API-aanroeper, het tijdstip van de API-aanroep, het bron-IP-adres van de API-aanroeper, de aanvraagparameters en de antwoordelementen die door GCP-services worden geretourneerd. Logboekregistratie van cloudcontrole biedt een geschiedenis van GCP API-aanroepen voor een account, waaronder API-aanroepen via de console, SDK's, opdrachtregelprogramma's en andere GCP-services. Logboeken voor beheerdersactiviteiten en gegevenstoegang die worden geproduceerd door auditlogboekregistratie in de cloud, maken beveiligingsanalyse, tracering van resourcewijziging en controle van naleving mogelijk. Het configureren van het metrische filter en waarschuwingen voor wijzigingen in de controleconfiguratie zorgt ervoor dat de aanbevolen status van de controleconfiguratie wordt gehandhaafd, zodat alle activiteiten in het project op elk moment kunnen worden gecontroleerd.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in aangepaste rollen

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in IAM-rollen (Identity and Access Management) voor het maken, verwijderen en bijwerken van activiteiten. Google Cloud IAM biedt vooraf gedefinieerde rollen die gedetailleerde toegang bieden tot specifieke Google Cloud Platform-resources en ongewenste toegang tot andere resources voorkomen. Cloud IAM biedt echter ook de mogelijkheid om aangepaste rollen te maken, om te voldoen aan organisatiespecifieke behoeften. Projecteigenaren en -beheerders met de rol Organisatierolbeheerder of de rol IAM-rolbeheerder kunnen aangepaste rollen maken. Het controleren van activiteiten voor het maken, verwijderen en bijwerken van rollen helpt bij het identificeren van elke rol met overprivilegiatie in een vroeg stadium.

Ernst: Laag

Zorg ervoor dat door de gebruiker beheerde/externe sleutels voor serviceaccounts elke 90 dagen of minder worden geroteerd

Beschrijving: Serviceaccountsleutels bestaan uit een sleutel-id (Private_key_Id) en een persoonlijke sleutel, die worden gebruikt voor het ondertekenen van programmatische aanvragen die gebruikers indienen bij Google-cloudservices die toegankelijk zijn voor dat specifieke serviceaccount. Het wordt aanbevolen dat alle serviceaccountsleutels regelmatig worden geroteerd. Het draaien van serviceaccountsleutels vermindert het kansvenster voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt. Serviceaccountsleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel die mogelijk verloren, gekraakt of gestolen is. Elk serviceaccount is gekoppeld aan een sleutelpaar dat wordt beheerd door Google Cloud Platform (GCP). Het wordt gebruikt voor service-naar-service-verificatie binnen GCP. Google draait de sleutels dagelijks. GCP biedt de mogelijkheid om een of meer door de gebruiker beheerde sleutelparen (ook wel externe sleutelparen genoemd) te maken voor gebruik van buiten GCP (bijvoorbeeld voor gebruik met standaardreferenties voor toepassingen). Wanneer er een nieuw sleutelpaar wordt gemaakt, moet de gebruiker de persoonlijke sleutel downloaden (die niet wordt bewaard door Google).

Met externe sleutels zijn gebruikers verantwoordelijk voor het beveiligen van de persoonlijke sleutel en andere beheerbewerkingen, zoals sleutelrotatie. Externe sleutels kunnen worden beheerd door de IAM-API, het opdrachtregelprogramma gcloud of de pagina Serviceaccounts in de Google Cloud Platform-console.

GCP faciliteert maximaal 10 externe serviceaccountsleutels per serviceaccount om sleutelrotatie te vergemakkelijken.

Ernst: gemiddeld

GCP-identiteiten die zijn ingericht, mogen alleen over de benodigde machtigingen beschikken (preview)

Beschrijving: Een over-ingerichte actieve identiteit is een identiteit die toegang heeft tot bevoegdheden die ze niet hebben gebruikt. Over-ingerichte actieve identiteiten, met name voor niet-menselijke accounts die zeer gedefinieerde acties en verantwoordelijkheden hebben, kunnen de straal vergroten in het geval van een gebruiker, sleutel of resource. Het principe van minimale bevoegdheden geeft aan dat een resource alleen toegang moet hebben tot de exacte resources die nodig zijn om te kunnen functioneren. Dit principe is ontwikkeld om het risico te verhelpen dat gecompromitteerde identiteiten een aanvaller toegang verlenen tot een breed scala aan resources.

GKE-webdashboard moet worden uitgeschakeld

Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.

Ernst: Hoog

Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters

Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.

Ernst: Hoog

Machtigingen van inactieve identiteiten in uw GCP-project moeten worden ingetrokken

Beschrijving: Microsoft Defender voor Cloud een identiteit ontdekt die in de afgelopen 45 dagen geen actie heeft uitgevoerd op een resource binnen uw GCP-project. Het wordt aanbevolen om machtigingen van inactieve identiteiten in te trekken om de kwetsbaarheid voor aanvallen van uw cloudomgeving te verminderen.

Ernst: gemiddeld

Redis IAM-rol mag niet worden toegewezen op organisatie- of mapniveau

Beschrijving: Met deze aanbeveling wordt het IAM-beleid in resourcemetagegevens geëvalueerd voor principals toegewezen rollen/redis.admin, roles/redis.editor, roles/redis.viewer op organisatie- of mapniveau.

Ernst: Hoog

Serviceaccounts moeten beperkte projecttoegang hebben in een cluster

Beschrijving: Met deze aanbeveling wordt de configuratie-eigenschap van een knooppuntgroep geëvalueerd om te controleren of er geen serviceaccount is opgegeven of of het standaardserviceaccount wordt gebruikt.

Ernst: Hoog

Gebruikers moeten toegang hebben tot minimale bevoegdheden met gedetailleerde IAM-rollen

Beschrijving: Deze aanbeveling evalueert het IAM-beleid in resourcemetagegevens voor principals toegewezen rollen/Eigenaar, rollen/Schrijver of Rollen/Lezer.

Ernst: Hoog

Gerelateerde inhoud

• Meer informatie over beveiligingsaan aanbevelingen
• Aanbevelingen voor beveiliging controleren