Aanbevelingen voor netwerkbeveiliging

Artikel
09/06/2024

Dit artikel bevat alle aanbevelingen voor netwerkbeveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie. U kunt de aanbevelingen bekijken in de portal die van toepassing zijn op uw resources.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Tip

Als een beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van beleidsregels tot alleen basisaanbevelingen vereenvoudigt beleidsbeheer.

Aanbevelingen voor Azure-netwerken

Toegang tot opslagaccounts met configuraties voor firewalls en virtuele netwerken moet worden beperkt

Beschrijving: Controleer de instellingen van netwerktoegang in de firewallinstellingen van uw opslagaccount. We raden u aan netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet. (Gerelateerd beleid: Opslagaccounts moeten netwerktoegang beperken.

Ernst: Laag

Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht

Beschrijving: Defender voor Cloud de communicatiepatronen voor internetverkeer van de onderstaande virtuele machines heeft geanalyseerd en heeft vastgesteld dat de bestaande regels in de aan hen gekoppelde NSG's te veel permissief zijn, wat resulteert in een verhoogde potentiële kwetsbaarheid voor aanvallen. Dit gebeurt meestal wanneer dit IP-adres niet regelmatig communiceert met deze resource. Het IP-adres is ook gemarkeerd als schadelijk door de bedreigingsinformatiebronnen van Defender voor Cloud. (Gerelateerd beleid: Aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines).

Ernst: Hoog

Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine

Beschrijving: Defender voor Cloud bepaalde regels voor inkomend verkeer van uw netwerkbeveiligingsgroepen hebben geïdentificeerd, zodat ze te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. (Gerelateerd beleid: Alle netwerkpoorten moeten worden beperkt voor netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine).

Ernst: Hoog

Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld

Beschrijving: Defender voor Cloud virtuele netwerken heeft gedetecteerd met Application Gateway-resources die niet zijn beveiligd door de DDoS-beveiligingsservice. Deze resources bevatten openbare IP-adressen. Schakel beperking van volumetrische netwerkaanvallen en protocolaanvallen in. (Gerelateerd beleid: Azure DDoS Protection Standard moet zijn ingeschakeld).

Ernst: gemiddeld

Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen

Beschrijving: Bescherm uw VIRTUELE machine tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (NSG). Een NSG bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer naar uw VM van ander exemplaren in of van buiten hetzelfde subnet wordt toegestaan of geweigerd. Als u uw computer zo veilig mogelijk wilt houden, moet de toegang tot de VIRTUELE machine tot internet worden beperkt en moet er een NSG worden ingeschakeld op het subnet. VM's met hoge ernst zijn internetgerichte VM's. (Gerelateerd beleid: Internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen).

Ernst: Hoog

Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld

Beschrijving: Defender voor Cloud heeft gedetecteerd dat doorsturen via IP is ingeschakeld op sommige van uw virtuele machines. Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. (Gerelateerd beleid: Doorsturen via IP op uw virtuele machine moet worden uitgeschakeld).

Ernst: gemiddeld

Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen

Beschrijving: de gebruiksvoorwaarden van Azure verbieden het gebruik van Azure-services op manieren die schade kunnen aanbrengen, uitschakelen, overbelasten of verstoren van een Microsoft-server of het netwerk. Deze aanbeveling bevat een lijst met weergegeven poorten die moeten worden gesloten voor uw continue beveiliging. Het illustreert ook de mogelijke bedreiging voor elke poort. (Geen gerelateerd beleid)

Ernst: Hoog

Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer

Beschrijving: Defender voor Cloud heeft een aantal te ruime regels voor inkomend verkeer voor beheerpoorten in uw netwerkbeveiligingsgroep geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw VM te beschermen tegen beveiligingsaanvallen van internet. Meer informatie over Just-In-Time -VM-toegang (JIT). (Gerelateerd beleid: Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer).

Ernst: Hoog

Beheerpoorten moeten gesloten zijn op uw virtuele machines

Beschrijving: Open poorten voor extern beheer stellen uw VIRTUELE machine bloot aan een hoog risiconiveau van aanvallen op internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. (Gerelateerd beleid: Beheerpoorten moeten worden gesloten op uw virtuele machines).

Ernst: gemiddeld

Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen

Beschrijving: Bescherm uw niet-internetgerichte virtuele machine tegen mogelijke bedreigingen door de toegang tot de virtuele machine te beperken met een netwerkbeveiligingsgroep (NSG). Een NSG bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer naar uw VM van ander exemplaren wordt toegestaan of geweigerd, ongeacht of deze zich in of buiten hetzelfde subnet bevinden. Houd de computer zo goed mogelijk beveiligd. De toegang van de VM's tot internet moet worden beperkt en er moet een NSG op het subnet worden ingeschakeld. (Gerelateerd beleid: Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen).

Ernst: Laag

Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld

Beschrijving: Veilige overdracht is een optie waarmee uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking. (Gerelateerd beleid: Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld).

Ernst: Hoog

(Inschakelen indien nodig) Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep

Beschrijving: Beveilig uw subnet tegen mogelijke bedreigingen door de toegang tot het subnet te beperken met een netwerkbeveiligingsgroep (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. Wanneer een NSG is gekoppeld aan een subnet, zijn de ACL-regels van toepassing op alle VM-exemplaren en geïntegreerde services in dat subnet, maar zijn ze niet van toepassing op intern verkeer binnen het subnet. Als u resources in hetzelfde subnet tegen elkaar wilt beschermen, moet u ook NSG rechtstreeks op de resources inschakelen. Houd er rekening mee dat de volgende subnettypen worden vermeld als niet van toepassing: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet.

Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om te controleren. Meer informatie vindt u in Beveiligingsbeleid beheren. (Gerelateerd beleid: Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep).

Ernst: Laag

Virtuele netwerken moeten worden beveiligd door Azure Firewall

Beschrijving: Sommige virtuele netwerken zijn niet beveiligd met een firewall. Gebruik Azure Firewall om de toegang tot uw virtuele netwerken te beperken en potentiële bedreigingen te voorkomen. (Gerelateerd beleid: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall).

Aanbevelingen voor AWS-netwerken

Amazon EC2 moet worden geconfigureerd voor het gebruik van VPC-eindpunten

Beschrijving: Met dit besturingselement wordt gecontroleerd of er een service-eindpunt voor Amazon EC2 wordt gemaakt voor elke VPC. Het besturingselement mislukt als er geen VPC-eindpunt is gemaakt voor de Amazon EC2-service. Als u de beveiligingsstatus van uw VPC wilt verbeteren, kunt u Amazon EC2 configureren voor het gebruik van een interface-VPC-eindpunt. Interface-eindpunten worden mogelijk gemaakt door AWS PrivateLink, een technologie waarmee u privé toegang hebt tot Amazon EC2 API-bewerkingen. Het beperkt al het netwerkverkeer tussen uw VPC en Amazon EC2 tot het Amazon-netwerk. Omdat eindpunten alleen in dezelfde regio worden ondersteund, kunt u geen eindpunt maken tussen een VPC en een service in een andere regio. Dit voorkomt onbedoelde AMAZON EC2 API-aanroepen naar andere regio's. Voor meer informatie over het maken van VPC-eindpunten voor Amazon EC2 raadpleegt u Amazon EC2- en interface-VPC-eindpunten in de Amazon EC2-gebruikershandleiding voor Linux-exemplaren.

Ernst: gemiddeld

Amazon ECS-services mogen geen openbare IP-adressen automatisch aan hen toewijzen

Beschrijving: Een openbaar IP-adres is een IP-adres dat bereikbaar is vanaf internet. Als u uw Amazon ECS-exemplaren met een openbaar IP-adres start, zijn uw Amazon ECS-exemplaren bereikbaar vanaf internet. Amazon ECS-services mogen niet openbaar toegankelijk zijn, omdat dit onbedoelde toegang tot uw containertoepassingsservers mogelijk toestaat.

Ernst: Hoog

Hoofdknooppunten van amazon EMR-cluster mogen geen openbare IP-adressen hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of hoofdknooppunten in Amazon EMR-clusters openbare IP-adressen hebben. Het besturingselement mislukt als het hoofdknooppunt openbare IP-adressen heeft die zijn gekoppeld aan een van de exemplaren. Openbare IP-adressen worden aangewezen in het veld PublicIp van de NetworkInterfaces-configuratie voor het exemplaar. Met dit besturingselement worden alleen Amazon EMR-clusters gecontroleerd die de status ACTIEF of WACHTEN hebben.

Ernst: Hoog

Amazon Redshift-clusters moeten gebruikmaken van verbeterde VPC-routering

Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon Redshift-cluster EnhancedVpcRouting is ingeschakeld. Verbeterde VPC-routering dwingt alle COPY- en UNLOAD-verkeer tussen het cluster en de gegevensopslagplaatsen af om uw VPC te doorlopen. Vervolgens kunt u VPC-functies zoals beveiligingsgroepen en lijsten voor netwerktoegangsbeheer gebruiken om netwerkverkeer te beveiligen. U kunt ook VPC-stroomlogboeken gebruiken om netwerkverkeer te bewaken.

Ernst: Hoog

Application Load Balancer moet worden geconfigureerd om alle HTTP-aanvragen om te leiden naar HTTPS

Beschrijving: Als u versleuteling tijdens overdracht wilt afdwingen, moet u omleidingsacties met Application Load Balancers gebruiken om HTTP-aanvragen van clients om te leiden naar een HTTPS-aanvraag op poort 443.

Ernst: gemiddeld

Load balancers van toepassingen moeten worden geconfigureerd om HTTP-headers te verwijderen

Beschrijving: Dit besturingselement evalueert AWS Application Load Balancers (ALB) om ervoor te zorgen dat ze zijn geconfigureerd om ongeldige HTTP-headers te verwijderen. Het besturingselement mislukt als de waarde van routing.http.drop_invalid_header_fields.enabled is ingesteld op false. STANDAARD zijn ALBs niet geconfigureerd om ongeldige HTTP-headerwaarden te verwijderen. Als u deze headerwaarden verwijdert, worden HTTP-desynchrone aanvallen voorkomen.

Ernst: gemiddeld

Lambda-functies configureren voor een VPC

Beschrijving: Met dit besturingselement wordt gecontroleerd of een Lambda-functie zich in een VPC bevindt. De routeringsconfiguratie van het VPC-subnet wordt niet geëvalueerd om de openbare bereikbaarheid te bepalen. Houd er rekening mee dat als Lambda@Edge in het account is gevonden, dit besturingselement mislukte resultaten genereert. Als u deze bevindingen wilt voorkomen, kunt u dit besturingselement uitschakelen.

Ernst: Laag

EC2-exemplaren mogen geen openbaar IP-adres hebben

Beschrijving: Met dit besturingselement wordt gecontroleerd of EC2-exemplaren een openbaar IP-adres hebben. Het besturingselement mislukt als het veld PublicIp aanwezig is in het configuratie-item van het EC2-exemplaar. Dit besturingselement is alleen van toepassing op IPv4-adressen. Een openbaar IPv4-adres is een IP-adres dat bereikbaar is vanaf internet. Als u uw exemplaar start met een openbaar IP-adres, is uw EC2-exemplaar bereikbaar vanaf internet. Een privé-IPv4-adres is een IP-adres dat niet bereikbaar is vanaf internet. U kunt privé-IPv4-adressen gebruiken voor communicatie tussen EC2-exemplaren in dezelfde VPC of in uw verbonden privénetwerk. IPv6-adressen zijn wereldwijd uniek en zijn daarom bereikbaar vanaf internet. Voor alle subnetten is het IPv6-adresseringskenmerk echter standaard ingesteld op false. Zie IP-adressering in uw VPC in de Gebruikershandleiding voor Amazon VPC voor meer informatie over IPv6. Als u een legitieme use-case hebt voor het onderhouden van EC2-exemplaren met openbare IP-adressen, kunt u de bevindingen van dit besturingselement onderdrukken. Zie de AWS Architecture Blog of de reeks This Is My Architecture voor meer informatie over front-endarchitectuuropties.

Ernst: Hoog

EC2-exemplaren mogen niet meerdere ENI's gebruiken

Beschrijving: Met dit besturingselement wordt gecontroleerd of een EC2-exemplaar meerdere ENI's (Elastic Network Interfaces) of Elastic Fabric Adapters (EFA's) gebruikt. Dit besturingselement wordt doorgegeven als één netwerkadapter wordt gebruikt. Het besturingselement bevat een optionele parameterlijst om de toegestane ENI's te identificeren. Meerdere ENI's kunnen dubbele exemplaren veroorzaken, wat betekent dat exemplaren met meerdere subnetten. Hierdoor kunnen netwerkbeveiligingscomplexiteit worden toegevoegd en onbedoelde netwerkpaden en -toegang worden geïntroduceerd.

Ernst: Laag

EC2-exemplaren moeten IMDSv2 gebruiken

Beschrijving: Met dit besturingselement wordt gecontroleerd of de metagegevensversie van uw EC2-exemplaar is geconfigureerd met exemplaarmetagegevensservice versie 2 (IMDSv2). Het besturingselement wordt doorgegeven als HttpTokens is ingesteld op 'vereist' voor IMDSv2. Het besturingselement mislukt als 'HttpTokens' is ingesteld op 'optioneel'. U gebruikt metagegevens van exemplaren om het actieve exemplaar te configureren of te beheren. De IMDS biedt toegang tot tijdelijke, regelmatig gedraaide referenties. Deze referenties verwijderen de noodzaak om harde code te schrijven of gevoelige referenties handmatig of programmatisch te distribueren naar exemplaren. De IMDS wordt lokaal gekoppeld aan elk EC2-exemplaar. Het wordt uitgevoerd op een speciaal 'link local' IP-adres van 169.254.169.254. Dit IP-adres is alleen toegankelijk voor software die wordt uitgevoerd op het exemplaar. Versie 2 van de IMDS voegt nieuwe beveiligingen toe voor de volgende typen beveiligingsproblemen. Deze beveiligingsproblemen kunnen worden gebruikt om toegang te krijgen tot de IMDS.

Firewalls voor websitetoepassingen openen
Omgekeerde proxy's openen
SSRF-beveiligingsproblemen (aanvraagvervalsing aan de serverzijde)
Open Layer 3 firewalls en NETWORK Address Translation (NAT) Security Hub raadt u aan uw EC2-exemplaren te configureren met IMDSv2.

Ernst: Hoog

EC2-subnetten mogen niet automatisch openbare IP-adressen toewijzen

Beschrijving: Met dit besturingselement wordt gecontroleerd of de toewijzing van openbare IP-adressen in Amazon Virtual Private Cloud (Amazon VPC)-subnetten 'MapPublicIpOnLaunch' is ingesteld op 'FALSE'. Het besturingselement wordt doorgegeven als de vlag is ingesteld op ONWAAR. Alle subnetten hebben een kenmerk dat bepaalt of een netwerkinterface die in het subnet is gemaakt, automatisch een openbaar IPv4-adres ontvangt. Exemplaren die worden gestart in subnetten waarvoor dit kenmerk is ingeschakeld, hebben een openbaar IP-adres toegewezen aan hun primaire netwerkinterface.

Ernst: gemiddeld

Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor configuratiewijzigingen in AWS-configuratie

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor het detecteren van wijzigingen in de configuraties van CloudTrail. Het bewaken van wijzigingen in de configuratie van AWS zorgt voor een duurzame zichtbaarheid van configuratie-items binnen het AWS-account.

Ernst: Laag

Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor verificatiefouten in de AWS Management Console

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor mislukte consoleverificatiepogingen. Het bewaken van mislukte consoleaanmeldingen kan de doorlooptijd verminderen om een poging te detecteren om een referentie te brute forceren. Dit kan een indicator bieden, zoals bron-IP, die kan worden gebruikt in een andere gebeurteniscorrelatie.

Ernst: Laag

Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor wijzigingen in Netwerktoegangsbeheerlijsten (NACL)

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. ACL's worden gebruikt als een staatloos pakketfilter om inkomend en uitgaand verkeer voor subnetten binnen een VPC te beheren. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in ACL's. Als u wijzigingen in ACL's bewaakt, zorgt u ervoor dat AWS-resources en -services niet onbedoeld worden weergegeven.

Ernst: Laag

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor wijzigingen in netwerkgateways

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Netwerkgateways zijn vereist voor het verzenden/ontvangen van verkeer naar een bestemming buiten een VPC. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in netwerkgateways. Door wijzigingen in netwerkgateways te bewaken, zorgt u ervoor dat al het inkomend/uitgaand verkeer de VPC-rand via een beheerd pad doorkruist.

Ernst: Laag

Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor cloudTrail-configuratiewijzigingen

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor het detecteren van wijzigingen in de configuraties van CloudTrail.

Door wijzigingen in de configuratie van CloudTrail te bewaken, zorgt u voor een duurzame zichtbaarheid van activiteiten die worden uitgevoerd in het AWS-account.

Ernst: Laag

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor het uitschakelen of gepland verwijderen van door de klant gemaakte CMK's

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor door de klant gemaakte CMK's, die de status hebben gewijzigd in uitgeschakeld of gepland verwijderen. Gegevens die zijn versleuteld met uitgeschakelde of verwijderde sleutels, zijn niet meer toegankelijk.

Ernst: Laag

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het IAM-beleid

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een filter voor metrische gegevens en waarschuwingen vast te stellen dat wijzigingen zijn aangebracht in IAM-beleid (Identity and Access Management). Door wijzigingen in IAM-beleid te controleren, blijven verificatie- en autorisatiecontroles intact.

Ernst: Laag

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te laten komen voor consoleaanmeldingen die niet worden beveiligd door meervoudige verificatie (MFA). Bewaking voor aanmeldingen met één factor-console vergroot de zichtbaarheid van accounts die niet worden beveiligd door MFA.

Ernst: Laag

Zorg ervoor dat er een filter voor metrische logboekgegevens en waarschuwingen bestaan voor wijzigingen in de routetabel

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Routeringstabellen worden gebruikt om netwerkverkeer tussen subnetten en naar netwerkgateways te routeren. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor wijzigingen in routetabellen. Door wijzigingen in routetabellen te bewaken, zorgt u ervoor dat al het VPC-verkeer via een verwacht pad loopt.

Ernst: Laag

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het S3-bucketbeleid

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in S3-bucketbeleid. Het bewaken van wijzigingen in S3-bucketbeleid kan de tijd verminderen om machtigingen voor gevoelige S3-buckets te detecteren en te corrigeren.

Ernst: Laag

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in de beveiligingsgroep

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Beveiligingsgroepen zijn een stateful pakketfilter waarmee inkomend en uitgaand verkeer binnen een VPC wordt bepaald. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen in wijzigingen in beveiligingsgroepen. Door wijzigingen in de beveiligingsgroep te bewaken, zorgt u ervoor dat resources en services niet per ongeluk worden weergegeven.

Ernst: Laag

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor niet-geautoriseerde API-aanroepen

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor niet-geautoriseerde API-aanroepen. Het bewaken van niet-geautoriseerde API-aanroepen helpt toepassingsfouten te onthullen en kan de tijd verminderen om schadelijke activiteiten te detecteren.

Ernst: Laag

Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor het gebruik van 'root'-account

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor aanmeldingspogingen in de hoofdmap.

Bewaking voor aanmeldingen van hoofdaccounts biedt inzicht in het gebruik van een volledig bevoegd account en een mogelijkheid om het gebruik ervan te verminderen.

Ernst: Laag

Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor VPC-wijzigingen

Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het is mogelijk om meer dan één VPC binnen een account te hebben, daarnaast is het ook mogelijk om een peerverbinding te maken tussen 2 VPN's, waardoor netwerkverkeer tussen VPN's kan worden gerouteerd. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in VPN's. Door wijzigingen in IAM-beleid te controleren, blijven verificatie- en autorisatiecontroles intact.

Ernst: Laag

Zorg ervoor dat geen beveiligingsgroepen inkomend verkeer van 0.0.0.0/0 naar poort 3389 toestaan

Beschrijving: Beveiligingsgroepen bieden stateful filtering van inkomend/uitgaand netwerkverkeer naar AWS-resources. Het wordt aanbevolen dat geen beveiligingsgroep onbeperkte toegang tot inkomend verkeer toestaat op poort 3389. Wanneer u ongehinderde connectiviteit met externe consoleservices, zoals RDP, verwijdert, vermindert dit de blootstelling van een server aan risico's.

Ernst: Hoog

RDS-databases en -clusters mogen geen standaardpoort voor de database-engine gebruiken

Beschrijving: Met dit besturingselement wordt gecontroleerd of het RDS-cluster of -exemplaar een andere poort gebruikt dan de standaardpoort van de database-engine. Als u een bekende poort gebruikt om een RDS-cluster of -exemplaar te implementeren, kan een aanvaller informatie over het cluster of exemplaar raden. De aanvaller kan deze informatie gebruiken in combinatie met andere informatie om verbinding te maken met een RDS-cluster of -exemplaar of om aanvullende informatie over uw toepassing te verkrijgen. Wanneer u de poort wijzigt, moet u ook de bestaande verbindingsreeks s bijwerken die zijn gebruikt om verbinding te maken met de oude poort. Controleer ook de beveiligingsgroep van het DB-exemplaar om ervoor te zorgen dat deze een regel voor inkomend verkeer bevat die connectiviteit op de nieuwe poort toestaat.

Ernst: Laag

RDS-exemplaren moeten worden geïmplementeerd in een VPC

Beschrijving: VPN's bieden een aantal netwerkbesturingselementen om de toegang tot RDS-resources te beveiligen. Deze besturingselementen omvatten VPC-eindpunten, netwerk-ACL's en beveiligingsgroepen. Als u wilt profiteren van deze besturingselementen, raden we u aan ec2-klassieke RDS-exemplaren te verplaatsen naar EC2-VPC.

Ernst: Laag

S3-buckets moeten aanvragen vereisen voor het gebruik van Secure Socket Layer

Beschrijving: Het is raadzaam aanvragen te vereisen voor het gebruik van SECURE Socket Layer (SSL) in alle Amazon S3-buckets. S3-buckets moeten beleidsregels hebben waarvoor alle aanvragen zijn vereist ('Actie: S3:*') om alleen overdracht van gegevens via HTTPS te accepteren in het S3-resourcebeleid, aangegeven met de voorwaardesleutel 'aws:SecureTransport'.

Ernst: gemiddeld

Beveiligingsgroepen mogen inkomend verkeer van 0.0.0.0/0 naar poort 22 niet toestaan

Beschrijving: Om de blootstelling van de server te verminderen, is het raadzaam om onbeperkte toegang tot inkomend verkeer naar poort 22 niet toe te staan.

Ernst: Hoog

Beveiligingsgroepen mogen geen onbeperkte toegang tot poorten met een hoog risico toestaan

Beschrijving: Met dit besturingselement wordt gecontroleerd of onbeperkt binnenkomend verkeer voor de beveiligingsgroepen toegankelijk is voor de opgegeven poorten met het hoogste risico. Dit besturingselement wordt doorgegeven wanneer geen van de regels in een beveiligingsgroep inkomend verkeer toestaat van 0.0.0.0/0 voor die poorten. Onbeperkte toegang (0.0.0.0.0/0) verhoogt de kansen voor schadelijke activiteiten, zoals hacken, denial-of-service-aanvallen en verlies van gegevens. Beveiligingsgroepen bieden stateful filtering van inkomend en uitgaand netwerkverkeer naar AWS-resources. Er mag geen beveiligingsgroep onbeperkte toegang tot inkomend verkeer toestaan tot de volgende poorten:

3389 (RDP)
20, 21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (proxy)
1433, 1434 (MSSQL)
9200 of 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

Ernst: gemiddeld

Beveiligingsgroepen mogen alleen onbeperkt binnenkomend verkeer toestaan voor geautoriseerde poorten

Beschrijving: Met dit besturingselement wordt gecontroleerd of de beveiligingsgroepen die in gebruik zijn onbeperkt binnenkomend verkeer toestaan. Optioneel controleert de regel of de poortnummers worden vermeld in de parameter 'authorizedTcpPorts'.

Als het poortnummer van de beveiligingsgroepsregel onbeperkt binnenkomend verkeer toestaat, maar het poortnummer is opgegeven in 'authorizedTcpPorts', wordt het besturingselement doorgegeven. De standaardwaarde voor 'authorizedTcpPorts' is 80, 443.
Als het poortnummer van de beveiligingsgroepsregel onbeperkt binnenkomend verkeer toestaat, maar het poortnummer niet is opgegeven in de invoerparameter authorizedTcpPorts, mislukt het besturingselement.
Als de parameter niet wordt gebruikt, mislukt het besturingselement voor een beveiligingsgroep met een onbeperkte regel voor binnenkomend verkeer. Beveiligingsgroepen bieden stateful filtering van inkomend en uitgaand netwerkverkeer naar AWS. Beveiligingsgroepsregels moeten voldoen aan het principe van minimale bevoegde toegang. Onbeperkte toegang (IP-adres met achtervoegsel /0) verhoogt de kans op schadelijke activiteiten, zoals hacken, denial-of-service-aanvallen en verlies van gegevens. Tenzij een poort specifiek is toegestaan, moet de poort onbeperkte toegang weigeren.

Ernst: Hoog

Ongebruikte EC2-EOPS moeten worden verwijderd

Beschrijving: Elastische IP-adressen die zijn toegewezen aan een VPC, moeten worden gekoppeld aan Amazon EC2-exemplaren of in-use elastische netwerkinterfaces (ENI's).

Ernst: Laag

Ongebruikte lijsten voor netwerktoegangsbeheer moeten worden verwijderd

Beschrijving: Met dit besturingselement wordt gecontroleerd of er ongebruikte netwerktoegangsbeheerlijsten (ACL's) zijn. Het besturingselement controleert de itemconfiguratie van de resource AWS::EC2::NetworkAcl en bepaalt de relaties van de netwerk-ACL. Als de enige relatie de VPC van de netwerk-ACL is, mislukt het besturingselement. Als er andere relaties worden weergegeven, wordt het besturingselement doorgegeven.

Ernst: Laag

De standaardbeveiligingsgroep van VPC moet al het verkeer beperken

Beschrijving: Beveiligingsgroep moet al het verkeer beperken om de blootstelling aan resources te verminderen.

Ernst: Laag

Aanbevelingen voor GCP-netwerken

Clusterhosts moeten worden geconfigureerd om alleen privé-IP-adressen te gebruiken voor toegang tot Google-API's

Beschrijving: Deze aanbeveling evalueert of de eigenschap privateIpGoogleAccess van een subnetwork is ingesteld op false.

Ernst: Hoog

Rekeninstanties moeten een load balancer gebruiken die is geconfigureerd voor het gebruik van een HTTPS-doelproxy

Beschrijving: Deze aanbeveling evalueert of de eigenschap selfLink van de targetHttpProxy-resource overeenkomt met het doelkenmerk in de doorstuurregel en of de doorstuurregel een loadBalancingScheme-veld bevat dat is ingesteld op Extern.

Ernst: gemiddeld

Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.

Ernst: Hoog

Regel voor uitgaand weigeren moet worden ingesteld op een firewall om ongewenst uitgaand verkeer te blokkeren

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de eigenschap destinationRanges in de firewall is ingesteld op 0.0.0.0/0 en de eigenschap geweigerd het sleutel-waardepaar bevat. 'IPProtocol': 'all.'

Ernst: Laag

Zorg ervoor dat firewallregels voor exemplaren achter IAP (Identity Aware Proxy) alleen het verkeer van De statuscontrole en proxyadressen van Google Cloud Loadbalancer (GCLB) toestaan

Beschrijving: Toegang tot VM's moet worden beperkt door firewallregels die alleen IAP-verkeer toestaan door ervoor te zorgen dat alleen verbindingen die door de IAP worden geproxieerd, zijn toegestaan. Om ervoor te zorgen dat taakverdeling correct werkt, moeten ook statuscontroles worden toegestaan. IAP zorgt ervoor dat de toegang tot VM's wordt beheerd door binnenkomende aanvragen te verifiëren. Als de VIRTUELE machine echter nog steeds toegankelijk is vanaf andere IP-adressen dan de IAP, is het mogelijk om niet-geverifieerde aanvragen naar het exemplaar te verzenden. Zorg ervoor dat de loadblancer-statuscontroles niet worden geblokkeerd, omdat hierdoor de load balancer de status van de VIRTUELE machine en taakverdeling correct kan kennen.

Ernst: gemiddeld

Controleren of verouderde netwerken niet bestaan voor een project

Beschrijving: Om het gebruik van verouderde netwerken te voorkomen, mag voor een project geen verouderd netwerk zijn geconfigureerd. Verouderde netwerken hebben één IPv4-voorvoegselbereik en één gateway-IP-adres voor het hele netwerk. Het netwerk is globaal binnen het bereik en omvat alle cloudregio's. Subnetten kunnen niet worden gemaakt in een verouderd netwerk en kunnen niet overschakelen van verouderde naar automatische of aangepaste subnetnetwerken. Verouderde netwerken kunnen invloed hebben op projecten met veel netwerkverkeer en kunnen worden onderworpen aan één conflictpunt of storing.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_hostname' voor het Cloud SQL PostgreSQL-exemplaar juist is ingesteld

Beschrijving: PostgreSQL registreert alleen het IP-adres van de verbindingshosts. De vlag 'log_hostname' bepaalt de logboekregistratie van 'hostnamen' naast de IP-adressen die zijn geregistreerd. De prestatietreffer is afhankelijk van de configuratie van de omgeving en de installatie van de hostnaamomzetting. Deze parameter kan alleen worden ingesteld in het bestand postgresql.conf of op de opdrachtregel van de server. Voor het vastleggen van hostnamen kan overhead optreden bij serverprestaties, omdat voor elke vastgelegde instructie DNS-omzetting vereist is om het IP-adres te converteren naar hostnaam. Afhankelijk van de installatie kan dit niet te verwaarlozen zijn. Bovendien kunnen de IP-adressen die worden geregistreerd later worden omgezet in hun DNS-namen wanneer u de logboeken bekijkt, met uitzondering van de gevallen waarin dynamische hostnamen worden gebruikt. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat geen load balancers voor HTTPS- of SSL-proxy's SSL-beleid met zwakke coderingssuites toestaan

Beschrijving: Ssl-beleid (Secure Sockets Layer) bepaalt welke TLS-functies (Port Transport Layer Security) clients mogen gebruiken bij het maken van verbinding met load balancers. Om het gebruik van onveilige functies te voorkomen, moet SSL-beleid ten minste TLS 1.2 gebruiken met het MODERNE profiel; of (b) het BEPERKTE profiel, omdat clients in feite TLS 1.2 moeten gebruiken, ongeacht de gekozen minimale TLS-versie; of (3) een AANGEPAST profiel dat geen van de volgende functies ondersteunt: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Load balancers worden gebruikt om verkeer efficiënt over meerdere servers te verdelen. Zowel SSL-proxy- als HTTPS-load balancers zijn externe load balancers, wat betekent dat ze verkeer van internet naar een GCP-netwerk distribueren. GCP-klanten kunnen ssl-beleid voor load balancers configureren met een minimale TLS-versie (1.0, 1.1 of 1.2) die clients kunnen gebruiken om een verbinding tot stand te brengen, samen met een profiel (compatibel, modern, beperkt of aangepast) waarmee toegestane coderingssuites worden opgegeven. Om te voldoen aan gebruikers die verouderde protocollen gebruiken, kunnen GCP-load balancers worden geconfigureerd om onveilige coderingssuites toe te staan. In feite maakt het GCP-standaard-SSL-beleid gebruik van een minimale TLS-versie van 1.0 en een compatibel profiel, waardoor het breedste scala aan onveilige coderingssuites mogelijk is. Als gevolg hiervan is het eenvoudig voor klanten om een load balancer te configureren zonder zelfs te weten dat ze verouderde coderingssuites toestaan.

Ernst: gemiddeld

Zorg ervoor dat cloud-DNS-logboekregistratie is ingeschakeld voor alle VPC-netwerken

Beschrijving: In de cloud-DNS-logboekregistratie worden de query's vastgelegd van de naamservers binnen uw VPC naar Stackdriver. Vastgelegde query's kunnen afkomstig zijn van VM's van de Compute Engine, GKE-containers of andere GCP-resources die zijn ingericht in de VPC. Beveiligingsbewaking en forensische gegevens kunnen niet alleen afhankelijk zijn van IP-adressen uit VPC-stroomlogboeken, met name wanneer u rekening houdt met het dynamische IP-gebruik van cloudresources, routering van virtuele HTTP-hosts en andere technologie die de DNS-naam die door een client wordt gebruikt, van het IP-adres kan worden verborgen. Bewaking van cloud-DNS-logboeken biedt inzicht in DNS-namen die door de clients in de VPC worden aangevraagd. Deze logboeken kunnen worden bewaakt op afwijkende domeinnamen, geëvalueerd op bedreigingsinformatie en

Voor volledige opname van DNS moet de firewall uitgaand UDP/53 (DNS) en TCP/443 (DNS via HTTPS) blokkeren om te voorkomen dat de client externe DNS-naamserver gebruikt voor omzetting.

Ernst: Hoog

Zorg ervoor dat DNSSEC is ingeschakeld voor Cloud DNS

Beschrijving: Cloud Domain Name System (DNS) is een snel, betrouwbaar en rendabel domeinnaamsysteem dat miljoenen domeinen op internet mogelijk maakt. Domain Name System Security Extensions (DNSSEC) in Cloud DNS stelt domeineigenaren in staat om eenvoudige stappen te ondernemen om hun domeinen te beschermen tegen DNS-hijacking en man-in-the-middle en andere aanvallen. Domain Name System Security Extensions (DNSSEC) voegt beveiliging toe aan het DNS-protocol door DNS-antwoorden te laten valideren. Een betrouwbare DNS die een domeinnaam www.example.com vertaalt in het bijbehorende IP-adres, is een steeds belangrijker bouwsteen van de huidige webtoepassingen. Aanvallers kunnen dit proces van domein/IP-zoekopdracht kapen en gebruikers omleiden naar een schadelijke site via DNS-hijacking en man-in-the-middle-aanvallen. DNSSEC helpt het risico van dergelijke aanvallen te beperken door cryptografisch dns-records te ondertekenen. Als gevolg hiervan voorkomt het dat aanvallers valse DNS-antwoorden uitgeven die mogelijk verkeerde browsers naar kwaadwillende websites leiden.

Ernst: gemiddeld

Zorg ervoor dat RDP-toegang is beperkt vanaf internet

Beschrijving: GCP-firewallregels zijn specifiek voor een VPC-netwerk. Met elke regel wordt verkeer toegestaan of geweigerd wanneer aan de voorwaarden wordt voldaan. Met de voorwaarden kunnen gebruikers het type verkeer opgeven, zoals poorten en protocollen, en de bron of bestemming van het verkeer, inclusief IP-adressen, subnetten en exemplaren. Firewallregels worden gedefinieerd op het niveau van het VPC-netwerk en zijn specifiek voor het netwerk waarin ze worden gedefinieerd. De regels zelf kunnen niet worden gedeeld tussen netwerken. Firewallregels ondersteunen alleen IPv4-verkeer. Wanneer u een bron opgeeft voor een regel voor inkomend verkeer of een bestemming voor een uitgaande regel per adres, kan een IPv4-adres of IPv4-blok in CIDR-notatie worden gebruikt. Algemeen (0.0.0.0/0) binnenkomend verkeer van internet naar een VPC- of VM-exemplaar met behulp van RDP op poort 3389 kan worden vermeden. GCP-firewallregels binnen een VPC-netwerk. Deze regels zijn van toepassing op uitgaand (uitgaand) verkeer van exemplaren en binnenkomend (inkomend) verkeer naar exemplaren in het netwerk. Uitgaand verkeer en inkomend verkeer worden beheerd, zelfs als het verkeer binnen het netwerk blijft (bijvoorbeeld communicatie tussen exemplaren). Voor een exemplaar dat uitgaande internettoegang heeft, moet het netwerk een geldige internetgatewayroute of aangepaste route hebben waarvan het doel-IP-adres is opgegeven. Deze route definieert eenvoudig het pad naar internet, om het meest algemene (0.0.0.0/0) doel-IP-bereik dat is opgegeven van internet via RDP met de standaardpoort 3389 te voorkomen. Algemene toegang van internet tot een specifiek IP-bereik moet worden beperkt.

Ernst: Hoog

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de sleutelondertekeningssleutel in DNSSEC voor de cloud

Beschrijving: DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. DnsSEC-algoritmenummers (Domain Name System Security Extensions) in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. Wanneer u DNSSEC inschakelt voor een beheerde zone of een beheerde zone maakt met DNSSEC, kan de gebruiker de algoritmen voor DNSSEC-ondertekening en het denial-of-existence-type selecteren. Het wijzigen van de DNSSEC-instellingen is alleen van kracht voor een beheerde zone als DNSSEC nog niet is ingeschakeld. Als u de instellingen voor een beheerde zone wilt wijzigen waarvoor deze is ingeschakeld, schakelt u DNSSEC uit en schakelt u deze vervolgens opnieuw in met verschillende instellingen.

Ernst: gemiddeld

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de zone-ondertekeningssleutel in DNSSEC voor de cloud

Beschrijving: DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. Wanneer u DNSSEC inschakelt voor een beheerde zone of een beheerde zone maakt met DNSSEC, kunnen de algoritmen voor DNSSEC-ondertekening en het denial-of-existence-type worden geselecteerd. Het wijzigen van de DNSSEC-instellingen is alleen van kracht voor een beheerde zone als DNSSEC nog niet is ingeschakeld. Als de noodzaak bestaat om de instellingen voor een beheerde zone te wijzigen waarvoor deze is ingeschakeld, schakelt u DNSSEC uit en schakelt u deze vervolgens opnieuw in met verschillende instellingen.

Ernst: gemiddeld

Controleren of SSH-toegang is afgescheiden van het internet

Beschrijving: GCP-firewallregels zijn specifiek voor een VPC-netwerk. Met elke regel wordt verkeer toegestaan of geweigerd wanneer aan de voorwaarden wordt voldaan. Met de voorwaarden kan de gebruiker het type verkeer opgeven, zoals poorten en protocollen, en de bron of bestemming van het verkeer, inclusief IP-adressen, subnetten en exemplaren. Firewallregels worden gedefinieerd op het niveau van het VPC-netwerk en zijn specifiek voor het netwerk waarin ze worden gedefinieerd. De regels zelf kunnen niet worden gedeeld tussen netwerken. Firewallregels ondersteunen alleen IPv4-verkeer. Wanneer u een bron opgeeft voor een regel voor inkomend verkeer of een bestemming voor een uitgaande regel per adres, kan alleen een IPv4-adres of IPv4-blok in CIDR-notatie worden gebruikt. Algemeen (0.0.0.0/0) binnenkomend verkeer van internet naar VPC of VM-exemplaar met behulp van SSH op poort 22 kan worden vermeden. GCP-firewallregels binnen een VPC-netwerk zijn van toepassing op uitgaand (uitgaand) verkeer van exemplaren en binnenkomend (inkomend) verkeer naar exemplaren in het netwerk. Uitgaand verkeer en inkomend verkeer worden beheerd, zelfs als het verkeer binnen het netwerk blijft (bijvoorbeeld communicatie tussen exemplaren). Voor een exemplaar dat uitgaande internettoegang heeft, moet het netwerk een geldige internetgatewayroute of aangepaste route hebben waarvan het doel-IP-adres is opgegeven. Deze route definieert gewoon het pad naar internet, om het meest algemene (0.0.0.0/0) doel-IP-bereik dat is opgegeven van internet via SSH te vermijden met de standaardpoort '22'. Algemene toegang van internet tot een specifiek IP-bereik moet worden beperkt.

Ernst: Hoog

Zorg ervoor dat het standaardnetwerk niet bestaat in een project

Beschrijving: Om het gebruik van het standaardnetwerk te voorkomen, mag een project geen standaardnetwerk hebben. Het standaardnetwerk heeft een vooraf geconfigureerde netwerkconfiguratie en genereert automatisch de volgende onveilige firewallregels:

standaard toestaan intern: hiermee staat u toegangsbeheerobjectverbindingen toe voor alle protocollen en poorten tussen instanties in het netwerk.
standaard-allow-ssh: hiermee staat u toegangsbeheerobjectverbindingen toe op TCP-poort 22(SSH) van elke bron naar elk exemplaar in het netwerk.
default-allow-rdp: hiermee staat u toegangsbeheerobjectverbindingen toe op TCP-poort 3389 (RDP) van elke bron naar elk exemplaar in het netwerk.
default-allow-icmp: hiermee staat u inkomend ICMP-verkeer van elke bron naar elk exemplaar in het netwerk toe.

Deze automatisch gemaakte firewallregels worden niet geregistreerd en kunnen niet worden geconfigureerd om logboekregistratie van firewallregels in te schakelen. Bovendien is het standaardnetwerk een netwerk in de automatische modus, wat betekent dat de subnetten hetzelfde vooraf gedefinieerde bereik van IP-adressen gebruiken. Als gevolg hiervan is het niet mogelijk cloud-VPN of VPC-netwerkpeering met het standaardnetwerk te gebruiken. Op basis van de beveiligings- en netwerkvereisten van de organisatie moet de organisatie een nieuw netwerk maken en het standaardnetwerk verwijderen.

Ernst: gemiddeld

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in het VPC-netwerk

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in het VPC-netwerk (Virtual Private Cloud). Het is mogelijk om meer dan één VPC binnen een project te hebben. Daarnaast is het ook mogelijk om een peerverbinding te maken tussen twee VPN's, waardoor netwerkverkeer tussen VPN's kan worden gerouteerd. Als u wijzigingen in een VPC bewaakt, zorgt u ervoor dat de VPC-verkeersstroom niet wordt beïnvloed.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkfirewallregel

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor het wijzigen van de netwerkfirewallregel virtual private cloud (VPC). Bewaking voor gebeurtenissen voor het maken of bijwerken van firewallregels geeft inzicht in wijzigingen in de netwerktoegang en vermindert mogelijk de tijd die nodig is om verdachte activiteiten te detecteren.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkroute

Beschrijving: Het wordt aanbevolen om een metriek filter en alarm tot stand te brengen voor virtuele privécloud (VPC) netwerkroutewijzigingen. GCP-routes (Google Cloud Platform) definiëren de paden die het netwerkverkeer van een VM-exemplaar naar een andere bestemming neemt. De andere bestemming kan zich binnen het VPC-netwerk van de organisatie bevinden (zoals een andere VM) of buiten het netwerk. Elke route bestaat uit een bestemming en een volgende hop. Verkeer waarvan het doel-IP zich binnen het doelbereik bevindt, wordt verzonden naar de volgende hop voor levering. Door wijzigingen in routetabellen te bewaken, zorgt u ervoor dat al het VPC-verkeer via een verwacht pad loopt.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_connections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de instelling log_connections inschakelt, wordt elke poging tot verbinding met de server geregistreerd, samen met geslaagde voltooiing van clientverificatie. Deze parameter kan niet worden gewijzigd nadat de sessie is gestart. PostgreSQL meldt niet standaard geprobeerde verbindingen vast te leggen. Als u de log_connections-instelling inschakelt, worden logboekvermeldingen gemaakt voor elke geprobeerde verbinding, evenals geslaagde voltooiing van clientverificatie. Dit kan handig zijn bij het oplossen van problemen en om ongebruikelijke verbindingspogingen met de server te bepalen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_disconnections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: als u de log_disconnections instelling inschakelt, wordt het einde van elke sessie geregistreerd, inclusief de sessieduur. PostgreSQL logt geen sessiedetails zoals duur en sessieeinde standaard. Als u de instelling log_disconnections inschakelt, worden logboekvermeldingen aan het einde van elke sessie gemaakt. Dit kan handig zijn bij het oplossen van problemen en het bepalen van ongebruikelijke activiteiten gedurende een bepaalde periode. De log_disconnections en log_connections werken hand in hand en over het algemeen zou het paar samen worden ingeschakeld/uitgeschakeld. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat VPC-stroomlogboeken zijn ingeschakeld voor elk subnet in een VPC-netwerk

Beschrijving: Stroomlogboeken is een functie waarmee gebruikers informatie kunnen vastleggen over het IP-verkeer dat naar en van netwerkinterfaces in de VPC-subnetten van de organisatie gaat. Zodra een stroomlogboek is gemaakt, kan de gebruiker de gegevens bekijken en ophalen in Stackdriver-logboekregistratie. Het wordt aanbevolen om Stroomlogboeken in te schakelen voor elk bedrijfskritiek VPC-subnet. VPC-netwerken en subnetten bieden logisch geïsoleerde en beveiligde netwerkpartities waar GCP-resources kunnen worden gestart. Wanneer stroomlogboeken zijn ingeschakeld voor een subnet, beginnen VM's binnen dat subnet met rapportage over alle UDP-stromen (Transmission Control Protocol) en User Datagram Protocol (UDP). Elke VM steekt de TCP- en UDP-stromen uit, die binnenkomend en uitgaand zijn, ongeacht of de stroom afkomstig is van of naar een andere VM, een host in het on-premises datacenter, een Google-service of een host op internet. Als twee GCP-VM's communiceren en beide zich in subnetten bevinden waarvoor VPC-stroomlogboeken zijn ingeschakeld, rapporteren beide VM's de stromen. Flow Logs ondersteunt de volgende use cases: 1. Netwerkbewaking. 2. Inzicht in netwerkgebruik en het optimaliseren van netwerkverkeerskosten. 3. Forensisch netwerk. 4. Stroomlogboeken voor realtime beveiligingsanalyse bieden inzicht in netwerkverkeer voor elke VIRTUELE machine in het subnet en kunnen worden gebruikt om afwijkend verkeer of inzicht te detecteren tijdens beveiligingswerkstromen.

Ernst: Laag

Logboekregistratie van firewallregels moet zijn ingeschakeld

Beschrijving: Met deze aanbeveling wordt de eigenschap logConfig geëvalueerd in metagegevens van de firewall om te zien of deze leeg is of het sleutel-waardepaar 'inschakelen' bevat: false.

Ernst: gemiddeld

Firewall mag niet zijn geconfigureerd om open te zijn voor openbare toegang

Beschrijving: Deze aanbeveling evalueert de sourceRanges en toegestane eigenschappen voor een van de twee configuraties:

De eigenschap sourceRanges bevat 0.0.0.0/0 en de toegestane eigenschap bevat een combinatie van regels die elk protocol of protocol:poort bevatten, met uitzondering van het volgende:

Icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

De eigenschap sourceRanges bevat een combinatie van IP-bereiken met een niet-private IP-adres en de toegestane eigenschap bevat een combinatie van regels waarmee alle TCP-poorten of alle UDP-poorten zijn toegestaan.

Ernst: Hoog

Firewall mag niet worden geconfigureerd voor een open CASSANDRA-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open CISCOSECURE_WEBSM poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP: 9090.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open DIRECTORY_SERVICES poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 445 en UDP: 445.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open DNS-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 53 en UDP: 53.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open ELASTICSEARCH-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 9200, 9300.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open FTP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP: 21.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open HTTP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 80.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open LDAP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 389, 636 en UDP: 389.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een geopende MEMCACHED-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 11211, 11214-11215 en UDP: 11211, 11214-11215.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open MONGODB-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 27017-27019.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open MYSQL-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP: 3306.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open NETBIOS-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 137-139 en UDP: 137-139.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open ORACLEDB-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 1521, 2483-2484 en UDP: 2483-2484.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open POP3-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP: 110.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open PostgreSQL-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP: 5432 en UDP: 5432.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open REDIS-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert of de toegestane eigenschap in de metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP: 6379.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een geopende SMTP-poort die algemene toegang toestaat

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de toegestane eigenschap in de metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP: 25.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open SSH-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert of de toegestane eigenschap in de metagegevens van de firewall de volgende protocollen en poorten bevat: TCP: 22 en SCTP: 22.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open TELNET-poort die algemene toegang toestaat

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de toegestane eigenschap in de metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP: 23.

Ernst: Laag

Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.

Ernst: Laag

GKE-clusters moeten privéclusters hebben ingeschakeld

Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.

Ernst: Hoog

Netwerkbeleid moet zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.

Ernst: gemiddeld

Delen via

Aanbevelingen voor netwerkbeveiliging

Aanbevelingen voor Azure-netwerken

Toegang tot opslagaccounts met configuraties voor firewalls en virtuele netwerken moet worden beperkt

Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht

Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine

Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld

Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen

Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld

Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen

Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer

Beheerpoorten moeten gesloten zijn op uw virtuele machines

Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen

Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld

(Inschakelen indien nodig) Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep

Virtuele netwerken moeten worden beveiligd door Azure Firewall

Aanbevelingen voor AWS-netwerken

Amazon EC2 moet worden geconfigureerd voor het gebruik van VPC-eindpunten

Amazon ECS-services mogen geen openbare IP-adressen automatisch aan hen toewijzen

Hoofdknooppunten van amazon EMR-cluster mogen geen openbare IP-adressen hebben

Amazon Redshift-clusters moeten gebruikmaken van verbeterde VPC-routering

Application Load Balancer moet worden geconfigureerd om alle HTTP-aanvragen om te leiden naar HTTPS

Load balancers van toepassingen moeten worden geconfigureerd om HTTP-headers te verwijderen

Lambda-functies configureren voor een VPC

EC2-exemplaren mogen geen openbaar IP-adres hebben

EC2-exemplaren mogen niet meerdere ENI's gebruiken

EC2-exemplaren moeten IMDSv2 gebruiken

EC2-subnetten mogen niet automatisch openbare IP-adressen toewijzen

Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor configuratiewijzigingen in AWS-configuratie

Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor verificatiefouten in de AWS Management Console

Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor wijzigingen in Netwerktoegangsbeheerlijsten (NACL)

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor wijzigingen in netwerkgateways

Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor cloudTrail-configuratiewijzigingen

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor het uitschakelen of gepland verwijderen van door de klant gemaakte CMK's

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het IAM-beleid

Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor aanmelding bij de Beheerconsole zonder MFA

Zorg ervoor dat er een filter voor metrische logboekgegevens en waarschuwingen bestaan voor wijzigingen in de routetabel

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het S3-bucketbeleid

Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in de beveiligingsgroep

Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor niet-geautoriseerde API-aanroepen

Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor het gebruik van 'root'-account

Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor VPC-wijzigingen

Zorg ervoor dat geen beveiligingsgroepen inkomend verkeer van 0.0.0.0/0 naar poort 3389 toestaan

RDS-databases en -clusters mogen geen standaardpoort voor de database-engine gebruiken

RDS-exemplaren moeten worden geïmplementeerd in een VPC

S3-buckets moeten aanvragen vereisen voor het gebruik van Secure Socket Layer

Beveiligingsgroepen mogen inkomend verkeer van 0.0.0.0/0 naar poort 22 niet toestaan

Beveiligingsgroepen mogen geen onbeperkte toegang tot poorten met een hoog risico toestaan

Beveiligingsgroepen mogen alleen onbeperkt binnenkomend verkeer toestaan voor geautoriseerde poorten

Ongebruikte EC2-EOPS moeten worden verwijderd

Ongebruikte lijsten voor netwerktoegangsbeheer moeten worden verwijderd

De standaardbeveiligingsgroep van VPC moet al het verkeer beperken

Aanbevelingen voor GCP-netwerken

Clusterhosts moeten worden geconfigureerd om alleen privé-IP-adressen te gebruiken voor toegang tot Google-API's

Rekeninstanties moeten een load balancer gebruiken die is geconfigureerd voor het gebruik van een HTTPS-doelproxy

Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters

Regel voor uitgaand weigeren moet worden ingesteld op een firewall om ongewenst uitgaand verkeer te blokkeren

Zorg ervoor dat firewallregels voor exemplaren achter IAP (Identity Aware Proxy) alleen het verkeer van De statuscontrole en proxyadressen van Google Cloud Loadbalancer (GCLB) toestaan

Controleren of verouderde netwerken niet bestaan voor een project

Zorg ervoor dat de databasevlag 'log_hostname' voor het Cloud SQL PostgreSQL-exemplaar juist is ingesteld

Zorg ervoor dat geen load balancers voor HTTPS- of SSL-proxy's SSL-beleid met zwakke coderingssuites toestaan

Zorg ervoor dat cloud-DNS-logboekregistratie is ingeschakeld voor alle VPC-netwerken

Zorg ervoor dat DNSSEC is ingeschakeld voor Cloud DNS

Zorg ervoor dat RDP-toegang is beperkt vanaf internet

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de sleutelondertekeningssleutel in DNSSEC voor de cloud

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de zone-ondertekeningssleutel in DNSSEC voor de cloud

Controleren of SSH-toegang is afgescheiden van het internet

Zorg ervoor dat het standaardnetwerk niet bestaat in een project

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in het VPC-netwerk

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkfirewallregel

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkroute

Zorg ervoor dat de databasevlag 'log_connections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Zorg ervoor dat de databasevlag 'log_disconnections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Zorg ervoor dat VPC-stroomlogboeken zijn ingeschakeld voor elk subnet in een VPC-netwerk

Logboekregistratie van firewallregels moet zijn ingeschakeld

Firewall mag niet zijn geconfigureerd om open te zijn voor openbare toegang

Firewall mag niet worden geconfigureerd voor een open CASSANDRA-poort die algemene toegang toestaat

Firewall mag niet worden geconfigureerd voor een open CISCOSECURE_WEBSM poort die algemene toegang toestaat

Firewall mag niet worden geconfigureerd voor een open DIRECTORY_SERVICES poort die algemene toegang toestaat

Firewall mag niet zijn geconfigureerd voor een open DNS-poort die algemene toegang toestaat