Zalecenia dotyczące zabezpieczeń tożsamości i dostępu

Artykuł
12/04/2024

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń tożsamości i dostępu, które można zobaczyć w Microsoft Defender dla Chmury.

Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.

Napiwek

Jeśli opis rekomendacji zawiera wartość Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innej rekomendacji.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy jest zainstalowane rozwiązanie ochrony punktu końcowego (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

Zalecenia dotyczące tożsamości i dostępu na platformie Azure

Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli

Opis: Aby zmniejszyć ryzyko naruszenia zabezpieczeń przez naruszone konta właściciela, zalecamy ograniczenie liczby kont właścicieli do maksymalnie 3 (powiązane zasady: dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli).

Ważność: Wysoka

Konta usługi Azure Cosmos DB powinny używać usługi Azure Active Directory jako jedynej metody uwierzytelniania

Opis: Najlepszym sposobem uwierzytelniania w usługach platformy Azure jest użycie kontroli dostępu opartej na rolach (RBAC). Kontrola dostępu oparta na rolach umożliwia utrzymanie minimalnej zasady uprawnień i obsługuje możliwość odwołowywania uprawnień jako efektywnej metody reagowania w przypadku naruszenia zabezpieczeń. Konto usługi Azure Cosmos DB można skonfigurować tak, aby wymuszało kontrolę dostępu opartą na rolach jako jedyną metodę uwierzytelniania. Po skonfigurowaniu wymuszania wszystkie inne metody dostępu zostaną odrzucone (klucze podstawowe/pomocnicze i tokeny dostępu). (Brak powiązanych zasad)

Ważność: średni rozmiar

Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte

Opis: Konta, które zostały zablokowane przed zalogowaniem się w usłudze Active Directory, powinny zostać usunięte z zasobów platformy Azure. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Brak powiązanych zasad)

Ważność: Wysoka

Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte

Ważność: Wysoka

Przestarzałe konta powinny zostać usunięte z subskrypcji

Opis: Konta użytkowników, które zostały zablokowane podczas logowania, powinny zostać usunięte z subskrypcji. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Powiązane zasady: Przestarzałe konta powinny zostać usunięte z subskrypcji.

Ważność: Wysoka

Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Ważność: Wysoka

Dzienniki diagnostyczne w usłudze Key Vault powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Key Vault powinny być włączone).

Ważność: Niska

Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Opis: Konta z uprawnieniami właściciela, które mają różne nazwy domen (konta zewnętrzne), powinny zostać usunięte z subskrypcji. Zapobiega to niemonitorowanemu dostępowi. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Powiązane zasady: Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji.

Ważność: Wysoka

Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji

Opis: Konta z uprawnieniami do odczytu, które mają różne nazwy domen (konta zewnętrzne), powinny zostać usunięte z subskrypcji. Zapobiega to niemonitorowanemu dostępowi. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Powiązane zasady: Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji.

Ważność: Wysoka

Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji

Opis: Konta z uprawnieniami do zapisu, które mają różne nazwy domen (konta zewnętrzne), powinny zostać usunięte z subskrypcji. Zapobiega to niemonitorowanemu dostępowi. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Powiązane zasady: Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji).

Ważność: Wysoka

Zapora powinna być włączona w usłudze Key Vault

Opis: Zapora magazynu kluczy uniemożliwia nieautoryzowany ruch z dotarciem do magazynu kluczy i zapewnia dodatkową warstwę ochrony dla wpisów tajnych. Włącz zaporę, aby upewnić się, że tylko ruch z dozwolonych sieci może uzyskiwać dostęp do magazynu kluczy. (Powiązane zasady: Zapora powinna być włączona w usłudze Key Vault).

Ważność: średni rozmiar

Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć

Opis: Konta z uprawnieniami właściciela, które zostały aprowidowane poza dzierżawą usługi Azure Active Directory (różne nazwy domen), powinny zostać usunięte z zasobów platformy Azure. Konta gościa nie są zarządzane zgodnie z tymi samymi standardami co tożsamości dzierżawy przedsiębiorstwa. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Brak powiązanych zasad)

Ważność: Wysoka

Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte

Opis: Konta z uprawnieniami do odczytu, które zostały aprowidowane poza dzierżawą usługi Azure Active Directory (różne nazwy domen), powinny zostać usunięte z zasobów platformy Azure. Konta gościa nie są zarządzane zgodnie z tymi samymi standardami co tożsamości dzierżawy przedsiębiorstwa. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Brak powiązanych zasad)

Ważność: Wysoka

Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte

Opis: Konta z uprawnieniami do zapisu, które zostały aprowidowane poza dzierżawą usługi Azure Active Directory (różne nazwy domen), powinny zostać usunięte z zasobów platformy Azure. Konta gościa nie są zarządzane zgodnie z tymi samymi standardami co tożsamości dzierżawy przedsiębiorstwa. Te konta mogą być obiektami docelowymi dla osób atakujących, którzy chcą znaleźć sposoby uzyskiwania dostępu do danych bez zauważenia. (Brak powiązanych zasad)

Ważność: Wysoka

Klucze usługi Key Vault powinny mieć datę wygaśnięcia

Opis: Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. (Powiązane zasady: Klucze usługi Key Vault powinny mieć datę wygaśnięcia).

Ważność: Wysoka

Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia

Opis: Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecaną praktyką zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. (Powiązane zasady: Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia).

Ważność: Wysoka

Magazyny kluczy powinny mieć włączoną ochronę przed przeczyszczeniem

Opis: Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usuwać i czyścić magazyny kluczy. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. (Powiązane zasady: Magazyny kluczy powinny mieć włączoną ochronę przed przeczyszczeniem).

Ważność: średni rozmiar

Magazyny kluczy powinny mieć włączone usuwanie nietrwałe

Opis: Usuwanie magazynu kluczy bez włączenia usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. (Powiązane zasady: Magazyny kluczy powinny mieć włączone usuwanie nietrwałe).

Ważność: Wysoka

Usługa Microsoft Defender dla usługi Key Vault powinna być włączona

Opis: Microsoft Defender dla Chmury zawiera usługę Microsoft Defender for Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń. Usługa Microsoft Defender for Key Vault wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont usługi Key Vault lub wykorzystania ich.

Opłaty za ochronę z tego planu są naliczane, jak pokazano na stronie planów usługi Defender. Jeśli nie masz żadnych magazynów kluczy w tej subskrypcji, nie zostaną naliczone opłaty. Jeśli później utworzysz magazyny kluczy w tej subskrypcji, zostaną one automatycznie chronione i rozpocznie się naliczanie opłat. Dowiedz się więcej o szczegółach cennika na region. Dowiedz się więcej w temacie Introduction to Microsoft Defender for Key Vault (Wprowadzenie do usługi Microsoft Defender dla usługi Key Vault). (Powiązane zasady: Usługa Azure Defender dla usługi Key Vault powinna być włączona).

Ważność: Wysoka

Uprawnienia nieaktywnych tożsamości w ramach subskrypcji platformy Azure powinny zostać odwołane

Opis: Microsoft Defender dla Chmury wykryła tożsamość, która nie wykonała żadnej akcji dla żadnego zasobu w ramach subskrypcji platformy Azure w ciągu ostatnich 45 dni. Zaleca się odwołanie uprawnień nieaktywnych tożsamości w celu zmniejszenia obszaru ataków środowiska chmury.

Ważność: średni rozmiar

Prywatny punkt końcowy należy skonfigurować dla usługi Key Vault

Opis: Link prywatny umożliwia połączenie usługi Key Vault z zasobami platformy Azure bez wysyłania ruchu przez publiczny Internet. Usługa Private Link zapewnia ochronę w głębi systemu ochrony przed eksfiltracją danych. (Powiązane zasady: Prywatny punkt końcowy należy skonfigurować dla usługi Key Vault).

Ważność: średni rozmiar

Dostęp publiczny do konta magazynu powinien być niedozwolony

Opis: Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. (Powiązane zasady: Dostęp publiczny do konta magazynu powinien być niedozwolony.

Ważność: średni rozmiar

Do subskrypcji powinno być przypisanych więcej niż jeden właściciel

Opis: wyznaczyć więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. (Powiązane zasady: Do subskrypcji powinien być przypisany więcej niż jeden właściciel.

Ważność: Wysoka

Okres ważności certyfikatów przechowywanych w usłudze Azure Key Vault nie powinien przekraczać 12 miesięcy

Opis: Upewnij się, że certyfikaty nie mają okresu ważności przekraczającego 12 miesięcy. (Powiązane zasady: Certyfikaty powinny mieć określony maksymalny okres ważności).

Ważność: średni rozmiar

Tożsamości z nadmierną aprowizą platformy Azure powinny mieć tylko niezbędne uprawnienia (wersja zapoznawcza)

Opis: Tożsamości z nadmierną aprowizą lub w przypadku tożsamości z uprawnieniami nie używają wielu z ich przyznanych uprawnień. Regularnie odpowiednie uprawnienia do tych tożsamości w celu zmniejszenia ryzyka nieprawidłowego użycia uprawnień, przypadkowego lub złośliwego. Ta akcja zmniejsza potencjalny promień wybuchu podczas zdarzenia bezpieczeństwa.

Ważność: średni rozmiar

Role uprzywilejowane nie powinny mieć stałego dostępu na poziomie subskrypcji i grupy zasobów

Opis: Microsoft Defender dla Chmury wykryła tożsamość, która nie wykonała żadnej akcji dla żadnego zasobu w ramach subskrypcji platformy Azure w ciągu ostatnich 45 dni. Zaleca się odwołanie uprawnień nieaktywnych tożsamości w celu zmniejszenia obszaru ataków środowiska chmury.

Ważność: Wysoka

Jednostki usługi nie powinny być przypisywane z rolami administracyjnymi na poziomie subskrypcji i grupy zasobów

Opis: Defender dla Chmury zidentyfikowane jednostki usługi przypisane z rolami uprzywilejowanymi na poziomie grupy zasobów lub subskrypcji. Role administratora uprzywilejowanego to role, które mogą wykonywać poufne operacje na zasobie, takie jak Właściciel, Współautor lub Administrator dostępu użytkowników. Jednostki usług odgrywają kluczową rolę w zarządzaniu zasobami platformy Azure wydajnie i bezpiecznie, eliminując potrzebę interwencji człowieka. Ważne jest, aby przestrzegać zasady najniższych uprawnień, przyznać tylko minimalny poziom dostępu niezbędny dla danej jednostki usługi do wykonywania swoich obowiązków. Administratorzy i uprzywilejowany dostęp są głównym celem hakerów. Aby uzyskać najlepsze rozwiązania dotyczące używania przypisań ról administratora uprzywilejowanego, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure. Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure. Aby uzyskać listę dostępnych ról w kontroli dostępu opartej na rolach platformy Azure, zobacz Role wbudowane platformy Azure.

Ważność: Wysoka

Zalecenia dotyczące tożsamości i dostępu platformy AWS

Domeny usługi Amazon Elasticsearch powinny znajdować się w VPC

Opis: VPC nie może zawierać domen z publicznym punktem końcowym. Nie ocenia to konfiguracji routingu podsieci VPC w celu określenia dostępności publicznej.

Ważność: Wysoka

Uprawnienia usługi Amazon S3 przyznane innym kontom platformy AWS w zasadach zasobników powinny być ograniczone

Opis: Implementacja dostępu do najniższych uprawnień ma zasadnicze znaczenie dla zmniejszenia ryzyka zabezpieczeń i wpływu błędów lub złośliwych intencji. Jeśli zasady zasobnika S3 zezwalają na dostęp z kont zewnętrznych, może to spowodować eksfiltrację danych przez zagrożenie wewnętrzne lub osobę atakującą. Parametr "blacklistedactionpatterns" umożliwia pomyślną ocenę reguły dla zasobników S3. Parametr udziela dostępu do kont zewnętrznych dla wzorców akcji, które nie są uwzględnione na liście "blacklistedactionpatterns".

Ważność: Wysoka

Unikaj korzystania z konta "root"

Opis: Konto "root" ma nieograniczony dostęp do wszystkich zasobów na koncie platformy AWS. Zdecydowanie zaleca się unikanie korzystania z tego konta. Konto "root" to najbardziej uprzywilejowane konto platformy AWS. Minimalizacja użycia tego konta i przyjęcie zasady najniższych uprawnień do zarządzania dostępem zmniejszy ryzyko przypadkowych zmian i niezamierzonego ujawnienia wysoce uprzywilejowanych poświadczeń.

Ważność: Wysoka

Klucze usługi KMS platformy AWS nie powinny być przypadkowo usuwane

Opis: Ta kontrolka sprawdza, czy klucze usługi KMS są zaplanowane do usunięcia. Kontrolka kończy się niepowodzeniem, jeśli klucz usługi KMS ma zostać usunięty. Nie można odzyskać kluczy usługi KMS po usunięciu. Dane zaszyfrowane za pomocą klucza usługi KMS również są trwale nieodwracalne, jeśli klucz usługi KMS zostanie usunięty. Jeśli istotne dane zostały zaszyfrowane w kluczu usługi KMS zaplanowanym do usunięcia, rozważ odszyfrowywanie danych lub ponowne szyfrowanie danych w ramach nowego klucza usługi KMS, chyba że celowo wykonasz wymazywanie kryptograficzne. Jeśli klucz usługi KMS jest zaplanowany do usunięcia, wymuszany jest obowiązkowy okres oczekiwania, aby umożliwić czas na odwrócenie usunięcia, jeśli został on zaplanowany w błędzie. Domyślny okres oczekiwania wynosi 30 dni, ale można go zmniejszyć do tak krótkiego, jak siedem dni, gdy klucz usługi KMS jest zaplanowany na usunięcie. W okresie oczekiwania można anulować zaplanowane usunięcie, a klucz usługi KMS nie zostanie usunięty. Aby uzyskać więcej informacji na temat usuwania kluczy usługi KMS, zobacz Usuwanie kluczy usługi KMS w przewodniku dewelopera usługi AWS usługa zarządzania kluczami.

Ważność: Wysoka

Tożsamości z nadmierną aprowizowaną usługą AWS powinny mieć tylko niezbędne uprawnienia (wersja zapoznawcza)

Opis: Zaaprowizowana aktywna tożsamość to tożsamość, która ma dostęp do uprawnień, które nie zostały użyte. Zaaprowizowane aktywne tożsamości, zwłaszcza w przypadku kont innych niż ludzkie, które mają zdefiniowane akcje i obowiązki, mogą zwiększyć promień wybuchu w przypadku naruszenia bezpieczeństwa użytkownika, klucza lub zasobu. Usuń niepotrzebne uprawnienia i ustanów procesy przeglądu, aby uzyskać najmniej uprzywilejowane uprawnienia.

Ważność: średni rozmiar

Należy włączyć klasyczne globalne rejestrowanie listy ACL internetowej zapory aplikacji internetowej platformy AWS

Opis: Ta kontrolka sprawdza, czy rejestrowanie jest włączone dla globalnej listy ACL internetowej zapory aplikacji internetowej platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli rejestrowanie nie jest włączone dla listy ACL sieci Web. Rejestrowanie jest ważną częścią utrzymania niezawodności, dostępności i wydajności zapory aplikacji internetowej AWS globalnie. Jest to wymaganie biznesowe i zgodności w wielu organizacjach i umożliwia rozwiązywanie problemów z zachowaniem aplikacji. Zawiera również szczegółowe informacje o ruchu analizowanym przez internetową listę ACL dołączoną do zapory aplikacji internetowej platformy AWS.

Ważność: średni rozmiar

Dystrybucje CloudFront powinny mieć skonfigurowany domyślny obiekt główny

Opis: Ta kontrolka sprawdza, czy dystrybucja amazon CloudFront jest skonfigurowana do zwracania określonego obiektu, który jest domyślnym obiektem głównym. Kontrolka kończy się niepowodzeniem, jeśli dystrybucja CloudFront nie ma skonfigurowanego domyślnego obiektu głównego. Użytkownik może czasami żądać głównego adresu URL dystrybucji zamiast obiektu w dystrybucji. W takim przypadku określenie domyślnego obiektu głównego może pomóc uniknąć uwidaczniania zawartości dystrybucji sieci Web.

Ważność: Wysoka

Dystrybucje CloudFront powinny mieć włączoną tożsamość dostępu do źródła

Opis: Ta kontrolka sprawdza, czy skonfigurowano dystrybucję usługi Amazon CloudFront z typem źródła Amazon S3. Kontrolka kończy się niepowodzeniem, jeśli nie skonfigurowano interfejsu OAI. Rozwiązanie CloudFront OAI uniemożliwia użytkownikom bezpośredni dostęp do zawartości zasobnika S3. Gdy użytkownicy uzyskują bezpośredni dostęp do zasobnika S3, skutecznie pomijają dystrybucję CloudFront i wszelkie uprawnienia stosowane do bazowej zawartości zasobnika S3.

Ważność: średni rozmiar

Walidacja pliku dziennika CloudTrail powinna być włączona

Opis: Aby zapewnić dodatkowe sprawdzanie integralności dzienników cloudTrail, zalecamy włączenie walidacji plików we wszystkich cloudTrails.

Ważność: Niska

Należy włączyć usługę CloudTrail

Opis: AWS CloudTrail to usługa internetowa, która rejestruje wywołania interfejsu API platformy AWS dla twojego konta i dostarcza pliki dziennika. Nie wszystkie usługi domyślnie włączają rejestrowanie dla wszystkich interfejsów API i zdarzeń. Należy zaimplementować wszelkie dodatkowe ścieżki inspekcji inne niż CloudTrail i przejrzeć dokumentację każdej usługi w usługach CloudTrail Supported Services i Integrations.

Ważność: Wysoka

Szlaki cloudTrail powinny być zintegrowane z dziennikami usługi CloudWatch

Opis: Oprócz przechwytywania dzienników CloudTrail w określonym zasobniku S3 na potrzeby długoterminowej analizy można przeprowadzić analizę w czasie rzeczywistym, konfigurując usługę CloudTrail w celu wysyłania dzienników do dzienników usługi CloudWatch. W przypadku ścieżki włączonej we wszystkich regionach na koncie usługa CloudTrail wysyła pliki dziennika ze wszystkich tych regionów do grupy dzienników dzienników usługi CloudWatch. Zalecamy, aby dzienniki CloudTrail były wysyłane do dzienników usługi CloudWatch, aby upewnić się, że aktywność konta platformy AWS jest przechwytywana, monitorowana i odpowiednio zaniepokojona. Wysyłanie dzienników usługi CloudTrail do dzienników usługi CloudWatch ułatwia rejestrowanie aktywności w czasie rzeczywistym i historyczne na podstawie użytkownika, interfejsu API, zasobu i adresu IP oraz umożliwia ustanawianie alarmów i powiadomień dotyczących nietypowych lub poufności aktywności konta.

Ważność: Niska

Rejestrowanie bazy danych powinno być włączone

Opis: Ta kontrolka sprawdza, czy następujące dzienniki usługi Amazon RDS są włączone i wysyłane do dzienników usługi CloudWatch:

Oracle: (alert, inspekcja, śledzenie, odbiornik)
PostgreSQL: (Postgresql, uaktualnianie)
MySQL: (Audit, Error, General, SlowQuery)
MariaDB: (Audit, Error, General, SlowQuery)
SQL Server: (błąd, agent)
Aurora: (Audit, Error, General, SlowQuery)
Aurora-MySQL: (Audit, Error, General, SlowQuery)
Aurora-PostgreSQL: (Postgresql, Upgrade). Bazy danych usług pulpitu zdalnego powinny mieć włączone odpowiednie dzienniki. Rejestrowanie bazy danych zawiera szczegółowe rekordy żądań wysyłanych do usług pulpitu zdalnego. Dzienniki bazy danych mogą pomóc w inspekcji zabezpieczeń i dostępu oraz mogą pomóc w diagnozowaniu problemów z dostępnością.

Ważność: średni rozmiar

Wyłączanie bezpośredniego dostępu do Internetu dla wystąpień notesów usługi Amazon Sage Maker

Opis: Bezpośredni dostęp do Internetu powinien być wyłączony dla wystąpienia notesu usługi Sage Maker. Spowoduje to sprawdzenie, czy pole "DirectInternetAccess" jest wyłączone dla wystąpienia notesu. Wystąpienie powinno być skonfigurowane przy użyciu VPC, a ustawienie domyślne powinno być wyłączone — dostęp do Internetu za pośrednictwem VPC. Aby umożliwić dostęp do Internetu do trenowania lub hostowania modeli z notesu, upewnij się, że usługa VPC ma bramę translatora adresów sieciowych, a grupa zabezpieczeń zezwala na połączenia wychodzące. Upewnij się, że dostęp do konfiguracji usługi Sage Maker jest ograniczony tylko do autoryzowanych użytkowników i ogranicza uprawnienia użytkowników do zarządzania dostępem i tożsamościami w celu modyfikowania ustawień i zasobów usługi Sage Maker.

Ważność: Wysoka

Nie należy konfigurować kluczy dostępu podczas początkowej konfiguracji użytkownika dla wszystkich użytkowników usługi IAM, którzy mają hasło konsoli

Opis: Konsola platformy AWS domyślnie określa pole wyboru tworzenia kluczy dostępu do włączenia. Powoduje to niepotrzebne generowanie wielu kluczy dostępu. Oprócz niepotrzebnych poświadczeń generuje również niepotrzebne prace związane z zarządzaniem inspekcją i rotacją tych kluczy. Wymaganie podjęcia przez użytkownika dodatkowych kroków po utworzeniu profilu daje silniejsze wskazanie intencji, że klucze dostępu są [a] niezbędne do pracy i [b] po ustanowieniu klucza dostępu na koncie, w których klucze mogą być używane gdzieś w organizacji.

Ważność: średni rozmiar

Upewnij się, że utworzono rolę pomocy technicznej w celu zarządzania zdarzeniami za pomocą pomocy technicznej platformy AWS

Opis: PLATFORMA AWS udostępnia centrum pomocy technicznej, które może służyć do powiadamiania i reagowania na zdarzenia, a także pomocy technicznej i obsługi klienta. Utwórz rolę zarządzania dostępem i tożsamościami, aby umożliwić autoryzowanym użytkownikom zarządzanie zdarzeniami za pomocą pomocy technicznej platformy AWS. W przypadku implementowania najniższych uprawnień kontroli dostępu rola zarządzania dostępem i tożsamościami wymaga odpowiednich zasad zarządzania dostępem do centrum pomocy technicznej w celu zarządzania zdarzeniami przy użyciu pomocy technicznej platformy AWS.

Ważność: Niska

Upewnij się, że klucze dostępu są obracane co 90 dni lub mniej

Opis: Klucze dostępu składają się z identyfikatora klucza dostępu i klucza dostępu wpisu tajnego, które są używane do podpisywania żądań programowych wysyłanych w usłudze AWS. Użytkownicy platformy AWS potrzebują własnych kluczy dostępu, aby wykonywać wywołania programowe do platformy AWS z interfejsu wiersza polecenia platformy AWS (AWS Cli), narzędzi dla programu Windows PowerShell, zestawów SDK platformy AWS lub bezpośrednich wywołań HTTP przy użyciu interfejsów API dla poszczególnych usług AWS. Zaleca się regularne obracanie wszystkich kluczy dostępu. Rotacja kluczy dostępu zmniejsza okno możliwości użycia klucza dostępu skojarzonego z naruszonym lub zakończonym kontem. Klucze dostępu powinny być obracane w celu zapewnienia, że nie można uzyskać dostępu do danych przy użyciu starego klucza, który mógł zostać utracony, złamany lub skradziony.

Ważność: średni rozmiar

Upewnij się, że konfiguracja platformy AWS jest włączona we wszystkich regionach

Opis: AWS Config to usługa internetowa, która wykonuje zarządzanie konfiguracją obsługiwanych zasobów platformy AWS na koncie i dostarcza pliki dziennika. Zarejestrowane informacje obejmują element konfiguracji (zasób platformy AWS), relacje między elementami konfiguracji (zasobami platformy AWS), wszelkie zmiany konfiguracji między zasobami. Zaleca się włączenie konfiguracji platformy AWS we wszystkich regionach.

Historia elementów konfiguracji platformy AWS przechwycona przez usługę AWS Config umożliwia analizę zabezpieczeń, śledzenie zmian zasobów i inspekcję zgodności.

Ważność: średni rozmiar

Upewnij się, że usługa CloudTrail jest włączona we wszystkich regionach

Opis: AWS CloudTrail to usługa internetowa, która rejestruje wywołania interfejsu API platformy AWS dla twojego konta i dostarcza pliki dziennika. Zarejestrowane informacje obejmują tożsamość obiektu wywołującego interfejs API, czas wywołania interfejsu API, źródłowy adres IP obiektu wywołującego interfejs API, parametry żądania i elementy odpowiedzi zwracane przez usługę AWS. Usługa CloudTrail udostępnia historię wywołań interfejsu API platformy AWS dla konta, w tym wywołań interfejsu API wykonanych za pośrednictwem konsoli zarządzania, zestawów SDK, narzędzi wiersza polecenia i usług AWS wyższego poziomu (takich jak CloudFormation). Historia wywołań interfejsu API platformy AWS utworzona przez usługę CloudTrail umożliwia analizę zabezpieczeń, śledzenie zmian zasobów i inspekcję zgodności. Dodatkowo:

Sprawdzenie, czy istnieje dziennik obejmujący wiele regionów, gwarantuje, że wykryto nieoczekiwane działanie występujące w innych nieużywanych regionach.
Sprawdzenie, czy dziennik obejmujący wiele regionów istnieje, gwarantuje, że opcja "Rejestrowanie usługi globalnej" jest domyślnie włączona w celu przechwycenia rejestrowania zdarzeń generowanych w usługach globalnych platformy AWS.
W przypadku dziennika obejmującego wiele regionów sprawdź, czy zdarzenia zarządzania są skonfigurowane dla wszystkich typów operacji odczytu/zapisu zapewnia rejestrowanie operacji zarządzania wykonywanych na wszystkich zasobach na koncie platformy AWS.

Ważność: Wysoka

Upewnij się, że poświadczenia nieużywane przez 90 dni lub nowsze są wyłączone

Opis: Użytkownicy usługi AWS IAM mogą uzyskiwać dostęp do zasobów platformy AWS przy użyciu różnych typów poświadczeń, takich jak hasła lub klucze dostępu. Zaleca się usunięcie lub dezaktywowanie wszystkich poświadczeń, które zostały nieużywane w ciągu 90 lub większej liczby dni. Wyłączenie lub usunięcie niepotrzebnych poświadczeń zmniejsza okno możliwości użycia poświadczeń skojarzonych z naruszonym lub porzuconym kontem.

Ważność: średni rozmiar

Upewnij się, że zasady haseł IAM wygasają hasła w ciągu 90 dni lub mniej

Opis: Zasady haseł zarządzania dostępem i tożsamościami mogą wymagać rotacji lub wygaśnięcia haseł po określonej liczbie dni. Zaleca się, aby zasady haseł wygasały po upływie 90 dni lub mniej. Zmniejszenie okresu istnienia hasła zwiększa odporność konta na próby logowania siłowego. Ponadto wymaganie regularnych zmian haseł pomaga w następujących scenariuszach:

Hasła mogą być czasami skradzione lub naruszone bez Twojej wiedzy. Może się to zdarzyć za pośrednictwem naruszenia zabezpieczeń systemu, luki w zabezpieczeniach oprogramowania lub zagrożenia wewnętrznego.
Niektóre firmowe i rządowe filtry internetowe lub serwery proxy mają możliwość przechwytywania i rejestrowania ruchu, nawet jeśli jest zaszyfrowany.
Wiele osób używa tego samego hasła w wielu systemach, takich jak służbowa, e-mail i osobista.
Naruszone stacje robocze użytkowników końcowych mogą mieć rejestrator naciśnięć.

Ważność: Niska

Upewnij się, że zasady haseł IAM uniemożliwiają ponowne użycie hasła

Opis: zasady haseł IAM mogą uniemożliwić ponowne użycie danego hasła przez tego samego użytkownika. Zaleca się, aby zasady haseł zapobiegały ponownemu używaniu haseł. Zapobieganie ponownemu używaniu hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: Niska

Upewnij się, że zasady haseł IAM wymagają co najmniej jednej małej litery

Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zaleca się, aby zasady haseł wymagały co najmniej jednej małej litery. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: średni rozmiar

Upewnij się, że zasady haseł IAM wymagają co najmniej jednej liczby

Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zalecane jest, aby zasady haseł wymagały co najmniej jednej liczby. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: średni rozmiar

Upewnij się, że zasady haseł IAM wymagają co najmniej jednego symbolu

Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zalecane jest, aby zasady haseł wymagały co najmniej jednego symbolu. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: średni rozmiar

Upewnij się, że zasady haseł IAM wymagają co najmniej jednej wielkiej litery

Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zaleca się, aby zasady haseł wymagały co najmniej jednej wielkiej litery. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: średni rozmiar

Upewnij się, że zasady haseł IAM wymagają minimalnej długości 14 lub większej

Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło jest co najmniej danej długości. Zalecane jest, aby zasady haseł wymagały minimalnej długości hasła "14". Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.

Ważność: średni rozmiar

Upewnij się, że uwierzytelnianie wieloskładnikowe (MFA) jest włączone dla wszystkich użytkowników usługi IAM, którzy mają hasło konsoli

Opis: Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, a także kodu uwierzytelniania z urządzenia usługi AWS MFA. Zaleca się włączenie uwierzytelniania wieloskładnikowego dla wszystkich kont z hasłem konsoli. Włączenie uwierzytelniania wieloskładnikowego zapewnia zwiększone zabezpieczenia dostępu do konsoli, ponieważ wymaga uwierzytelniania podmiotu zabezpieczeń do posiadania urządzenia, które emituje klucz z uwzględnieniem czasu i ma wiedzę na temat poświadczeń.

Ważność: średni rozmiar

Należy włączyć funkcję GuardDuty

Opis: Aby zapewnić dodatkową ochronę przed włamaniami, funkcja GuardDuty powinna być włączona na koncie i regionie platformy AWS.

GuardDuty może nie być kompletnym rozwiązaniem dla każdego środowiska.

Ważność: średni rozmiar

Sprzętowa usługa MFA powinna być włączona dla konta "głównego"

Opis: konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie. Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła oraz kodu uwierzytelniania z urządzenia usługi AWS MFA. W przypadku poziomu 2 zaleca się ochronę konta głównego przy użyciu sprzętowej uwierzytelniania wieloskładnikowego. Sprzętowa uwierzytelnianie wieloskładnikowe ma mniejszą powierzchnię ataków niż wirtualna uwierzytelnianie wieloskładnikowe. Na przykład sprzętowa uwierzytelnianie wieloskładnikowe nie cierpi na powierzchnię ataku wprowadzoną przez smartfon mobilny, na którym znajduje się wirtualna usługa MFA. Jeśli używasz sprzętu do uwierzytelniania wieloskładnikowego dla wielu, wiele kont może utworzyć problem z zarządzaniem urządzeniami logistycznymi. W takim przypadku rozważ selektywne wdrożenie tego zalecenia poziomu 2 dla najwyższych kont zabezpieczeń. Następnie możesz zastosować zalecenie poziomu 1 do pozostałych kont.

Ważność: Niska

Uwierzytelnianie IAM powinno być skonfigurowane dla klastrów usług pulpitu zdalnego

Opis: Ta kontrolka sprawdza, czy klaster bazy danych usług pulpitu zdalnego ma włączone uwierzytelnianie bazy danych IAM. Uwierzytelnianie bazy danych IAM umożliwia uwierzytelnianie bez hasła w wystąpieniach bazy danych. Uwierzytelnianie używa tokenu uwierzytelniania. Ruch sieciowy do i z bazy danych jest szyfrowany przy użyciu protokołu SSL. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie bazy danych IAM w przewodniku użytkownika amazon Aurora.

Ważność: średni rozmiar

Uwierzytelnianie IAM powinno być skonfigurowane dla wystąpień usług pulpitu zdalnego

Opis: Ta kontrolka sprawdza, czy wystąpienie bazy danych usług pulpitu zdalnego ma włączone uwierzytelnianie bazy danych IAM. Uwierzytelnianie bazy danych IAM umożliwia uwierzytelnianie wystąpień bazy danych przy użyciu tokenu uwierzytelniania zamiast hasła. Ruch sieciowy do i z bazy danych jest szyfrowany przy użyciu protokołu SSL. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie bazy danych IAM w przewodniku użytkownika amazon Aurora.

Ważność: średni rozmiar

Zasady zarządzane przez klienta zarządzania dostępem i tożsamościami nie powinny zezwalać na akcje odszyfrowywania we wszystkich kluczach usługi KMS

Opis: sprawdza, czy domyślna wersja zasad zarządzanych przez klienta IAM zezwala podmiotom zabezpieczeń na używanie akcji odszyfrowywania usługi AWS KMS we wszystkich zasobach. Ta kontrolka używa Zelkova, zautomatyzowanego aparatu rozumowania, aby zweryfikować i ostrzegać o zasadach, które mogą udzielić szerokiego dostępu do wpisów tajnych na kontach platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli akcje "kms: Decrypt" lub "kms: ReEncryptFrom" są dozwolone we wszystkich kluczach usługi KMS. Kontrolka ocenia zarówno dołączone, jak i niezałączone zasady zarządzane przez klienta. Nie sprawdza zasad wbudowanych ani zasad zarządzanych przez platformę AWS. Dzięki usłudze AWS KMS możesz kontrolować, kto może używać kluczy usługi KMS i uzyskiwać dostęp do zaszyfrowanych danych. Zasady zarządzania dostępem i tożsamościami definiują, które akcje (użytkownik, grupa lub rola) mogą wykonywać na których zasobach. Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń platforma AWS zaleca, aby zezwolić na najmniejsze uprawnienia. Innymi słowy, należy przyznać tożsamości tylko uprawnienia "kms:Decrypt" lub "kms:ReEncryptFrom" i tylko dla kluczy wymaganych do wykonania zadania. W przeciwnym razie użytkownik może używać kluczy, które nie są odpowiednie dla Twoich danych. Zamiast udzielać uprawnień wszystkim kluczom, określ minimalny zestaw kluczy, które użytkownicy muszą uzyskać dostęp do zaszyfrowanych danych. Następnie zaprojektuj zasady, które umożliwiają użytkownikom używanie tylko tych kluczy. Na przykład nie zezwalaj na uprawnienie "kms: Decrypt" na wszystkich kluczach usługi KMS. Zamiast tego zezwalaj na "kms: Decrypt" tylko na kluczach w określonym regionie dla twojego konta. Przyjmując zasadę najniższych uprawnień, można zmniejszyć ryzyko niezamierzonego ujawnienia danych.

Ważność: średni rozmiar

Utworzone zasady zarządzania dostępem i tożsamościami klientów nie powinny zezwalać na akcje z symbolami wieloznacznymi dla usług

Opis: Ta kontrolka sprawdza, czy utworzone zasady oparte na tożsamościach IAM mają instrukcje Zezwalaj używające symbolu wieloznakowego * w celu udzielenia uprawnień do wszystkich akcji w dowolnej usłudze. Kontrolka kończy się niepowodzeniem, jeśli jakakolwiek instrukcja zasad zawiera wartość "Effect": "Allow" z "Action": "Service:*". Na przykład następująca instrukcja w zasadach powoduje niepowodzenie wyszukiwania.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Kontrolka również kończy się niepowodzeniem, jeśli używasz polecenia "Effect": "Allow" z elementem "NotAction": "service:". W takim przypadku element NotAction zapewnia dostęp do wszystkich akcji w usłudze AWS, z wyjątkiem akcji określonych w notAction. Ta kontrola dotyczy tylko zasad zarządzania dostępem i tożsamościami zarządzanych przez klienta. Nie dotyczy zasad zarządzania dostępem i tożsamościami zarządzanych przez platformę AWS. Po przypisaniu uprawnień do usług AWS ważne jest, aby ograniczyć zakres dozwolonych akcji zarządzania dostępem i tożsamościami w zasadach zarządzania dostępem i tożsamościami. Należy ograniczyć akcje zarządzania dostępem i tożsamościami tylko do tych akcji, które są potrzebne. Ułatwia to aprowizację uprawnień najniższych uprawnień. Nadmierne zasady permissive mogą prowadzić do eskalacji uprawnień, jeśli zasady są dołączone do podmiotu zabezpieczeń IAM, który może nie wymagać uprawnień. W niektórych przypadkach możesz zezwolić na akcje IAM, które mają podobny prefiks, takie jak DescribeFlowLogs i DescribeAvailabilityZones. W tych autoryzowanych przypadkach można dodać sufiks wieloznaczny do wspólnego prefiksu. Na przykład ec2:Describe.

Ta kontrolka przechodzi w przypadku użycia prefiksu akcji zarządzanie dostępem i tożsamościami z sufiksem wieloznacznymi. Na przykład następująca instrukcja w zasadach powoduje przekazanie wyników.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

W przypadku grupowania powiązanych akcji zarządzania dostępem i tożsamościami w ten sposób można również uniknąć przekroczenia limitów rozmiaru zasad zarządzania dostępem i tożsamościami.

Ważność: Niska

Zasady zarządzania dostępem i tożsamościami powinny być dołączone tylko do grup lub ról

Opis: domyślnie użytkownicy, grupy i role zarządzania dostępem i tożsamościami nie mają dostępu do zasobów platformy AWS. Zasady zarządzania dostępem i tożsamościami to środki, za pomocą których uprawnienia są przyznawane użytkownikom, grupom lub rolam. Zaleca się stosowanie zasad zarządzania dostępem i tożsamościami bezpośrednio do grup i ról, ale nie do użytkowników. Przypisywanie uprawnień na poziomie grupy lub roli zmniejsza złożoność zarządzania dostępem w miarę wzrostu liczby użytkowników. Zmniejszenie złożoności zarządzania dostępem może również zmniejszyć możliwość niezamierzonego odbierania lub zachowywania nadmiernych uprawnień przez podmiot zabezpieczeń.

Ważność: Niska

Zasady zarządzania dostępem i tożsamościami zezwalające na pełne uprawnienia administracyjne ":" nie powinny być tworzone

Opis: Zasady zarządzania dostępem i tożsamościami to środki, za pomocą których uprawnienia są przyznawane użytkownikom, grupom lub rolam. Zaleca się i uważa się standardową poradę zabezpieczeń, aby przyznać najmniejsze uprawnienia, udzielając tylko uprawnień wymaganych do wykonania zadania. Określ, co użytkownicy muszą zrobić, a następnie utworzyć zasady, które umożliwiają użytkownikom wykonywanie tylko tych zadań, zamiast zezwalać na pełne uprawnienia administracyjne. Jest to bezpieczniejsze, aby rozpocząć od minimalnego zestawu uprawnień i przyznać dodatkowe uprawnienia w razie potrzeby, zamiast rozpoczynać od uprawnień, które są zbyt łagodne, a następnie próbuje je zaostrzyć później. Zapewnienie pełnych uprawnień administracyjnych zamiast ograniczać do minimalnego zestawu uprawnień wymaganych przez użytkownika do uwidaczniania zasobów potencjalnie niechcianych akcji. Zasady zarządzania dostępem i tożsamościami, które mają instrukcję "Effect": "Allow" z elementem "Action": "" over "Resource": "" należy usunąć.

Ważność: Wysoka

Podmioty zabezpieczeń zarządzania dostępem i tożsamościami nie powinny mieć zasad wbudowanych zarządzania dostępem i tożsamościami, które zezwalają na akcje odszyfrowywania we wszystkich kluczach usługi KMS

Opis: sprawdza, czy zasady wbudowane osadzone w tożsamościach IAM (rola, użytkownik lub grupa) zezwalają na akcje odszyfrowywania usługi AWS KMS we wszystkich kluczach usługi KMS. Ta kontrolka używa Zelkova, zautomatyzowanego aparatu rozumowania, aby zweryfikować i ostrzegać o zasadach, które mogą udzielić szerokiego dostępu do wpisów tajnych na kontach platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli kms:Decrypt akcje lub kms:ReEncryptFrom są dozwolone we wszystkich kluczach usługi KMS w zasadach wbudowanych. Dzięki usłudze AWS KMS możesz kontrolować, kto może używać kluczy usługi KMS i uzyskiwać dostęp do zaszyfrowanych danych. Zasady zarządzania dostępem i tożsamościami definiują, które akcje (użytkownik, grupa lub rola) mogą wykonywać na których zasobach. Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń platforma AWS zaleca, aby zezwolić na najmniejsze uprawnienia. Innymi słowy, należy udzielić tożsamościom tylko potrzebnych im uprawnień i tylko dla kluczy wymaganych do wykonania zadania. W przeciwnym razie użytkownik może używać kluczy, które nie są odpowiednie dla Twoich danych. Zamiast udzielać uprawnień do wszystkich kluczy, określ minimalny zestaw kluczy, które użytkownicy muszą uzyskać dostęp do zaszyfrowanych danych. Następnie zaprojektuj zasady, które umożliwiają użytkownikom używanie tylko tych kluczy. Na przykład nie zezwalaj na kms:Decrypt uprawnienia do wszystkich kluczy usługi KMS. Zamiast tego zezwalaj na nie tylko na kluczach w określonym regionie dla twojego konta. Przyjmując zasadę najniższych uprawnień, można zmniejszyć ryzyko niezamierzonego ujawnienia danych.

Ważność: średni rozmiar

Funkcje lambda powinny ograniczać dostęp publiczny

Opis: Zasady oparte na zasobach funkcji lambda powinny ograniczać dostęp publiczny. To zalecenie nie sprawdza dostępu przez podmioty zabezpieczeń wewnętrznych. Upewnij się, że dostęp do funkcji jest ograniczony do autoryzowanych podmiotów zabezpieczeń tylko przy użyciu zasad opartych na zasobach z najmniejszymi uprawnieniami.

Ważność: Wysoka

Uwierzytelnianie wieloskładnikowe powinno być włączone dla wszystkich użytkowników zarządzania dostępem i tożsamościami

Opis: wszyscy użytkownicy IAM powinni mieć włączone uwierzytelnianie wieloskładnikowe (MFA).

Ważność: średni rozmiar

Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta "głównego"

Opis: konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie. Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła oraz kodu uwierzytelniania z urządzenia usługi AWS MFA. W przypadku korzystania z wirtualnej uwierzytelniania wieloskładnikowego dla kont głównych zaleca się, aby używane urządzenie nie było urządzeniem osobistym. Zamiast tego należy użyć dedykowanego urządzenia przenośnego (tabletu lub telefonu), którym zarządzasz, aby zachować opłaty i zabezpieczyć niezależnie od poszczególnych urządzeń osobistych. Zmniejsza to ryzyko utraty dostępu do uwierzytelniania wieloskładnikowego z powodu utraty urządzenia, handlu urządzeniami lub jeśli osoba będąca właścicielem urządzenia nie jest już zatrudniona w firmie.

Ważność: Niska

Zasady haseł dla użytkowników IAM powinny mieć silne konfiguracje

Opis: sprawdza, czy zasady haseł konta dla użytkowników IAM używają następujących minimalnych konfiguracji.

RequireUppercaseCharacters — wymaga co najmniej jednego znaku wielkiej litery w haśle. (Wartość domyślna = true)
RequireLowercaseCharacters — wymaga co najmniej jednego małego znaku w haśle. (Wartość domyślna = true)
RequireNumbers — wymagaj co najmniej jednej liczby w haśle. (Wartość domyślna = true)
MinimumPasswordLength — minimalna długość hasła. (Wartość domyślna = 7 lub dłużej)
PasswordReusePrevention — liczba haseł przed ponownym użyciem. (Ustawienie domyślne = 4)
MaxPasswordAge — liczba dni przed wygaśnięciem hasła. (Ustawienie domyślne = 90)

Ważność: średni rozmiar

Uprawnienia tożsamości nieaktywnych na koncie platformy AWS powinny zostać odwołane

Opis: Microsoft Defender dla Chmury wykryła tożsamość, która nie wykonała żadnej akcji na żadnym zasobie w ramach konta platformy AWS w ciągu ostatnich 45 dni. Zaleca się odwołanie uprawnień nieaktywnych tożsamości w celu zmniejszenia obszaru ataków środowiska chmury.

Ważność: średni rozmiar

Klucz dostępu do konta głównego nie powinien istnieć

Opis: Konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie platformy AWS. Klucze dostępu platformy AWS zapewniają dostęp programowy do danego konta platformy AWS. Zaleca się usunięcie wszystkich kluczy dostępu skojarzonych z kontem głównym. Usuwanie kluczy dostępu skojarzonych z wektorami limitów kont głównych, za pomocą których można naruszyć bezpieczeństwo konta. Ponadto usunięcie kluczy dostępu głównego zachęca do tworzenia i używania kont opartych na rolach, które są najmniej uprzywilejowane.

Ważność: Wysoka

Ustawienie Blokuj dostęp publiczny S3 powinno być włączone

Opis: włączenie ustawienia Blokuj dostęp publiczny dla zasobnika S3 może pomóc zapobiec wyciekom poufnych danych i chronić zasobnik przed złośliwymi akcjami.

Ważność: średni rozmiar

Ustawienie Blokuj dostęp publiczny S3 powinno być włączone na poziomie zasobnika

Opis: Ta kontrolka sprawdza, czy zasobniki S3 mają zastosowane bloki dostępu publicznego na poziomie zasobnika. Ta kontrolka kończy się niepowodzeniem, jeśli którekolwiek z następujących ustawień ma wartość false:

ignorePublicAcls
blockPublicPolicy
blockPublicAcls
restrictPublicBuckets Blokuj dostęp publiczny na poziomie zasobnika S3 zapewnia kontrolki, aby zapewnić, że obiekty nigdy nie mają dostępu publicznego. Dostęp publiczny jest udzielany zasobnikom i obiektom za pośrednictwem list kontroli dostępu (ACL), zasad zasobników lub obu tych elementów. Jeśli nie zamierzasz mieć publicznie dostępnych zasobników S3, należy skonfigurować funkcję dostępu publicznego na poziomie zasobnika Amazon S3.

Ważność: Wysoka

Publiczne dostęp do odczytu zasobników S3 powinien zostać usunięty

Opis: Usunięcie publicznego dostępu do odczytu do zasobnika S3 może pomóc w ochronie danych i zapobiec naruszeniu zabezpieczeń danych.

Ważność: Wysoka

Należy usunąć dostęp do publicznego zapisu zasobników S3

Opis: Zezwolenie na publiczny dostęp do zapisu w zasobniku S3 może pozostawić cię podatnym na złośliwe działania, takie jak przechowywanie danych kosztem, szyfrowanie plików okupu lub używanie zasobnika do obsługi złośliwego oprogramowania.

Ważność: Wysoka

Wpisy tajne menedżera wpisów tajnych powinny mieć włączoną automatyczną rotację

Opis: Ta kontrolka sprawdza, czy wpis tajny przechowywany w menedżerze wpisów tajnych platformy AWS jest skonfigurowany z automatycznym obracaniem. Menedżer wpisów tajnych pomaga zwiększyć poziom zabezpieczeń organizacji. Wpisy tajne obejmują poświadczenia bazy danych, hasła i klucze interfejsu API innych firm. Menedżer wpisów tajnych umożliwia centralne przechowywanie wpisów tajnych, automatyczne szyfrowanie wpisów tajnych, kontrolowanie dostępu do wpisów tajnych oraz bezpieczne i automatyczne obracanie wpisów tajnych. Menedżer wpisów tajnych może obracać wpisy tajne. Rotacja służy do zastępowania długoterminowych wpisów tajnych krótkoterminowymi. Rotacja wpisów tajnych ogranicza czas, przez jaki nieautoryzowany użytkownik może używać naruszonego wpisu tajnego. Z tego powodu należy często wymieniać wpisy tajne. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.

Ważność: średni rozmiar

Zatrzymane wystąpienia usługi EC2 należy usunąć po określonym przedziale czasu

Opis: Ta kontrolka sprawdza, czy jakiekolwiek wystąpienia usługi EC2 zostały zatrzymane przez więcej niż dozwoloną liczbę dni. Wystąpienie usługi EC2 nie powiedzie się, czy zostało zatrzymane przez dłuższy niż maksymalny dozwolony okres, który domyślnie wynosi 30 dni. Niepowodzenie ustalenia wskazuje, że wystąpienie usługi EC2 nie działa przez dłuższy czas. Powoduje to zagrożenie bezpieczeństwa, ponieważ wystąpienie usługi EC2 nie jest aktywnie utrzymywane (analizowane, poprawiane, aktualizowane). Jeśli zostanie ona później uruchomiona, brak odpowiedniej konserwacji może spowodować nieoczekiwane problemy w środowisku platformy AWS. Aby bezpiecznie zachować wystąpienie usługi EC2 w czasie w stanie nieuruchomieniu, należy uruchomić je okresowo w celu konserwacji, a następnie zatrzymać je po konserwacji. W idealnym przypadku jest to zautomatyzowany proces.

Ważność: średni rozmiar

Nieużywane tożsamości w środowisku platformy AWS powinny zostać usunięte (wersja zapoznawcza)

Opis: Nieaktywne tożsamości to ludzkie i nieludzkie jednostki, które nie wykonały żadnej akcji na żadnym zasobie w ciągu ostatnich 90 dni. Nieaktywne tożsamości zarządzania dostępem i tożsamościami z uprawnieniami wysokiego ryzyka na koncie platformy AWS mogą być podatne na ataki, jeśli pozostawiono je bez zmian i pozostaw organizacje otwarte na niewłaściwe użycie poświadczeń lub wykorzystanie. Proaktywne wykrywanie nieużywanych tożsamości i reagowanie na nieużywane tożsamości pomaga zapobiec uzyskiwaniu dostępu do zasobów platformy AWS przez nieautoryzowane jednostki.

Ważność: średni rozmiar

Zalecenia dotyczące tożsamości i dostępu platformy GCP

Klucze kryptograficzne nie powinny mieć więcej niż trzech użytkowników

Opis: To zalecenie ocenia zasady zarządzania dostępem i tożsamościami dla pierścieni kluczy, projektów i organizacji oraz pobiera podmioty z rolami, które umożliwiają szyfrowanie, odszyfrowywanie lub podpisywanie danych przy użyciu kluczy kms w chmurze: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer i roles/cloudkms.signerVerifier.

Ważność: średni rozmiar

Upewnij się, że klucze interfejsu API nie są tworzone dla projektu

Opis: Klucze są niezabezpieczone, ponieważ mogą być wyświetlane publicznie, na przykład z poziomu przeglądarki, lub mogą być dostępne na urządzeniu, na którym znajduje się klucz. Zaleca się zamiast tego używanie standardowego przepływu uwierzytelniania.

Poniżej przedstawiono zagrożenia bezpieczeństwa związane z używaniem kluczy INTERFEJSu API:

Klucze interfejsu API to proste zaszyfrowane ciągi
Klucze interfejsu API nie identyfikują użytkownika ani aplikacji wysyłającej żądanie interfejsu API
Klucze interfejsu API są zwykle dostępne dla klientów, co ułatwia odnajdywanie i kradzież klucza interfejsu API

Aby uniknąć ryzyka związanego z zabezpieczeniami przy użyciu kluczy interfejsu API, zaleca się zamiast tego użycie standardowego przepływu uwierzytelniania.

Ważność: Wysoka

Upewnij się, że klucze interfejsu API są ograniczone tylko do interfejsów API, do których aplikacja potrzebuje dostępu

Opis: klucze interfejsu API są niezabezpieczone, ponieważ mogą być wyświetlane publicznie, na przykład z poziomu przeglądarki, lub mogą być dostępne na urządzeniu, na którym znajduje się klucz. Zaleca się ograniczenie kluczy interfejsu API do używania (wywołania) tylko interfejsów API wymaganych przez aplikację.

Poniżej przedstawiono zagrożenia bezpieczeństwa związane z używaniem kluczy INTERFEJSu API:

Klucze interfejsu API to proste zaszyfrowane ciągi
Klucze interfejsu API nie identyfikują użytkownika ani aplikacji wysyłającej żądanie interfejsu API
Klucze interfejsu API są zwykle dostępne dla klientów, co ułatwia odnajdywanie i kradzież klucza interfejsu API

W świetle tych potencjalnych zagrożeń firma Google zaleca użycie standardowego przepływu uwierzytelniania zamiast kluczy interfejsu API. Istnieją jednak ograniczone przypadki, w których klucze interfejsu API są bardziej odpowiednie. Jeśli na przykład istnieje aplikacja mobilna, która musi używać interfejsu API tłumaczenia w chmurze Google, ale w przeciwnym razie nie wymaga serwera zaplecza, klucze interfejsu API są najprostszym sposobem uwierzytelniania w tym interfejsie API.

Aby zmniejszyć powierzchnie ataków, zapewniając najmniejsze uprawnienia, klucze interfejsu API mogą być ograniczone do używania (wywołania) tylko interfejsów API wymaganych przez aplikację.

Ważność: Wysoka

Upewnij się, że klucze interfejsu API są ograniczone do użycia tylko przez określone hosty i aplikacje

Opis: Nieograniczone klucze są niezabezpieczone, ponieważ mogą być wyświetlane publicznie, na przykład z poziomu przeglądarki, lub mogą być dostępne na urządzeniu, na którym znajduje się klucz. Zaleca się ograniczenie użycia klucza interfejsu API do zaufanych hostów, odwołań HTTP i aplikacji.

Poniżej przedstawiono zagrożenia bezpieczeństwa związane z używaniem kluczy INTERFEJSu API:

Klucze interfejsu API to proste zaszyfrowane ciągi
Klucze interfejsu API nie identyfikują użytkownika ani aplikacji wysyłającej żądanie interfejsu API
Klucze interfejsu API są zwykle dostępne dla klientów, co ułatwia odnajdywanie i kradzież klucza interfejsu API

Aby zmniejszyć wektory ataków, klucze API-Keys mogą być ograniczone tylko do zaufanych hostów, odwołań HTTP i aplikacji.

Ważność: Wysoka

Upewnij się, że klucze interfejsu API są obracane co 90 dni

Opis: Zaleca się obracanie kluczy interfejsu API co 90 dni.

Poniżej wymieniono zagrożenia bezpieczeństwa związane z używaniem kluczy INTERFEJSu API:

Klucze interfejsu API to proste zaszyfrowane ciągi
Klucze interfejsu API nie identyfikują użytkownika ani aplikacji wysyłającej żądanie interfejsu API
Klucze interfejsu API są zwykle dostępne dla klientów, co ułatwia odnajdywanie i kradzież klucza interfejsu API

Ze względu na potencjalne zagrożenia firma Google zaleca użycie standardowego przepływu uwierzytelniania zamiast kluczy interfejsu API. Istnieją jednak ograniczone przypadki, w których klucze interfejsu API są bardziej odpowiednie. Jeśli na przykład istnieje aplikacja mobilna, która musi używać interfejsu API tłumaczenia w chmurze Google, ale w przeciwnym razie nie wymaga serwera zaplecza, klucze interfejsu API są najprostszym sposobem uwierzytelniania w tym interfejsie API.

Gdy klucz zostanie skradziony, nie wygaśnie, co oznacza, że może być używany przez czas nieokreślony, chyba że właściciel projektu odwoła lub ponownie wygeneruje klucz. Obracanie kluczy interfejsu API spowoduje zmniejszenie możliwości użycia klucza dostępu skojarzonego z naruszonym lub zakończonym kontem.

Klucze interfejsu API należy obrócić, aby upewnić się, że nie można uzyskać dostępu do danych przy użyciu starego klucza, który mógł zostać utracony, złamany lub skradziony.

Ważność: Wysoka

Upewnij się, że klucze szyfrowania usługi KMS są obracane w ciągu 90 dni

Opis: Usługa Google Cloud usługa zarządzania kluczami przechowuje klucze kryptograficzne w strukturze hierarchicznej przeznaczonej do przydatnego i eleganckiego zarządzania kontrolą dostępu. Format harmonogramu rotacji zależy od używanej biblioteki klienta. W przypadku narzędzia wiersza polecenia gcloud następny czas rotacji musi być w formacie "ISO" lub "RFC3339", a okres rotacji musi być w postaci "INTEGER[UNIT],", gdzie jednostki mogą być jedną z sekund (s), minut (m), godzin (h) lub dni (d). Ustaw okres rotacji kluczy i czas rozpoczęcia. Klucz można utworzyć przy użyciu określonego "okresu rotacji", czyli czasu między automatycznym wygenerowaniem nowych wersji kluczy. Klucz można również utworzyć przy użyciu określonego czasu następnego obrotu. Klucz to nazwany obiekt reprezentujący "klucz kryptograficzny" używany do określonego celu. Materiał klucza, rzeczywiste bity używane do "szyfrowania", mogą zmieniać się wraz z upływem czasu, gdy tworzone są nowe wersje kluczy. Klucz służy do ochrony niektórych "corpus of data". Kolekcja plików może być zaszyfrowana przy użyciu tego samego klucza, a osoby z uprawnieniami "odszyfrowywania" tego klucza będą mogły odszyfrować te pliki. W związku z tym należy upewnić się, że "okres rotacji" jest ustawiony na określony czas.

Ważność: średni rozmiar

Upewnij się, że istnieje filtr metryk dzienników i alerty dla przypisań własności projektu/zmian

Opis: Aby zapobiec niepotrzebnym przypisaniom własności projektu do użytkowników/kont usług i dalszemu niewłaściwemu używaniu projektów i zasobów, należy monitorować wszystkie przypisania "role/właściciel". Członkowie (użytkownicy/konta usługi) z przypisaniem roli do roli pierwotnej "role/właściciel" są właścicielami projektów. Właściciel projektu ma wszystkie uprawnienia do projektu, do którego należy rola. Poniżej przedstawiono podsumowanie:

Wszystkie uprawnienia przeglądarki dla wszystkich usług GCP w projekcie
Uprawnienia do akcji modyfikujących stan wszystkich usług GCP w projekcie
Zarządzanie rolami i uprawnieniami dla projektu i wszystkich zasobów w projekcie
Skonfigurowanie rozliczeń dla projektu Udzielanie roli właściciela członkowi (użytkownik/konto usługi) umożliwi tym członkom modyfikowanie zasad zarządzania tożsamościami i dostępem (IAM). W związku z tym przyznaj rolę właściciela tylko wtedy, gdy członek ma uzasadniony cel zarządzania zasadami IAM. Jest to spowodowane tym, że zasady zarządzania dostępem i tożsamościami projektu zawierają poufne dane kontroli dostępu. Posiadanie minimalnego zestawu użytkowników, którzy mogą zarządzać zasadami zarządzania dostępem i tożsamościami, uprości wszelkie inspekcje, które mogą być konieczne. Własność projektu ma najwyższy poziom uprawnień w projekcie. Aby uniknąć nieuprawnionego użycia zasobów projektu, należy monitorować i otrzymywać alerty dla zainteresowanych adresatów za pomocą przypisywania/zmieniania własności projektu.
Wysyłanie zaproszeń własności projektu
Akceptacja/odrzucenie zaproszenia własności projektu przez użytkownika
Dodawanie role\Owner do użytkownika/konta usługi
Usuwanie użytkownika/konta usługi z role\Owner

Ważność: Niska

Upewnij się, że program Oslogin jest włączony dla projektu

Opis: Włączanie logowania systemu operacyjnego wiąże certyfikaty SSH z użytkownikami IAM i ułatwia efektywne zarządzanie certyfikatami SSH. Włączenie protokołu osLogin gwarantuje, że klucze SSH używane do nawiązywania połączenia z wystąpieniami są mapowane z użytkownikami usługi IAM. Odwołanie dostępu do użytkownika IAM spowoduje odwołanie wszystkich kluczy SSH skojarzonych z tym konkretnym użytkownikiem. Ułatwia scentralizowane i zautomatyzowane zarządzanie parami kluczy SSH, co jest przydatne w przypadku obsługi przypadków, takich jak reagowanie na naruszone pary kluczy SSH i/lub odwołanie użytkowników zewnętrznych/innych firm/dostawców. Aby dowiedzieć się, które wystąpienie powoduje złą kondycję projektu, zobacz zalecenie "Upewnij się, że usługa Oslogin jest włączona dla wszystkich wystąpień".

Ważność: średni rozmiar

Upewnij się, że program oslogin jest włączony dla wszystkich wystąpień

Ważność: średni rozmiar

Upewnij się, że rejestrowanie inspekcji w chmurze jest prawidłowo skonfigurowane we wszystkich usługach i wszystkich użytkowników z projektu

Opis: Zaleca się skonfigurowanie rejestrowania inspekcji w chmurze w celu śledzenia wszystkich działań administracyjnych i odczytu, zapisu dostępu do danych użytkownika.

Rejestrowanie inspekcji w chmurze obsługuje dwa dzienniki inspekcji dla każdego projektu, folderu i organizacji: aktywność administratora i dostęp do danych.

Dzienniki aktywności administratora zawierają wpisy dziennika dla wywołań interfejsu API lub innych akcji administracyjnych, które modyfikują konfigurację lub metadane zasobów.
Dzienniki inspekcji aktywności administratora są włączone dla wszystkich usług i nie można ich skonfigurować.
Wywołania interfejsu API rekordów dzienników inspekcji dostępu do danych, które tworzą, modyfikują lub odczytują dane dostarczone przez użytkownika. Są one domyślnie wyłączone i powinny być włączone.

Istnieją trzy rodzaje informacji dziennika inspekcji dostępu do danych:

Odczyt administratora: rejestruje operacje odczytujące metadane lub informacje o konfiguracji. Dzienniki inspekcji aktywności administratora rejestrują zapisy metadanych i informacji o konfiguracji, których nie można wyłączyć.
Odczyt danych: rejestruje operacje odczytujące dane dostarczone przez użytkownika.
Zapis danych: rejestruje operacje zapisujące dane dostarczone przez użytkownika.

Zaleca się skonfigurowanie efektywnej domyślnej konfiguracji inspekcji w taki sposób, aby:

Typ dziennika jest ustawiony na DATA_READ (w celu rejestrowania śledzenia aktywności użytkownika) i DATA_WRITES (w celu rejestrowania zmian/manipulowania danymi użytkownika).
Konfiguracja inspekcji jest włączona dla wszystkich usług obsługiwanych przez funkcję dzienników inspekcji dostępu do danych.
Dzienniki powinny być przechwytywane dla wszystkich użytkowników, czyli nie ma wykluczonych użytkowników w żadnej z sekcji konfiguracji inspekcji. Zapewni to zastąpienie konfiguracji inspekcji nie będzie sprzeczne z wymaganiem.

Ważność: średni rozmiar

Upewnij się, że klucze kryptograficzne usługi KMS w chmurze nie są anonimowe ani publicznie dostępne

Opis: Zalecane jest, aby zasady zarządzania dostępem i tożsamościami w kluczach kryptograficznych usługi KMS w chmurze ograniczały dostęp anonimowy i/lub publiczny. Przyznawanie uprawnień "allUsers" lub "allAuthenticatedUsers" umożliwia każdemu użytkownikowi dostęp do zestawu danych. Taki dostęp może nie być pożądany, jeśli poufne dane są przechowywane w lokalizacji. W takim przypadku upewnij się, że dostęp anonimowy i/lub publiczny do klucza kryptograficznego usługi KMS w chmurze nie jest dozwolony.

Ważność: Wysoka

Opis: Użyj poświadczeń logowania firmowego zamiast kont osobistych, takich jak konta Gmail. Zaleca się używanie w pełni zarządzanych firmowych kont Google w celu zwiększenia widoczności, inspekcji i kontrolowania dostępu do zasobów platformy Cloud Platform. Konta Gmail oparte poza organizacją użytkownika, takie jak konta osobiste, nie powinny być używane do celów biznesowych.

Ważność: Wysoka

Upewnij się, że użytkownicy IAM nie mają przypisanych ról twórcy tokenu konta usługi lub konta usługi na poziomie projektu

Opis: Zaleca się przypisanie ról "Użytkownik konta usługi (iam.serviceAccountUser)" i "Twórca tokenu konta usługi (iam.serviceAccountTokenCreator)" do użytkownika dla określonego konta usługi, a nie przypisywania roli do użytkownika na poziomie projektu. Konto usługi to specjalne konto Google, które należy do aplikacji lub maszyny wirtualnej, zamiast do pojedynczego użytkownika końcowego. Aplikacja/wystąpienie maszyny wirtualnej używa konta usługi do wywoływania interfejsu API Google usługi, aby użytkownicy nie byli bezpośrednio zaangażowani. Oprócz tożsamości konto usługi jest zasobem, do którego są dołączone zasady zarządzania dostępem i tożsamościami. Te zasady określają, kto może używać konta usługi. Użytkownicy z rolami zarządzania dostępem i tożsamościami w celu zaktualizowania wystąpień aparatu aplikacji i aparatu obliczeniowego (takich jak narzędzie do wdrażania aparatu aplikacji lub administrator wystąpienia obliczeniowego) mogą skutecznie uruchamiać kod jako konta usług używane do uruchamiania tych wystąpień i pośrednio uzyskiwać dostęp do wszystkich zasobów, do których mają dostęp konta usług. Podobnie dostęp SSH do wystąpienia aparatu obliczeniowego może również zapewnić możliwość wykonywania kodu jako tego wystąpienia/konta usługi. W zależności od potrzeb biznesowych może istnieć wiele kont usług zarządzanych przez użytkownika skonfigurowanych dla projektu. Przyznawanie ról "iam.serviceAccountUser" lub "iam.serviceAserviceAccountTokenCreatorccountUser" użytkownikowi projektu daje użytkownikowi dostęp do wszystkich kont usług w projekcie, w tym kont usług, które mogą zostać utworzone w przyszłości. Może to spowodować podniesienie uprawnień przy użyciu kont usług i odpowiadających im "wystąpień aparatu obliczeniowego". Aby zaimplementować najlepsze rozwiązania dotyczące "najmniejszych uprawnień", użytkownicy IAM nie powinni mieć przypisanych ról "Użytkownik konta usługi" ani "Twórca tokenu konta usługi" na poziomie projektu. Zamiast tego te role powinny być przypisane do użytkownika dla określonego konta usługi, co daje użytkownikowi dostęp do konta usługi. "Użytkownik konta usługi" umożliwia użytkownikowi powiązanie konta usługi z długotrwałą usługą zadań, natomiast rola "Twórca tokenu konta usługi" umożliwia użytkownikowi bezpośrednie personifikację (lub potwierdzenie) tożsamości konta usługi.

Ważność: średni rozmiar

Opis: Zaleca się, aby zasada "Separacja obowiązków" była wymuszana podczas przypisywania ról powiązanych z usługą KMS do użytkowników. Wbudowana/wstępnie zdefiniowana rola zarządzania dostępem i tożsamościami w chmurze umożliwia użytkownikowi/tożsamości tworzenie, usuwanie kont usług i zarządzanie nimi. Wbudowana/wstępnie zdefiniowana rola Cloud KMS CryptoKey Encrypter/Decrypter zarządzania dostępem i tożsamością umożliwia użytkownikowi/tożsamości (z odpowiednimi uprawnieniami do odpowiednich zasobów) szyfrowanie i odszyfrowywanie danych magazynowanych przy użyciu kluczy szyfrowania. Wbudowana/wstępnie zdefiniowana rola Cloud KMS CryptoKey Encrypter zarządzania dostępem i tożsamością umożliwia użytkownikowi/tożsamości (z odpowiednimi uprawnieniami do odpowiednich zasobów) szyfrowanie danych magazynowanych przy użyciu kluczy szyfrowania. Wbudowana/wstępnie zdefiniowana rola Cloud KMS Crypto Key Decrypter zarządzania dostępem i tożsamością umożliwia użytkownikowi/tożsamości (z odpowiednimi uprawnieniami do odpowiednich zasobów) odszyfrowywanie danych magazynowanych przy użyciu kluczy szyfrowania. Rozdzielenie obowiązków jest pojęciem zapewnienia, że jedna osoba nie ma wszystkich niezbędnych uprawnień, aby móc wykonać złośliwe działania. W usłudze KMS w chmurze może to być akcja, taka jak użycie klucza do uzyskiwania dostępu do danych i odszyfrowywania danych, do których użytkownik zwykle nie powinien mieć dostępu. Rozdzielenie obowiązków to kontrola biznesowa zwykle używana w większych organizacjach, która pomaga uniknąć zdarzeń i błędów związanych z bezpieczeństwem lub prywatnością. Jest to uważane za najlepsze rozwiązanie. Żaden użytkownik nie powinien mieć administratora usługi KMS w chmurze i żadnej z Cloud KMS CryptoKey Encrypter/Decrypterról , Cloud KMS CryptoKey EncrypterCloud KMS CryptoKey Decrypter przypisanych w tym samym czasie.

Ważność: Wysoka

Opis: Zaleca się, aby zasada "Separacja obowiązków" była wymuszana podczas przypisywania ról związanych z kontem usługi do użytkowników. Wbudowana/wstępnie zdefiniowana rola IAM "Administrator konta usługi" umożliwia użytkownikowi/tożsamości tworzenie, usuwanie kont usług i zarządzanie nimi. Wbudowana/wstępnie zdefiniowana rola IAM "Użytkownik konta usługi" umożliwia użytkownikowi/tożsamości (z odpowiednimi uprawnieniami w usłudze Compute i App Engine) przypisywanie kont usług do aplikacji/wystąpień obliczeniowych. Rozdzielenie obowiązków jest pojęciem zapewnienia, że jedna osoba nie ma wszystkich niezbędnych uprawnień, aby móc wykonać złośliwe działania. W usłudze Cloud IAM — konta usług mogą być akcją, taką jak używanie konta usługi do uzyskiwania dostępu do zasobów, do których użytkownik zwykle nie powinien mieć dostępu. Rozdzielenie obowiązków to kontrola biznesowa zwykle używana w większych organizacjach, która pomaga uniknąć zdarzeń i błędów związanych z bezpieczeństwem lub prywatnością. Jest to uważane za najlepsze rozwiązanie. Żaden użytkownik nie powinien mieć przypisanych jednocześnie ról "Administrator konta usługi" i "Użytkownik konta usługi".

Ważność: średni rozmiar

Upewnij się, że konto usługi nie ma uprawnień administratora

Opis: Konto usługi to specjalne konto Google, które należy do aplikacji lub maszyny wirtualnej, a nie do pojedynczego użytkownika końcowego. Aplikacja używa konta usługi do wywoływania interfejsu API Google usługi, aby użytkownicy nie byli bezpośrednio zaangażowani. Zaleca się, aby nie używać dostępu administratora do usługi ServiceAccount. Konta usług reprezentują zabezpieczenia na poziomie usługi zasobów (aplikacji lub maszyny wirtualnej), które mogą być określane przez przypisane do niej role. Rejestrowanie konta usługi przy użyciu uprawnień administratora zapewnia pełny dostęp do przypisanej aplikacji lub maszyny wirtualnej. Właściciel dostępu usługi ServiceAccount może wykonywać krytyczne akcje, takie jak usuwanie, aktualizowanie ustawień zmiany itp. bez interwencji użytkownika. Z tego powodu zaleca się, aby konta usług nie miały uprawnień administratora.

Ważność: średni rozmiar

Upewnij się, że ujścia są skonfigurowane dla wszystkich wpisów dziennika

Opis: Zaleca się utworzenie ujścia, które spowoduje wyeksportowanie kopii wszystkich wpisów dziennika. Może to pomóc agregować dzienniki z wielu projektów i eksportować je do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Wpisy dziennika są przechowywane w rejestrowaniu usługi Stackdriver. Aby zagregować dzienniki, wyeksportuj je do rozwiązania SIEM. Aby zachować je dłużej, zaleca się skonfigurowanie ujścia dziennika. Eksportowanie obejmuje napisanie filtru, który wybiera wpisy dziennika do wyeksportowania i wybiera miejsce docelowe w usłudze Cloud Storage, BigQuery lub Cloud Pub/Sub. Filtr i miejsce docelowe są przechowywane w obiekcie nazywanym ujściem. Aby upewnić się, że wszystkie wpisy dziennika są eksportowane do ujścia, upewnij się, że nie skonfigurowano filtru dla ujścia. Ujścia można tworzyć w projektach, organizacjach, folderach i kontach rozliczeniowych.

Ważność: Niska

Upewnij się, że istnieje filtr metryki dziennika i alerty dotyczące zmian konfiguracji inspekcji

Opis: Usługi Google Cloud Platform (GCP) zapisują wpisy dziennika inspekcji w dziennikach aktywności administratora i dostępu do danych. Wpisy pomagają odpowiedzieć na pytania "kto zrobił, gdzie i kiedy?" w projektach GCP. Informacje dotyczące rejestrowania inspekcji w chmurze obejmują tożsamość obiektu wywołującego interfejs API, czas wywołania interfejsu API, źródłowy adres IP obiektu wywołującego interfejs API, parametry żądania i elementy odpowiedzi zwracane przez usługi GCP. Rejestrowanie inspekcji w chmurze zapewnia historię wywołań interfejsu API GCP dla konta, w tym wywołań interfejsu API wykonanych za pośrednictwem konsoli, zestawów SDK, narzędzi wiersza polecenia i innych usług GCP. Dzienniki aktywności administratora i dostępu do danych generowane przez rejestrowanie inspekcji w chmurze umożliwiają analizę zabezpieczeń, śledzenie zmian zasobów i inspekcję zgodności. Skonfigurowanie filtru metryki i alertów dotyczących zmian konfiguracji inspekcji zapewnia utrzymanie zalecanego stanu konfiguracji inspekcji, dzięki czemu wszystkie działania w projekcie są w stanie inspekcji w dowolnym momencie.

Ważność: Niska

Upewnij się, że istnieje filtr metryk dziennika i alerty dotyczące zmian roli niestandardowej

Opis: Zaleca się ustanowienie filtru metryki i alarmu w przypadku zmian w tworzeniu, usuwaniu i aktualizowaniu działań związanych z tworzeniem, usuwaniem i aktualizowaniem ról zarządzania tożsamościami i dostępem. Zarządzanie dostępem i tożsamościami w chmurze Firmy Google udostępnia wstępnie zdefiniowane role, które zapewniają szczegółowy dostęp do określonych zasobów platformy Google Cloud Platform i uniemożliwiają niepożądany dostęp do innych zasobów. Jednak w celu zaspokojenia potrzeb specyficznych dla organizacji zarządzanie dostępem i tożsamościami w chmurze zapewnia również możliwość tworzenia ról niestandardowych. Właściciele projektów i administratorzy z rolą Administrator roli organizacji lub Administrator ról IAM mogą tworzyć role niestandardowe. Monitorowanie działań związanych z tworzeniem, usuwaniem i aktualizowaniem ról pomoże zidentyfikować dowolną rolę z nadmiernymi uprawnieniami na wczesnym etapie.

Ważność: Niska

Upewnij się, że klucze zewnętrzne/zarządzane przez użytkownika dla kont usług są obracane co 90 dni lub mniej

Opis: Klucze konta usługi składają się z identyfikatora klucza (Private_key_Id) i klucza prywatnego, które są używane do podpisywania żądań programowych wysyłanych do usług w chmurze Google dostępnych dla tego konkretnego konta usługi. Zaleca się regularne obracanie wszystkich kluczy konta usługi. Rotacja kluczy konta usługi spowoduje zmniejszenie możliwości użycia klucza dostępu skojarzonego z naruszonym lub zakończonym kontem. Klucze konta usługi powinny być obracane w celu zapewnienia, że nie można uzyskać dostępu do danych przy użyciu starego klucza, który mógł zostać utracony, złamany lub skradziony. Każde konto usługi jest skojarzone z parą kluczy zarządzaną przez platformę Google Cloud Platform (GCP). Jest ona używana do uwierzytelniania między usługami w usłudze GCP. Google codziennie obraca klucze. GCP udostępnia opcję tworzenia co najmniej jednej pary kluczy zarządzanych przez użytkownika (nazywanej również parami kluczy zewnętrznych) do użycia spoza GCP (na przykład do użycia z domyślnymi poświadczeniami aplikacji). Po utworzeniu nowej pary kluczy użytkownik musi pobrać klucz prywatny (który nie jest zachowywany przez firmę Google).

W przypadku kluczy zewnętrznych użytkownicy są odpowiedzialni za zabezpieczanie klucza prywatnego i inne operacje zarządzania, takie jak rotacja kluczy. Klucze zewnętrzne można zarządzać za pomocą interfejsu API zarządzania dostępem i tożsamościami, narzędzia wiersza polecenia usługi gcloud lub strony Konta usług w konsoli Google Cloud Platform Console.

GCP ułatwia do 10 kluczy kont usług zewnętrznych na konto usługi w celu ułatwienia rotacji kluczy.

Ważność: średni rozmiar

Tożsamości z nadmierną aprowizowaną usługą GCP powinny mieć tylko niezbędne uprawnienia (wersja zapoznawcza)

Opis: Zaaprowizowana aktywna tożsamość to tożsamość, która ma dostęp do uprawnień, które nie zostały użyte. Zaaprowizowane aktywne tożsamości, zwłaszcza w przypadku kont nieludzkich, które mają bardzo zdefiniowane akcje i obowiązki, mogą zwiększyć promień wybuchu w przypadku naruszenia bezpieczeństwa użytkownika, klucza lub zasobu Zasada najniższych uprawnień stwierdza, że zasób powinien mieć dostęp tylko do dokładnych zasobów, których potrzebuje w celu funkcjonowania. Ta zasada została opracowana w celu rozwiązania ryzyka naruszenia zabezpieczeń tożsamości, które udzielają atakującemu dostępu do szerokiego zakresu zasobów.

Pulpit nawigacyjny sieci Web GKE powinien być wyłączony

Opis: To zalecenie ocenia pole kubernetesDashboard właściwości addonsConfig dla pary klucz-wartość "disabled": false.

Ważność: Wysoka

Starsza wersja autoryzacji powinna być wyłączona w klastrach GKE

Opis: To zalecenie ocenia właściwość legacyAbac klastra dla pary klucz-wartość "enabled": true.

Ważność: Wysoka

Uprawnienia tożsamości nieaktywnych w projekcie GCP powinny zostać odwołane

Opis: Microsoft Defender dla Chmury wykryła tożsamość, która nie wykonała żadnej akcji dla żadnego zasobu w projekcie GCP w ciągu ostatnich 45 dni. Zaleca się odwołanie uprawnień nieaktywnych tożsamości w celu zmniejszenia obszaru ataków środowiska chmury.

Ważność: średni rozmiar

Udostępnij za pośrednictwem

Zalecenia dotyczące zabezpieczeń tożsamości i dostępu

Zalecenia dotyczące tożsamości i dostępu na platformie Azure

Zalecenia dotyczące tożsamości i dostępu platformy AWS

Zalecenia dotyczące tożsamości i dostępu platformy GCP

Powiązana zawartość

Opinia

Dodatkowe zasoby