Recomendações de segurança de computação
Este artigo lista todas as recomendações de segurança de computação multinuvem que você pode ver no Microsoft Defender para Nuvem.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para Nuvem.
Dica
Se uma descrição de recomendação disser Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação As falhas de integridade da proteção de ponto de extremidade devem ser corrigidas depende da recomendação que verifica se uma solução de proteção de ponto de extremidade está instalada (a solução de proteção de ponto de extremidade deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas às recomendações fundamentais simplifica o gerenciamento de políticas.
Recomendações de computação do Azure
As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização)
Descrição: Suas máquinas não têm atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção.
Gravidade: Baixa
Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes
Descrição: para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.
Gravidade: Baixa
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores
Descrição: habilite os controles de aplicativo para definir a lista de aplicativos conhecidos e seguros em execução em seus computadores e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, o Defender para Nuvem usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. (Política relacionada: Os controles de aplicativos adaptáveis para definir aplicativos seguros devem ser ativados em suas máquinas).
Gravidade: Alta
As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas
Descrição: monitore alterações no comportamento em grupos de computadores configurados para auditoria pelos controles de aplicativo adaptáveis do Defender para Nuvem. O Defender para Nuvem usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. (Política relacionada: As regras da lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas).
Gravidade: Alta
A autenticação para computadores Linux deve exigir chaves SSH
Descrição: embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais em Etapas detalhadas: criar e gerenciar chaves SSH para autenticação para uma VM do Linux no Azure. (Política relacionada: Audite máquinas Linux que não estão usando a chave SSH para autenticação).
Gravidade: Média
As variáveis da conta de automação devem ser criptografadas
Descrição: é importante ativar a criptografia de ativos variáveis da conta de Automação ao armazenar dados confidenciais. (Política relacionada: As variáveis da conta de automação devem ser criptografadas).
Gravidade: Alta
O Backup do Azure deve ser habilitado para máquinas virtuais
Descrição: proteja os dados em suas máquinas virtuais do Azure com o Backup do Azure. O Backup do Azure é uma solução de proteção de dados econômica e nativa do Azure. Ele cria pontos de recuperação que são armazenados em cofres de recuperação com redundância geográfica. Ao restaurar de um ponto de recuperação, você pode restaurar a VM inteira ou arquivos específicos. (Política relacionada: O Backup do Azure deve ser habilitado para Máquinas Virtuais).
Gravidade: Baixa
(Versão prévia) As máquinas locais do Azure devem atender aos requisitos de núcleo seguro
Descrição: verifique se todos os computadores locais do Azure atendem aos requisitos de núcleo seguro. (Política relacionada: A extensão de configuração de convidado deve ser instalada em computadores - Microsoft Azure).
Gravidade: Baixa
(Versão prévia) As máquinas locais do Azure devem ter políticas de controle de aplicativo impostas de forma consistente
Descrição: no mínimo, aplique a política base do Microsoft WDAC no modo imposto em todos os computadores locais do Azure. As políticas aplicadas do Controle de Aplicativos do Windows Defender (WDAC) devem ser consistentes em todos os servidores do mesmo cluster. (Política relacionada: A extensão de configuração de convidado deve ser instalada em computadores - Microsoft Azure).
Gravidade: Alta
(Versão prévia) Os sistemas locais do Azure devem ter volumes criptografados
Descrição: use o BitLocker para criptografar o sistema operacional e os volumes de dados em sistemas locais do Azure. (Política relacionada: A extensão de configuração de convidado deve ser instalada em computadores - Microsoft Azure).
Gravidade: Alta
Os hosts de contêiner devem ser configurados com segurança
Descrição: corrija vulnerabilidades nas definições de configuração de segurança em computadores com o Docker instalado para protegê-los contra ataques. (Política relacionada: As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas).
Gravidade: Alta
Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados
Descrição: ative os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico em contas do Lote devem ser habilitados
Descrição: ative os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico em contas do Lote devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados
Descrição: ative os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados
Descrição: para garantir que você possa recriar trilhas de atividades para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida, ative o registro em log. Se os logs de diagnóstico não estiverem sendo enviados para um workspace do Log Analytics, uma conta de Armazenamento do Azure ou Hubs de Eventos do Azure, verifique se você definiu as configurações de diagnóstico para enviar métricas e logs de plataforma para os destinos relevantes. Saiba mais em Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes. (Política relacionada: Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico no Barramento de Serviço devem ser habilitados
Descrição: ative os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Barramento de Serviço devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados
Descrição: ative os logs e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados).
Gravidade: Alta
Os problemas de configuração da EDR devem ser resolvidos em máquinas virtuais
Descrição: para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Detecção e Resposta de Ponto de Extremidade) instalada. Atualmente, essa recomendação só se aplica a recursos com Microsoft Defender para Ponto de Extremidade habilitado.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Baixa
A solução EDR deve ser instalada em Máquinas Virtuais
Descrição: a instalação de uma solução de EDR (Detecção e Resposta de Ponto de Extremidade) em máquinas virtuais é importante para a proteção contra ameaças avançadas. Os EDRs ajudam a prevenir, detectar, investigar e responder a essas ameaças. Microsoft Defender para Servidores pode ser usado para implantar Microsoft Defender para Ponto de Extremidade.
- Se um recurso for classificado como "Não íntegro", isso indicará a ausência de uma solução EDR com suporte.
- Se uma solução EDR estiver instalada, mas não puder ser detectada por esta recomendação, ela poderá ser isenta
- Sem uma solução de EDR, as máquinas virtuais correm o risco de ameaças avançadas.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Alta
Problemas de integridade do Endpoint Protection em conjuntos de dimensionamento de máquinas virtuais devem ser resolvidos
Descrição: em conjuntos de dimensionamento de máquinas virtuais, corrija falhas de integridade da proteção de ponto de extremidade para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).
Gravidade: Baixa
O Endpoint Protection deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
Descrição: instale uma solução de proteção de ponto de extremidade em seus conjuntos de dimensionamento de máquinas virtuais para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).
Gravidade: Alta
O monitoramento de integridade de arquivos deve estar habilitado nos computadores
Descrição: o Defender para Nuvem identificou computadores que não têm uma solução de monitoramento de integridade de arquivos. Para monitorar alterações a arquivos críticos, chaves do registro e muito mais em seus servidores, habilite o monitoramento de integridade de arquivos. Quando a solução de monitoramento de integridade de arquivos estiver habilitada, crie regras de coleta de dados para definir os arquivos a serem monitorados. Para definir regras ou ver os arquivos alterados em computadores com regras existentes, vá para a página de gerenciamento de monitoramento de integridade de arquivos. (Não há política relacionada)
Gravidade: Alta
A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux
Descrição: instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais do Linux com suporte para permitir que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais do Linux habilitadas para o início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux
Descrição: instale a extensão Atestado de Convidado em máquinas virtuais Linux com suporte para permitir que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica às máquinas virtuais do Linux habilitadas para o início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows
Descrição: instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais habilitadas para o início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Windows
Descrição: instale a extensão de Atestado de Convidado em máquinas virtuais com suporte para permitir que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
A extensão de Configuração de Convidado deve ser instalada nos computadores
Descrição: para garantir configurações seguras das configurações no convidado do seu computador, instale a extensão Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas de convidado estarão disponíveis, como o Windows Exploit Guard, que devem ser habilitadas. (Política relacionada: As máquinas virtuais devem ter a extensão Configuração de Convidado).
Gravidade: Média
(Versão prévia) A rede de host e VM deve ser protegida em sistemas locais do Azure
Descrição: proteja os dados na rede do host local do Azure e nas conexões de rede da máquina virtual. (Política relacionada: A extensão de configuração de convidado deve ser instalada em computadores - Microsoft Azure).
Gravidade: Baixa
Instalar a solução endpoint protection em máquinas virtuais
Descrição: instale uma solução de proteção de endpoint em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: Monitore o Endpoint Protection ausente na Central de Segurança do Azure).
Gravidade: Alta
As máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost
Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; discos temporários e caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite Visão geral das opções de criptografia de disco gerenciado para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite Noções básicas sobre a configuração do computador do Azure. (Política relacionada: [Versão prévia]: as máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou o EncryptionAtHost).
Substitui a recomendação mais antiga As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento. A recomendação permite auditar a conformidade da criptografia da VM.
Gravidade: Alta
As máquinas virtuais do Linux devem exigir a validação de assinatura do módulo kernel
Descrição: para ajudar a mitigar a execução de código mal-intencionado ou não autorizado no modo kernel, imponha a validação de assinatura do módulo kernel em máquinas virtuais Linux com suporte. A validação de assinatura do módulo kernel garante que somente módulos kernel confiáveis tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)
Gravidade: Baixa
As máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados
Descrição: com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) devem ser assinados por editores confiáveis. O Defender para Nuvem identificou componentes de inicialização de sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. (Não há política relacionada)
Gravidade: Baixa
As máquinas virtuais do Linux devem usar Inicialização segura
Descrição: para se proteger contra a instalação de rootkits e kits de inicialização baseados em malware, ative a Inicialização Segura em máquinas virtuais Linux compatíveis. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)
Gravidade: Baixa
O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux
Descrição: o Defender para Nuvem usa o agente do Log Analytics (também conhecido como OMS) para coletar eventos de segurança de seus computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção. (Não há política relacionada)
Gravidade: Alta
À medida que o uso do AMA e do MMA for eliminado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024
O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
Descrição: o Defender para Nuvem coleta dados de suas VMs (máquinas virtuais) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace para análise. Você também precisará seguir esse procedimento se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Não é possível configurar o provisionamento automático do agente para conjuntos de dimensionamento de máquinas virtuais do Azure. Para implantar o agente em conjuntos de dimensionamento de máquinas virtuais (incluindo aqueles usados por serviços gerenciados do Azure, como o Serviço de Kubernetes do Azure e o Azure Service Fabric), siga o procedimento nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para monitoramento da Central de Segurança do Azure).
À medida que o uso do AMA e do MMA for eliminado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024
Gravidade: Alta
O agente do Log Analytics deve ser instalado em máquinas virtuais
Descrição: o Defender para Nuvem coleta dados de suas VMs (máquinas virtuais) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. Esse agente também será necessário se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Recomendamos configurar o provisionamento automático para implantar automaticamente o agente. Se você optar por não usar o provisionamento automático, implante manualmente o agente nas VMs usando as instruções descritas nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure).
À medida que o uso do AMA e do MMA for eliminado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024
Gravidade: Alta
O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows
Descrição: o Defender para Nuvem usa o agente do Log Analytics (também conhecido como MMA) para coletar eventos de segurança de seus computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção. (Não há política relacionada)
Gravidade: Alta
À medida que o uso do AMA e do MMA for eliminado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024
Os computadores devem ser configurados com segurança
Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas para protegê-las contra ataques. (Política relacionada: Vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas).
Essa recomendação ajuda você a melhorar a postura de segurança do servidor. O Defender para Nuvem aprimora os parâmetros de comparação do CIS (Center for Internet Security) fornecendo linhas de base de segurança que são alimentadas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender. Saiba mais.
Gravidade: Baixa
Os computadores devem ser reiniciados para aplicar atualizações de configuração de segurança
Descrição: para aplicar atualizações de configuração de segurança e se proteger contra vulnerabilidades, reinicie suas máquinas. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)
Gravidade: Baixa
Os computadores devem ter uma solução de avaliação de vulnerabilidade
Descrição: o Defender para Nuvem verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade. Use esta recomendação para implantar uma solução de avaliação de vulnerabilidades. (Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais).
Gravidade: Média
Os computadores devem ter as conclusões de vulnerabilidades resolvidas
Descrição: resolva as descobertas das soluções de avaliação de vulnerabilidade em suas máquinas virtuais. (Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais).
Gravidade: Baixa
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time
Descrição: o Defender para Nuvem identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso Just-In-Time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre acesso à VM JIT (just-in-time). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).
Gravidade: Alta
Microsoft Defender para Servidores deve estar habilitado
Descrição: o Microsoft Defender para servidores fornece proteção contra ameaças em tempo real para as cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus servidores.
a correção dessa recomendação resultará em custos para proteger seus servidores. Se você não tiver nenhum servidor nessa assinatura, nenhum custo será gerado. Se você criar servidores nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Introdução ao Microsoft Defender para servidores. (Política relacionada: O Azure Defender para servidores deve estar habilitado).
Gravidade: Alta
O Microsoft Defender para servidores deve estar habilitado nos workspaces
Descrição: o Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para seus computadores Windows e Linux. Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace serão cobrados quanto ao Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure. Saiba mais em Introdução ao Microsoft Defender para servidores. (Não há política relacionada)
Gravidade: Média
A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows
Descrição: habilite a Inicialização Segura em máquinas virtuais do Windows com suporte para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativado, apenas carregadores de inicialização, kernel e drivers de kernel confiáveis poderão ser executados. Essa avaliação só se aplica às máquinas virtuais do Windows habilitadas para o início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign
Descrição: o Service Fabric fornece três níveis de proteção (Nenhum, Sign e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente. (Política relacionada: Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign).
Gravidade: Alta
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente
Descrição: execute a autenticação do cliente somente por meio do Azure Active Directory no Service Fabric (política relacionada: os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação do cliente).
Gravidade: Alta
As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas
Descrição: instale a segurança do sistema ausente e atualizações críticas para proteger seus conjuntos de dimensionamento de máquinas virtuais do Windows e do Linux. (Política relacionada: As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas).
À medida que o uso do AMA (Agente do Azure Monitor) e do agente do Log Analytics (também conhecido como MMA (Agente de Monitoramento da Microsoft)) é descontinuado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024. Estas recomendações são substituídas por novas.
Gravidade: Alta
As atualizações do sistema devem ser instaladas em suas máquinas
Descrição: instale a segurança do sistema ausente e as atualizações críticas para proteger suas máquinas virtuais e computadores Windows e Linux (política relacionada: as atualizações do sistema devem ser instaladas em seus computadores).
À medida que o uso do AMA (Agente do Azure Monitor) e do agente do Log Analytics (também conhecido como MMA (Agente de Monitoramento da Microsoft)) é descontinuado no Defender para Servidores, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender para Servidores usarão o agente do Microsoft Defender para Ponto de Extremidade ou a verificação sem agente, sem depender do MMA ou do AMA.
Preterição estimada: julho de 2024. Estas recomendações são substituídas por novas.
Gravidade: Alta
As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização)
Descrição: Suas máquinas não têm atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. (Não há política relacionada)
Gravidade: Alta
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada
Descrição: use a criptografia no host para obter criptografia de ponta a ponta para a máquina virtual e os dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em Usar o portal do Azure para habilitar a criptografia de ponta a ponta usando a criptografia no host. (Política relacionada: as máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada).
Gravidade: Média
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager
Descrição: as máquinas virtuais (clássicas) foram preteridas e essas VMs devem ser migradas para o Azure Resource Manager. Como o Azure Resource Manager agora tem recursos completos de IaaS e outros avanços, preterimos o gerenciamento de VMs (máquinas virtuais) IaaS por meio do ASM (Azure Service Manager) em 28 de fevereiro de 2020. Essa funcionalidade será totalmente desativada em 1º de março de 2023.
Para exibir todas as VMs clássicas afetadas, selecione todas as suas assinaturas do Azure na guia 'diretórios + assinaturas'.
Recursos disponíveis e informações sobre esta ferramenta e migração: Visão geral da substituição de máquinas virtuais (clássicas), processo passo a passo para migração e recursos disponíveis da Microsoft.Detalhes sobre a ferramenta de migração Migrar para o Azure Resource Manager.Migre para a ferramenta de migração do Azure Resource Manager usando o PowerShell. (Política relacionada: As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager).
Gravidade: Alta
O status do Atestado de convidado de máquinas virtuais deve ser íntegro
Descrição: o atestado de convidado é executado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos da cadeia de inicialização, que podem ser o resultado de uma bootkit
infecção ou rootkit
.
Essa avaliação se aplica somente a máquinas virtuais habilitadas para Início confiável que têm a extensão de Atestado de convidado instalada.
(Não há política relacionada)
Gravidade: Média
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema
Descrição: a extensão Configuração de Convidado requer uma identidade gerenciada atribuída pelo sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais (Política relacionada: a extensão de Configuração de Convidado deve ser implantada em máquinas virtuais do Azure com identidade gerenciada atribuída pelo sistema).
Gravidade: Média
Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança
Descrição: em conjuntos de dimensionamento de máquinas virtuais, corrija vulnerabilidades para protegê-las contra ataques. (Política relacionada: As vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas).
Gravidade: Alta
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento
Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; discos temporários e caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Para obter uma comparação de diferentes tecnologias de criptografia de disco do Azure, confira Visão geral das opções de criptografia de disco gerenciado. Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se:
Você está usando o recurso de criptografia no host ou a criptografia do lado do servidor no Managed Disks atende aos seus requisitos de segurança. Saiba mais em criptografia do lado do servidor do Armazenamento em Disco do Azure.
(Política relacionada: A criptografia de disco deve ser aplicada em máquinas virtuais)
Gravidade: Alta
O vTPM deve estar habilitado em máquinas virtuais compatíveis
Descrição: habilite o dispositivo TPM virtual em máquinas virtuais com suporte para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.
- O início confiável requer a criação de novas máquinas virtuais.
- Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)
Gravidade: Baixa
É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)
Descrição: corrija vulnerabilidades na configuração de segurança em seus computadores Linux para protegê-los contra ataques. (Política relacionada: Os computadores Linux devem atender aos requisitos da linha de base de segurança do Azure).
Gravidade: Baixa
É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado)
Descrição: corrija vulnerabilidades na configuração de segurança em seus computadores Windows para protegê-los contra ataques. (Não há política relacionada)
Gravidade: Baixa
O Microsoft Defender Exploit Guard deve ser habilitado nos computadores
Descrição: o Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). (Política relacionada: Audite máquinas Windows nas quais o Windows Defender Exploit Guard não está habilitado).
Gravidade: Média
As máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou EncryptionAtHost
Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; discos temporários e caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite Visão geral das opções de criptografia de disco gerenciado para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite Noções básicas sobre a configuração do computador do Azure. (Política relacionada: [Versão prévia]: as máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou o EncryptionAtHost).
Substitui a recomendação mais antiga As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento. A recomendação permite auditar a conformidade da criptografia da VM.
Gravidade: Alta
Os servidores Web do Windows devem ser configurados para usar protocolos de comunicação segura
Descrição: para proteger a privacidade das informações comunicadas pela Internet, seus servidores da Web devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. (Política relacionada: Auditar servidores Web do Windows que não estão usando protocolos de comunicação seguros).
Gravidade: Alta
Recomendações de computação da AWS
As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPLIANT após uma instalação de patch
Descrição: esse controle verifica se o status de conformidade do patch do Amazon EC2 Systems Manager é COMPLIANT ou NON_COMPLIANT após a instalação do patch na instância. Ele verifica apenas as instâncias gerenciadas pelo AWS Systems Manager Patch Manager. Ele não verifica se o patch foi aplicado dentro do limite de 30 dias prescrito pelo requisito '6.2' do PCI DSS. Também não valida se os patches aplicados foram classificados como patches de segurança. Você deve criar grupos de patches com as configurações de linha de base apropriadas e verificar se os sistemas dentro do escopo são gerenciados por esses grupos de patches no Systems Manager. Para obter mais informações sobre grupos de patches, consulte o Guia do usuário do AWS Systems Manager.
Gravidade: Média
O Amazon EFS deve ser configurado para criptografar dados de arquivo em repouso usando o AWS KMS
Descrição: esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando o AWS KMS. A verificação falha nos seguintes casos: *"Encrypted" é definido como "false" na resposta DescribeFileSystems. A chave "KmsKeyId" na resposta DescribeFileSystems não corresponde ao parâmetro KmsKeyId para efs-encrypted-check. Observe que esse controle não usa o parâmetro "KmsKeyId" para efs-encrypted-check. Verifica apenas o valor de "Encrypted". Para obter uma camada adicional de segurança para os dados confidenciais no Amazon EFS, você deve criar sistemas de arquivos criptografados. O Amazon EFS dá suporte à criptografia para sistemas de arquivos em repouso. Você pode habilitar a criptografia de dados inativos ao criar um sistema de arquivos do Amazon EFS. Para saber mais sobre a criptografia do Amazon EFS, confira Criptografia de dados no Amazon EFS no Guia do Usuário do Sistema de Arquivos Elástico do Amazon.
Gravidade: Média
Os volumes do Amazon EFS devem estar nos planos de backup
Descrição: esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) são adicionados aos planos de backup no AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup. A inclusão de sistemas de arquivos do EFS nos planos de backup ajuda a proteger os dados contra a exclusão e perda de dados.
Gravidade: Média
A proteção contra exclusão do Balanceador de Carga do Aplicativo deve estar habilitada
Descrição: esse controle verifica se um Application Load Balancer tem a proteção contra exclusão habilitada. O controle falhará se a proteção contra exclusão não estiver configurada. Habilite a proteção contra exclusão para proteger o Balanceador de Carga do Aplicativo contra exclusão.
Gravidade: Média
Os grupos de Dimensionamento Automático associados a um balanceador de carga devem usar verificações de integridade
Descrição: os grupos do Auto Scaling associados a um load balancer estão usando verificações de integridade do Elastic Load Balancing. O PCI DSS não requer balanceamento de carga ou configurações altamente disponíveis. Isso é recomendado pelas melhores práticas do AWS.
Gravidade: Baixa
As contas AWS devem ter o provisionamento automático do Azure Arc habilitado
Descrição: para visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, as instâncias do EC2 devem estar conectadas ao Azure Arc. Para garantir que todas as instâncias qualificadas do EC2 recebam automaticamente o Azure Arc, habilite o provisionamento automático do Defender para Nuvem no nível da conta do AWS. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores.
Gravidade: Alta
As distribuições do CloudFront devem ter o failover de origem configurado
Descrição: esse controle verifica se uma distribuição do Amazon CloudFront está configurada com um grupo de origens que tenha duas ou mais origens. O failover de origem do CloudFront pode aumentar a disponibilidade. O failover de origem redirecionará o tráfego automaticamente para uma origem secundária, se a origem primária não estiver disponível ou se retornar códigos de status de resposta HTTP específicos.
Gravidade: Média
As URLs do repositório de origem do CodeBuild GitHub ou do Bitbucket devem usar o OAuth
Descrição: esse controle verifica se a URL do repositório de origem do GitHub ou do Bitbucket contém tokens de acesso pessoal ou um nome de usuário e senha. As credenciais de autenticação nunca devem ser armazenadas ou transmitidas em texto não criptografado, nem exibidas na URL do repositório. Em vez de tokens de acesso pessoal ou nome de usuário e senha, você deve usar o OAuth para conceder autorização para acessar repositórios do GitHub ou do Bitbucket. Usar tokens de acesso pessoal ou um nome de usuário e senha pode submeter as credenciais à exposição acidental de dados e ao acesso não autorizado.
Gravidade: Alta
As variáveis de ambiente do projeto CodeBuild não devem conter credenciais
Descrição: esse controle verifica se o projeto contém as variáveis de ambiente e AWS_SECRET_ACCESS_KEY
as variáveis AWS_ACCESS_KEY_ID
.
As credenciais de autenticação AWS_ACCESS_KEY_ID
e AWS_SECRET_ACCESS_KEY
nunca devem ser armazenadas em texto não criptografado, pois isso pode levar à exposição acidental de dados e ao acesso não autorizado.
Gravidade: Alta
Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
Descrição: esse controle verifica se um cluster DAX está criptografado em repouso. A criptografia de dados inativos reduz o risco de que os dados armazenados em disco sejam acessados por um usuário não autenticado no AWS. A criptografia adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões de API são necessárias para descriptografar os dados, antes que possam ser lidos.
Gravidade: Média
As tabelas DynamoDB devem dimensionar automaticamente a capacidade com a demanda
Descrição: esse controle verifica se uma tabela do Amazon DynamoDB pode escalar sua capacidade de leitura e gravação conforme necessário. Esse controle será aprovado se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o dimensionamento automático configurado. O dimensionamento da capacidade com demanda evita exceções de limitação, o que ajuda a manter a disponibilidade dos aplicativos.
Gravidade: Média
As instâncias do EC2 devem estar conectadas ao Azure Arc
Descrição: conecte suas instâncias do EC2 ao Azure Arc para ter visibilidade total do conteúdo de segurança do Microsoft Defender para Servidores. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores no ambiente de nuvem híbrida.
Gravidade: Alta
As instâncias do EC2 devem ser gerenciadas pelo AWS Systems Manager
Descrição: o status da conformidade do patch do Amazon EC2 Systems Manager é "COMPLIANT" ou "NON_COMPLIANT" após a instalação do patch na instância. Somente as instâncias gerenciadas pelo AWS Systems Manager Patch Manager são verificadas. Os patches que foram aplicados dentro do limite de 30 dias prescrito pelo requisito '6' do PCI DSS não são verificados.
Gravidade: Média
Os problemas de configuração da EDR devem ser resolvidos em EC2s
Descrição: para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Detecção e Resposta de Ponto de Extremidade) instalada. Atualmente, essa recomendação só se aplica a recursos com Microsoft Defender para Ponto de Extremidade habilitado.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Alta
A solução EDR deve ser instalada em EC2s
Descrição: para proteger o EC2s, instale uma solução de detecção e resposta de endpoint (EDR). As EDRs ajudam a prevenir, detectar, investigar e responder a ameaças avançadas. Use o Microsoft Defender para Servidores para implantar o Microsoft Defender para Ponto de Extremidade. Se o recurso for classificado como "Não íntegro", ele não terá uma solução de EDR com suporte instalada. Se você tiver uma solução EDR instalada que não seja detectável por esta recomendação, poderá isentá-la.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Alta
As instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT
Descrição: esse controle verifica se o status da conformidade da associação do AWS Systems Manager é COMPLIANT ou NON_COMPLIANT após a associação ser executada em uma instância. O controle será aprovado se o status de conformidade de associação for COMPLIANT. Uma associação do State Manager é uma configuração atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve ser instalado e executado nas instâncias ou que determinadas portas devem ser fechadas. Depois de criar uma ou mais associações do State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você no console ou em resposta a comandos da CLI do AWS ou operações de API do System Manager correspondentes. Para associações, a Conformidade de "Configuração" mostra os status de Compatível ou Não compatível e o nível de gravidade atribuído à associação, como Crítico ou Médio. Para saber mais sobre a conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no Guia do usuário do AWS Systems Manager. Você deve configurar as instâncias do EC2 no escopo para associação do Systems Manager. Você também deve configurar a linha de base de patch para a classificação de segurança do fornecedor de patches e definir a data de aprovação automática para atender ao requisito 6.2 do PCI DSS 3.2.1. Para obter mais orientações sobre como criar uma associação, consulte Criar uma associação no Guia do usuário do AWS Systems Manager. Para obter mais informações sobre como trabalhar com aplicação de patches no Systems Manager, consulte AWS Systems Manager Patch Manager no Guia do usuário do AWS Systems Manager.
Gravidade: Baixa
As funções Lambda devem ter uma fila de mensagens mortas configurada
Descrição: esse controle verifica se uma função do Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar a função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas atua da mesma forma que um destino em caso de falha. É usada quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você veja erros ou solicitações com falha para que a função Lambda depure ou identifique comportamentos incomuns. Do ponto de vista de segurança, é importante entender por que a função falhou e garantir que a função não remova dados nem comprometa a segurança dos dados consequentemente. Por exemplo, se a função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de DoS (Negação de Serviço) em outro lugar na rede.
Gravidade: Média
As funções Lambda devem usar runtimes com suporte
Descrição: esse controle verifica se as configurações da função do Lambda para tempos de execução correspondem aos valores esperados definidos para os tempos de execução compatíveis para cada idioma. Esse controle verifica os seguintes tempos de execução: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Tempos de execução do Lambda são construídos em torno de uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitas a manutenção e atualizações de segurança. Quando um componente de runtime não tem mais suporte para atualizações de segurança, o Lambda substitui o runtime. Mesmo que você não possa criar funções que usam o runtime preterido, a função ainda está disponível para processar eventos de invocação. Certifique-se de que suas funções do Lambda estejam atualizadas e não usem ambientes de tempo de execução desatualizados. Para saber mais sobre os runtimes com suporte que esse controle verifica para os idiomas com suporte, confira Runtimes lambda do AWS no Guia do Desenvolvedor Lambda do AWS.
Gravidade: Média
As portas de gerenciamento das instâncias do EC2 devem ser protegidas com o controle de acesso à rede JIT
Descrição: Microsoft Defender para Nuvem identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em sua rede. Habilite o controle de acesso JIT para proteger as Instâncias contra ataques de força bruta baseados na Internet. Saiba mais.
Gravidade: Alta
Os grupos de segurança do EC2 não utilizados devem ser removidos
Descrição: os grupos de segurança devem ser anexados a instâncias do Amazon EC2 ou a uma ENI. A descoberta íntegra pode indicar que há grupos de segurança do Amazon EC2 não utilizados.
Gravidade: Baixa
Recomendações do GCP Compute
As VMs do Mecanismo de Computação devem usar o Sistema Operacional Otimizado Para Contêineres
Descrição: essa recomendação avalia a propriedade de configuração de um pool de nós para o par chave-valor, 'imageType': 'COS'.
Gravidade: Baixa
Os problemas de configuração da EDR devem ser resolvidos em máquinas virtuais GCP
Descrição: para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Detecção e Resposta de Ponto de Extremidade) instalada. Atualmente, essa recomendação só se aplica a recursos com Microsoft Defender para Ponto de Extremidade habilitado.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Alta
A solução EDR deve ser instalada em máquinas virtuais GCP
Descrição: para proteger máquinas virtuais, instale uma solução de EDR (Detecção e Resposta de Ponto de Extremidade). As EDRs ajudam a prevenir, detectar, investigar e responder a ameaças avançadas. Use o Microsoft Defender para Servidores para implantar o Microsoft Defender para Ponto de Extremidade. Se o recurso for classificado como "Não íntegro", ele não terá uma solução de EDR com suporte instalada. Se você tiver uma solução EDR instalada que não seja detectável por esta recomendação, poderá isentá-la.
Essa recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender para Servidores ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte a computadores do Azure e multinuvem. Não há suporte para servidores locais.
- Essas novas recomendações de ponto de extremidade sem agente substituem as recomendações existentes: a proteção de ponto de extremidade deve ser instalada em seus computadores (versão prévia) e os problemas de integridade do Endpoint Protection devem ser resolvidos em seus computadores (versão prévia).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem descontinuados no Defender para Servidores.
Gravidade: Alta
Certifique-se de que a opção 'Bloquear chaves SSH do projeto' esteja habilitada para instâncias de VM
Descrição: é recomendável usar chaves SSH específicas da instância em vez de usar chaves SSH comuns/compartilhadas em todo o projeto para acessar instâncias. As chaves SSH em todo o projeto são armazenadas em Compute/Project-meta-data. As chaves SSH em todo o projeto podem ser usadas para fazer login em todas as instâncias do projeto. O uso de chaves SSH em todo o projeto facilita o gerenciamento de chaves SSH, mas, se comprometido, representa o risco de segurança que pode afetar todas as instâncias do projeto. É recomendável usar chaves SSH específicas da instância que podem limitar a superfície de ataque se as chaves SSH forem comprometidas.
Gravidade: Média
Verificar se as instâncias de computação foram iniciadas com a opção de VM Protegida habilitada
Descrição: para se defender contra ameaças avançadas e garantir que o carregador de inicialização e o firmware em suas VMs sejam assinados e não adulterados, é recomendável que as instâncias de computação sejam iniciadas com a VM blindada habilitada.
As VMs blindadas são VMs no Google Cloud Platform reforçadas por um conjunto de controles de segurança que ajudam a defender contra rootkits
o .bootkits
A VM blindada oferece integridade verificável de suas instâncias de VM do Mecanismo de Computação, para que você possa ter certeza de que suas instâncias não foram comprometidas por malware ou rootkits no nível de kernel ou inicialização.
A integridade verificável da VM blindada é obtida por meio do uso de inicialização segura, inicialização medida habilitada para vTPM (módulo de plataforma confiável virtual) e monitoramento de integridade.
As instâncias de VM blindadas executam firmware assinado e verificado usando a Autoridade de certificação do Google, garantindo que o firmware da instância não seja modificado e estabelecendo a raiz de confiança para a inicialização segura.
O monitoramento de integridade ajuda você a entender e tomar decisões sobre o estado de suas instâncias de VM e o vTPM da VM blindada permite a inicialização medida executando as medidas necessárias para criar uma linha de base de inicialização boa conhecida, chamada de linha de base da política de integridade.
A linha de base da política de integridade é usada para comparação com as medidas das inicializações de VM subsequentes a fim de determinar se alguma coisa foi alterada.
A inicialização segura ajuda a garantir que o sistema execute apenas o software autêntico verificando a assinatura digital de todos os componentes de inicialização e interrompendo o processo de inicialização se a verificação de assinatura falhar.
Gravidade: Alta
Certifique-se de que 'Habilitar a conexão com portas seriais' não esteja habilitado para a instância de VMs
Descrição: A interação com uma porta serial é frequentemente chamada de console serial, que é semelhante ao uso de uma janela de terminal, pois a entrada e a saída são totalmente em modo de texto e não há interface gráfica ou suporte a mouse. Se você habilitar o console serial interativo em uma instância, os clientes poderão tentar se conectar a essa instância a partir de qualquer endereço IP. Portanto, o suporte interativo ao console serial deve ser desabilitado. Uma instância de máquina virtual tem quatro portas serial virtuais. Interagir com uma porta serial é semelhante ao uso de uma janela de terminal, em que a entrada e a saída são inteiramente em modo de texto e não há interface gráfica ou suporte para mouse. O sistema operacional da instância, o BIOS e outras entidades no nível do sistema geralmente gravam a saída nas portas seriais e podem aceitar entradas como comandos ou respostas para prompts. Normalmente, essas entidades no nível do sistema usam a primeira porta serial (porta 1), a qual é geralmente chamada de console serial. O console serial interativo não dá suporte a restrições de acesso baseadas em IP, como listas de permissões de IP. Se você habilitar o console serial interativo em uma instância, os clientes poderão tentar se conectar a essa instância a partir de qualquer endereço IP. Isso permite que qualquer pessoa se conecte a essa instância se souber a chave SSH correta, o nome de usuário, a ID do projeto, a zona e o nome da instância. Portanto, o suporte interativo ao console serial deve ser desabilitado.
Gravidade: Média
Certifique-se de que a sinalização do banco de dados 'log_duration' da instância do Cloud SQL PostgreSQL esteja definida como 'ativada'
Descrição: Habilitar a configuração log_hostname faz com que a duração de cada instrução concluída seja registrada. Isso não registra o texto da consulta e, portanto, se comporta de maneira diferente do sinalizador log_min_duration_statement. Esse parâmetro não pode ser alterado após o início da sessão. Monitorar o tempo necessário para executar as consultas pode ser crucial para identificar qualquer consulta de recurso e avaliar o desempenho do servidor. Outras etapas, como balanceamento de carga e uso de consultas otimizadas, podem ser executadas para garantir o desempenho e a estabilidade do servidor. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que a sinalização do banco de dados 'log_executor_stats' da instância do Cloud SQL PostgreSQL esteja definida como 'desativada'
Descrição: O executor do PostgreSQL é responsável por executar o plano entregue pelo planejador do PostgreSQL. O executor processa o plano recursivamente para extrair o conjunto de linhas necessário. O sinalizador "log_executor_stats" controla a inclusão de estatísticas de desempenho do executor do PostgreSQL nos logs do PostgreSQL para cada consulta. O sinalizador "log_executor_stats" habilita um método de criação de perfil bruto para registrar estatísticas de desempenho do executor do PostgreSQL, que, embora possa ser útil para solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que o sinalizador do banco de dados 'log_min_error_statement' da instância do Cloud SQL PostgreSQL esteja definido como 'Erro' ou mais estrito
Descrição: o sinalizador "log_min_error_statement" define o nível mínimo de gravidade da mensagem que é considerado uma instrução de erro. As mensagens para instruções de erro são registradas com a instrução SQL. Os valores válidos incluem "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" e "PANIC". Cada nível de gravidade inclui os níveis subsequentes mencionados acima. Certifique-se de que um valor de ERROR ou mais estrito esteja definido. A auditoria ajuda na solução de problemas operacionais e também permite a análise forense. Se "log_min_error_statement" não estiver definido com o valor correto, as mensagens poderão não ser classificadas como mensagens de erro adequadamente. Considerando mensagens de log gerais como mensagens de erro fariam é difícil encontrar erros reais e considerando apenas níveis de gravidade mais rigorosos, pois as mensagens de erro podem ignorar erros reais para registrar suas instruções SQL. O sinalizador "log_min_error_statement" deve ser definido como "ERROR" ou mais estrito. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que a sinalização do banco de dados 'log_hostname' da instância do Cloud SQL PostgreSQL esteja definida como 'desativada'
Descrição: o planejador/otimizador do PostgreSQL é responsável por analisar e verificar a sintaxe de cada consulta recebida pelo servidor. Se a sintaxe estiver correta, uma "árvore de análise" será criada. Caso contrário, um erro será gerado. O sinalizador "log_parser_stats" controla a inclusão de estatísticas de desempenho do analisador nos logs do PostgreSQL para cada consulta. O sinalizador "log_parser_stats" habilita um método de criação de perfil bruto para registrar estatísticas de desempenho do analisador, que, embora possa ser útil para solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Cerifique-se de que a sinalização do banco de dados 'log_planner_stats' da instância do Cloud SQL PostgreSQL esteja definida como 'desativada'
Descrição: a mesma consulta SQL pode ser executada de várias maneiras e ainda produzir resultados diferentes. O planejador/otimizador do PostgreSQL é responsável por criar um plano de execução ideal para cada consulta. O sinalizador "log_planner_stats" controla a inclusão de estatísticas de desempenho do planejador do PostgreSQL nos logs do PostgreSQL para cada consulta. O sinalizador "log_planner_stats" habilita um método de criação de perfil bruto para registrar estatísticas de desempenho do planejador PostgreSQL, que, embora possa ser útil para solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que a sinalização do banco de dados 'log_statement_stats' da instância PostgreSQL do Cloud SQL esteja definida como 'desativada'
Descrição: o sinalizador "log_statement_stats" controla a inclusão de estatísticas de desempenho de ponta a ponta de uma consulta SQL nos logs do PostgreSQL para cada consulta. Isso não pode ser habilitado com outras estatísticas do módulo (log_parser_stats, log_planner_stats, log_executor_stats). O sinalizador "log_statement_stats" permite um método de criação de perfil bruto para registrar estatísticas de desempenho de ponta a ponta de uma consulta SQL. Isso pode ser útil para solução de problemas, mas pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que as instâncias de computação não tenham endereços IP públicos
Descrição: as instâncias de computação não devem ser configuradas para ter endereços IP externos.
Para reduzir sua superfície de ataque, as instâncias do serviço Compute não devem ter endereços IP públicos. Em vez disso, as instâncias devem ser configuradas por trás de balanceadores de carga, a fim de minimizar a exposição da instância à Internet.
As instâncias criadas pelo GKE devem ser excluídas porque algumas delas têm endereços IP externos e não podem ser alteradas editando as configurações da instância.
Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
como .
Gravidade: Alta
Certifique-se de que as instâncias não estejam configuradas para usar a conta do serviço padrão
Descrição: é recomendável configurar sua instância para não usar a conta de serviço padrão do Compute Engine porque ela tem o papel de Editor no projeto.
A conta de serviço padrão do Mecanismo de Computação tem a função Editor no projeto, que permite acesso de leitura e gravação à maioria dos Serviços de Nuvem do Google.
Para se defender contra escalonamentos de privilégios se sua VM estiver comprometida e impedir que um invasor tenha acesso a todos os seus projetos, é recomendável não usar a conta de serviço padrão do Compute Engine.
Em vez disso, você deve criar uma nova conta de serviço e atribuir apenas as permissões necessárias para sua instância.
A conta de serviço padrão do Compute Engine é chamada de [PROJECT_NUMBER]- compute@developer.gserviceaccount.com
.
As VMs criadas pelo GKE devem ser excluídas. Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
como .
Gravidade: Alta
Certifique-se de que as instâncias não estejam configuradas para usar a conta de serviço padrão com acesso completo a todas as APIs do Cloud
Descrição: para oferecer suporte ao princípio de privilégios mínimos e evitar possíveis escalonamentos de privilégios, é recomendável que as instâncias não sejam atribuídas à conta de serviço padrão "Conta de serviço padrão do Compute Engine" com o escopo "Permitir acesso total a todas as APIs do Cloud". Além da capacidade de criar, gerenciar e usar contas de serviço personalizadas gerenciadas pelo usuário, o Google Compute Engine fornece a conta de serviço padrão "Conta de serviço padrão do Compute Engine" para que uma instância acesse os serviços de nuvem necessários.
A função "Editor de Projetos" é atribuída à "conta de serviço padrão do Mecanismo de Computação" e, portanto, essa conta de serviço tem quase todos os recursos em todos os serviços de nuvem, exceto cobrança. No entanto, quando a "conta de serviço padrão do Compute Engine" é atribuída a uma instância, ela pode operar em três escopos.
- Permitir acesso padrão: Permite apenas o acesso mínimo necessário para executar uma instância (privilégios mínimos).
- Permitir acesso total a todas as APIs de nuvem: Permitir acesso total a todas as APIs/serviços de nuvem (muito acesso).
- Definir acesso para cada API: permite que o administrador da instância escolha apenas as APIs necessárias para executar a funcionalidade de negócios específica esperada pela instância.
Quando uma instância é configurada com "Conta de serviço padrão do Compute Engine" com o escopo "Permitir acesso total a todas as APIs do Cloud", com base nos papéis do IAM atribuídos aos usuários que acessam a instância, ela pode permitir que o usuário execute operações de nuvem/chamadas de API que o usuário não deveria realizar, levando a um escalonamento de privilégios bem-sucedido.
As VMs criadas pelo GKE devem ser excluídas. Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
como .
Gravidade: Média
Certifique-se de que o encaminhamento de IP não esteja habilitado em Instâncias
Descrição: a instância do Compute Engine não pode encaminhar um pacote, a menos que o endereço IP de origem do pacote corresponda ao endereço IP da instância. Da mesma forma, o GCP não entregará um pacote cujo endereço IP de destino seja diferente do endereço IP da instância que recebe o pacote. No entanto, ambas as funcionalidades serão necessárias se você quiser usar instâncias para ajudar a rotear pacotes. O encaminhamento de pacotes de dados deve ser desabilitado para evitar a perda de dados ou a divulgação de informações. A instância do Compute Engine não pode encaminhar um pacote, a menos que o endereço IP de origem do pacote corresponda ao endereço IP da instância. Da mesma forma, o GCP não entregará um pacote cujo endereço IP de destino seja diferente do endereço IP da instância que recebe o pacote. No entanto, ambas as funcionalidades serão necessárias se você quiser usar instâncias para ajudar a rotear pacotes. Para habilitar essa verificação de IP de origem e destino, desative o campo canIpForward, que permite que uma instância envie e receba pacotes com IPs de destino ou origem não correspondentes.
Gravidade: Média
Certifique-se de que o sinalizador do banco de dados 'log_checkpoints' para o Cloud SQL na instância PostgreSQL esteja definido como 'ativado'
Descrição: verifique se a sinalização do banco de dados log_checkpoints para a instância do PostgreSQL do Cloud SQL está ativada. Habilitar log_checkpoints faz com que pontos de verificação e pontos de reinicialização sejam registrados no log do servidor. Algumas estatísticas são incluídas nas mensagens de log, incluindo o número de buffers gravados e o tempo gasto gravando-os. Este parâmetro só pode ser definido no arquivo postgresql.conf ou na linha de comando do servidor. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se que o sinalizador do banco de dados 'log_lock_waits' para o Cloud SQL na instância do PostgreSQL esteja definido como 'ativado'
Descrição: ativar o sinalizador "log_lock_waits" para uma instância do PostgreSQL cria um log para todas as esperas de sessão que demoram mais do que o tempo de "deadlock_timeout" alocado para adquirir um bloqueio. O tempo limite de deadlock define o tempo de espera em um bloqueio antes de verificar se há quaisquer condições. Os runovers frequentes no tempo limite de deadlock podem ser uma indicação de um problema subjacente. O registro dessas esperas em bloqueios habilitando o sinalizador log_lock_waits pode ser usado para identificar baixo desempenho devido a atrasos de bloqueio ou se um SQL especialmente criado estiver tentando privar recursos por meio da retenção de bloqueios por períodos excessivos de tempo. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que o sinalizador do banco de dados 'log_min_duration_statement' para o Cloud SQL na instância do PostgreSQL esteja definido como '-1'
Descrição: o sinalizador "log_min_duration_statement" define a quantidade mínima de tempo de execução de uma instrução em milissegundos em que a duração total da instrução é registrada. Certifique-se de que "log_min_duration_statement" esteja desabilitado, ou seja, um valor de -1 esteja definido. As instruções SQL de log podem incluir informações confidenciais que não devem ser registradas nos logs. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que o sinalizador do banco de dados 'log_min_messages' para o Cloud SQL na instância do PostgreSQL esteja definido adequadamente
Descrição: o sinalizador "log_min_error_statement" define o nível mínimo de gravidade da mensagem que é considerado uma instrução de erro. As mensagens para instruções de erro são registradas com a instrução SQL. Os valores válidos incluem "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" e "PANIC". Cada nível de gravidade inclui os níveis subsequentes mencionados acima. Para desativar efetivamente as instruções de falha de registro, defina esse parâmetro como PANIC. ERROR é considerado a configuração de melhor prática. As alterações só devem ser feitas de acordo com a política de registro em log da organização. A auditoria ajuda na solução de problemas operacionais e também permite a análise forense. Se "log_min_error_statement" não estiver definido com o valor correto, as mensagens poderão não ser classificadas como mensagens de erro adequadamente. Considerar mensagens de log gerais como mensagens de erro dificultaria a localização de erros reais, enquanto considerar apenas níveis de gravidade mais rígidos, pois as mensagens de erro podem ignorar erros reais para registrar suas instruções SQL. O sinalizador "log_min_error_statement" deve ser definido de acordo com a política de registro em log da organização. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se a sinalização de banco de dados "log_temp_files" para a instância do PostgreSQL do Cloud SQL está definida como "0"
Descrição: o PostgreSQL pode criar um arquivo temporário para ações como classificação, hash e resultados de consultas temporárias quando essas operações excedem "work_mem". O sinalizador "log_temp_files" controla os nomes de log e o tamanho do arquivo quando ele é excluído. Configurar "log_temp_files" como 0 faz com que todas as informações de arquivos temporários sejam registradas, enquanto os valores positivos registram apenas arquivos cujo tamanho é maior ou igual ao número especificado de quilobytes. Um valor de "-1" desabilita o registro em log de informações de arquivos temporários. Se todos os arquivos temporários não forem registrados, pode ser mais difícil identificar possíveis problemas de desempenho que podem ser devidos à codificação incorreta do aplicativo ou a tentativas deliberadas de falta de recursos.
Gravidade: Baixa
Certifique-se de que os discos de VM para VMs críticas estejam criptografados com a chave de criptografia fornecida pelo cliente
Descrição: as chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês) são um recurso do Google Cloud Storage e do Google Compute Engine. Se você fornecer suas próprias chaves de criptografia, o Google usará sua chave para proteger as chaves geradas por ele usadas para criptografar e descriptografar seus dados. Por padrão, o Google Compute Engine criptografa todos os dados inativos. O Mecanismo de Computação manipula e gerencia essa criptografia para você sem nenhuma ação adicional de sua parte. No entanto, se você quiser controlar e gerenciar essa criptografia por conta própria, poderá fornecer suas próprias chaves de criptografia. Por padrão, o Google Compute Engine criptografa todos os dados inativos. O Mecanismo de Computação manipula e gerencia essa criptografia para você sem nenhuma ação adicional de sua parte. No entanto, se você quiser controlar e gerenciar essa criptografia por conta própria, poderá fornecer suas próprias chaves de criptografia. Se você fornecer suas próprias chaves de criptografia, o Mecanismo de Computação usará sua chave para proteger as chaves geradas por ele usadas para criptografar e descriptografar seus dados. Somente os usuários que podem fornecer a chave correta podem usar recursos protegidos por uma chave de criptografia fornecida pelo cliente. O Google não armazena suas chaves em seus servidores e não pode acessar seus dados protegidos, a menos que você forneça a chave. Isso também significa que, se você esquecer ou perder sua chave, não há como o Google recuperar a chave ou recuperar quaisquer dados criptografados com a chave perdida. Pelo menos as VMs comercialmente críticas devem ter discos de VM criptografados com CSEK.
Gravidade: Média
As projetos do GCP devem ter o provisionamento automático do Azure Arc habilitado
Descrição: para visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, as instâncias de VM do GCP devem estar conectadas ao Azure Arc. Para garantir que todas as instâncias de VM qualificadas recebam automaticamente o Azure Arc, habilite o provisionamento automático do Defender para Nuvem no nível do projeto do GCP. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores.
Gravidade: Alta
As instâncias de VM do GCP devem estar conectadas ao Azure Arc
Descrição: conecte suas Máquinas Virtuais do GCP ao Azure Arc para ter visibilidade total do conteúdo de segurança do Microsoft Defender para Servidores. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores no ambiente de nuvem híbrida.
Gravidade: Alta
As instâncias de VM do GCP devem ter o agente de configuração do sistema operacional instalado
Descrição: para receber todos os recursos do Defender para Servidores usando o provisionamento automático do Azure Arc, as VMs do GCP devem ter o agente de configuração do sistema operacional habilitado.
Gravidade: Alta
A funcionalidade de reparo automático do cluster do GKE deve estar habilitado
Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, 'key': 'autoRepair', 'value': true.
Gravidade: Média
A funcionalidade de atualização automática do cluster do GKE deve estar habilitado
Descrição: essa recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, 'key': 'autoUpgrade', 'value': true.
Gravidade: Alta
O monitoramento dos clusters do GKE deve estar habilitado
Descrição: essa recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring precisa usar para gravar métricas.
Gravidade: Média