Recomendações de segurança de rede
Este artigo lista todas as recomendações de segurança de rede que você pode ver no Microsoft Defender para Nuvem.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender para Nuvem.
Dica
Se uma descrição de recomendação disser Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação As falhas de integridade da proteção de ponto de extremidade devem ser corrigidas depende da recomendação que verifica se uma solução de proteção de ponto de extremidade está instalada (a solução de proteção de ponto de extremidade deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas às recomendações fundamentais simplifica o gerenciamento de políticas.
Recomendações de rede do Azure
O acesso às contas de armazenamento com configurações de firewall e de rede virtual deve ser restrito
Descrição: examine as configurações de acesso à rede nas configurações de firewall da conta de armazenamento. Recomendamos configurar as regras de rede de modo que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede).
Gravidade: Baixa
As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet
Descrição: o Defender para Nuvem analisou os padrões de comunicação de tráfego da Internet das máquinas virtuais listadas abaixo e determinou que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em uma superfície de ataque potencial aumentada. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem. (Política relacionada: As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet).
Gravidade: Alta
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual
Descrição: o Defender para Nuvem identificou algumas das regras de entrada dos grupos de segurança de rede como muito permissivas. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. (Política relacionada: Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual).
Gravidade: Alta
A Proteção contra DDoS do Azure Standard deve estar habilitada
Descrição: o Defender para Nuvem descobriu redes virtuais com recursos do Gateway de Aplicativo desprotegidos pelo serviço de proteção contra DDoS. Esses recursos contêm IPs públicos. Habilitar a mitigação de ataques de protocolo e volumétricos de rede. (Política relacionada: A Proteção contra DDoS do Azure Standard deve estar habilitada).
Gravidade: Média
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede
Descrição: proteja sua VM contra possíveis ameaças restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, dentro ou fora da mesma sub-rede. Para manter seu computador o mais seguro possível, o acesso da VM à Internet precisa ser restrito e um NSG precisa ser habilitado na sub-rede. As VMs com severidade 'Alta' são VMs para a Internet. (Política relacionada: As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede).
Gravidade: Alta
O encaminhamento IP na máquina virtual deve ser desabilitado
Descrição: o Defender para Nuvem descobriu que o encaminhamento de IP está habilitado em algumas de suas máquinas virtuais. A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. (Política relacionada: O encaminhamento de IP em sua máquina virtual deve ser desabilitado).
Gravidade: Média
Os computadores devem ter portas fechadas que possam expor vetores de ataque
Descrição: os termos de uso do Azure proíbem o uso dos serviços do Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. Esta recomendação lista as portas expostas que precisam ser fechadas para sua segurança contínua. Ela também ilustra a ameaça potencial para cada porta. (Não há política relacionada)
Gravidade: Alta
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time
Descrição: o Defender para Nuvem identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso Just-In-Time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre acesso à VM JIT (just-in-time). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).
Gravidade: Alta
Portas de gerenciamento devem ser fechadas nas máquinas virtuais
Descrição: as portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. (Política relacionada: As portas de gerenciamento devem ser fechadas em suas máquinas virtuais).
Gravidade: Média
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Descrição: proteja sua máquina virtual não voltada para a Internet contra possíveis ameaças, restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, estejam elas ou não dentro da mesma sub-rede. Observe que, para manter seu computador o mais seguro possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. (Política relacionada: As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede).
Gravidade: Baixa
A transferência segura para contas de armazenamento deve ser habilitada
Descrição: a transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão. (Política relacionada: A transferência segura para contas de armazenamento deve ser habilitada).
Gravidade: Alta
As sub-redes devem ser associadas a um grupo de segurança de rede
Descrição: proteja sua sub-rede contra possíveis ameaças restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM e serviços integrados nessa sub-rede, mas não se aplicam ao tráfego interno dentro da sub-rede. Para proteger os recursos na mesma sub-rede uns dos outros, habilite o NSG nos recursos também. Observe que os seguintes tipos de sub-rede serão listados como não aplicáveis: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Política relacionada: As sub-redes devem ser associadas a um Grupo de Segurança de Rede).
Gravidade: Baixa
As redes virtuais devem ser protegidas pelo Firewall do Azure
Descrição: algumas de suas redes virtuais não são protegidas por um firewall. Use o Firewall do Azure para restringir o acesso às suas redes virtuais e evitar possíveis ameaças. (Política relacionada: Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado).
Recomendações de rede da AWS
O Amazon EC2 deve ser configurado para usar os pontos de extremidade da VPC
Descrição: esse controle verifica se um endpoint de serviço para o Amazon EC2 foi criado para cada VPC. O controle falhará se uma VPC não tiver um endpoint da VPC criado para o serviço do Amazon EC2. Para melhorar a postura de segurança da VPC, você pode configurar o Amazon EC2 para usar um ponto de extremidade da VPC de interface. Os pontos de extremidade de interface são alimentados pelo AWS PrivateLink, uma tecnologia que permite que você acesse as operações da API do Amazon EC2 de forma privada. Isso restringe todo o tráfego de rede entre a VPC e o Amazon EC2 para a rede da Amazon. Como os endpoints são compatíveis apenas com a mesma região, não é possível criar um endpoint entre uma VPC e um serviço em uma região diferente. Isso impede chamadas à API não intencionais do Amazon EC2 para outras regiões. Para saber mais sobre como criar pontos de extremidade de VPC para Amazon EC2, confira Amazon EC2 e pontos de extremidade da VPC de interface no Guia do Usuário do Amazon EC2 para Instâncias do Linux.
Gravidade: Média
Os serviços do Amazon ECS não devem ter endereços IP públicos atribuídos automaticamente
Descrição: um endereço IP público é um endereço IP acessível pela Internet. Se você iniciar as instâncias do Amazon ECS com um endereço IP público, elas ficarão acessíveis pela Internet. Os serviços do Amazon ECS não devem ser acessíveis publicamente, pois isso pode permitir acesso não intencional aos servidores de aplicativos de contêiner.
Gravidade: Alta
Os nós mestres do cluster do Amazon EMR não devem ter endereços IP públicos
Descrição: esse controle verifica se os nós principais em clusters do Amazon EMR têm endereços IP públicos. O controle falhará se o nó mestre tiver endereços IP públicos associados a qualquer uma das instâncias. Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces para a instância. Esse controle verifica apenas os clusters do Amazon EMR que estão em um estado RUNNING ou WAITING.
Gravidade: Alta
Os clusters do Amazon Redshift devem usar o roteamento avançado da VPC
Descrição: esse controle verifica se um cluster do Amazon Redshift tem o EnhancedVpcRouting habilitado. O roteamento avançado de VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pela VPC. Você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego de rede. Você também pode usar os Logs de Fluxo da VPC para monitorar o tráfego de rede.
Gravidade: Alta
O Balanceador de Carga do Aplicativo deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS
Descrição: para impor a criptografia em trânsito, você deve usar ações de redirecionamento com Application Load Balancers para redirecionar solicitações HTTP do cliente para uma solicitação HTTPS na porta 443.
Gravidade: Média
Os balanceadores de carga do aplicativo devem ser configurados para remover os cabeçalhos HTTP
Descrição: esse controle avalia os AWS Application Load Balancers (ALB) para garantir que eles estejam configurados para descartar cabeçalhos HTTP inválidos. O controle falhará se o valor de routing.http.drop_invalid_header_fields.enabled estiver definido como false. Por padrão, os ALBs não são configurados para descartar valores de cabeçalho HTTP inválidos. Remover esses valores de cabeçalho impede ataques de dessincronização HTTP.
Gravidade: Média
Configurar funções Lambda para uma VPC
Descrição: esse controle verifica se uma função do Lambda está em uma VPC. Ele não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. Observe que, se Lambda@Edge for encontrado na conta, esse controle gerará conclusões com falha. Para evitar essas conclusões, você pode desabilitar esse controle.
Gravidade: Baixa
As instâncias do EC2 não devem ter um endereço IP público
Descrição: esse controle verifica se as instâncias do EC2 têm um endereço IP público. O controle falhará se o campo "publicIp" estiver presente no item de configuração da instância do EC2. Esse controle se aplica somente a endereços IPv4. Um endereço IPv4 público é um endereço IP acessível pela Internet. Se você iniciar a instância com um endereço IP público, a instância do EC2 será acessível pela Internet. Um endereço IPv4 privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar endereços IPv4 privados para comunicação entre instâncias do EC2 na mesma VPC ou na rede privada conectada. Os endereços IPv6 são globalmente exclusivos e, portanto, podem ser acessíveis pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de endereçamento IPv6 definido como false. Para obter mais informações sobre o IPv6, confira Endereçamento IP na VPC no Guia do Usuário da Amazon VPC. Se você tiver um caso de uso legítimo para manter as instâncias do EC2 com endereços IP públicos, poderá suprimir as conclusões desse controle. Para obter mais informações sobre as opções de arquitetura de front-end, confira o Blog de Arquitetura do AWS ou a série This Is My Architecture.
Gravidade: Alta
As instâncias do EC2 não devem usar vários ENIs
Descrição: esse controle verifica se uma instância do EC2 usa várias interfaces de rede elástica (ENIs) ou adaptadores de malha elástica (EFAs). Esse controle será aprovado se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcionais para identificar os ENIs permitidos. Vários ENIs podem causar instâncias dual-homed, ou seja, instâncias que têm várias sub-redes. Isso pode adicionar complexidade de segurança de rede e introduzir caminhos de rede e acesso não intencionais.
Gravidade: Baixa
As instâncias do EC2 devem usar o IMDSv2
Descrição: esse controle verifica se a versão de metadados da instância do EC2 está configurada com o Instance Metadata Service Version 2 (IMDSv2). O controle passará se "HttpTokens" estiver definido como "obrigatório" para IMDSv2. O controle falhará se "HttpTokens" estiver definido como "opcional". Você usa metadados de instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e giradas com frequência. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais para instâncias manual ou programaticamente. O IMDS é anexado localmente a cada instância do EC2. Ele é executado em um endereço IP 'link local' especial de 169.254.169.254. Esse endereço IP só é acessível pelo software executado na instância. A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.
- Firewalls de aplicativos de sites abertos
- Abrir proxies reversos
- Vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF)
- O Security Hub de Firewall de Camada 3 aberta e conversão de endereços de rede (NAT) recomenda que você configure suas instâncias do EC2 com o IMDSv2.
Gravidade: Alta
As sub-redes do EC2 não devem atribuir endereços IP públicos automaticamente
Descrição: esse controle verifica se a atribuição de IPs públicos em sub-redes da Amazon Virtual Private Cloud (Amazon VPC) tem "MapPublicIpOnLaunch" definido como "FALSE". O controle será aprovado se o sinalizador estiver definido como "FALSE". Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe um endereço IPv4 público automaticamente. As instâncias lançadas nas sub-redes que têm esse atributo habilitado têm um endereço IP público atribuído à interface de rede primária.
Gravidade: Média
Verificar se existe um alarme e filtro de métrica de log para alterações de configuração do AWS Config
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para detectar alterações nas configurações do CloudTrail. O monitoramento de alterações na configuração do AWS Config ajuda a garantir a visibilidade sustentada dos itens de configuração na conta da AWS.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para falhas de autenticação do Console de Gerenciamento do AWS
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para tentativas de autenticação de console com falha. O monitoramento de logins de console com falha pode diminuir o tempo de espera para detectar uma tentativa de força bruta de uma credencial, o que pode fornecer um indicador, como o IP de origem, que pode ser usado em outra correlação de eventos.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações em NACL (Listas de Controle de Acesso de Rede)
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. As NACLs são usadas como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída das sub-redes em uma VPC. É recomendável que alarmes e filtros de métrica sejam estabelecidos para alterações feitas nas NACLs. O monitoramento de alterações nas NACLs ajuda a garantir que os recursos e serviços da AWS não sejam expostos involuntariamente.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações nos gateways de rede
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. Os gateways de rede são necessários para enviar/receber tráfego para um destino fora de uma VPC. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações nos gateways de rede. O monitoramento de alterações nos gateways de rede ajuda a garantir que todo o tráfego de entrada/saída atravesse a borda da VPC por meio de um caminho controlado.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações de configuração do CloudTrail
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para detectar alterações nas configurações do CloudTrail.
O monitoramento de alterações na configuração do CloudTrail ajuda a garantir visibilidade sustentada das atividades executadas na conta da AWS.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para desabilitação ou exclusão agendada de CMKs criados pelo cliente
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para CMKs criadas pelo cliente, que mudaram de estado para exclusão desativada ou programada. Os dados criptografados com chaves desabilitadas ou excluídas não estarão mais acessíveis.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações na política de IAM
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos, as alterações feitas nas políticas do Identity and Access Management (IAM). O monitoramento de alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para entrada no Console de Gerenciamento sem MFA
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para logons de console que não são protegidos pela MFA (autenticação multifator). O monitoramento de logins de console de fator único aumenta a visibilidade das contas que não são protegidas pela MFA.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações na tabela de rotas
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. As tabelas de roteamento são usadas para rotear o tráfego de rede entre sub-redes e gateways de rede. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações nas tabelas de rotas. O monitoramento de alterações nas tabelas de rotas ajuda a garantir que todo o tráfego da VPC flua por um caminho esperado.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações na política de bucket S3
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que alarmes e filtros de métrica sejam estabelecidos para alterações nas políticas de bucket S3. O monitoramento de alterações nas políticas de bucket do S3 pode reduzir o tempo de detecção e correção de políticas permissivas em buckets confidenciais do S3.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações no grupo de segurança
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. Os Grupos de Segurança são um filtro de pacotes com estado que controla o tráfego de entrada e saída em uma VPC. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações em Grupos de Segurança. O monitoramento de alterações no grupo de segurança ajuda a garantir que recursos e serviços não sejam expostos acidentalmente.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para chamadas à API não autorizadas
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativos e pode reduzir o tempo para detectar atividades maliciosas.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para uso da conta 'raiz'
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para tentativas de login raiz.
O monitoramento de logins de conta raiz fornece visibilidade sobre o uso de uma conta totalmente privilegiada e uma oportunidade de reduzir o uso dela.
Gravidade: Baixa
Verificar se existe um alarme e filtro de métrica de log para alterações na VPC
Descrição: o monitoramento em tempo real de chamadas de API pode ser obtido direcionando o CloudTrail Logs para o CloudWatch Logs e estabelecendo filtros de métricas e alarmes correspondentes. É possível ter mais de uma VPC em uma conta, além disso, também é possível criar uma conexão de peer entre 2 VPCs, permitindo que o tráfego de rede seja roteado entre VPCs. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações feitas nas VPCs. O monitoramento de alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.
Gravidade: Baixa
Verificar se os grupos de segurança não permitem a entrada de 0.0.0.0/0 para a porta 3389
Descrição: os grupos de segurança fornecem filtragem com estado do tráfego de rede de entrada/saída para recursos da AWS. É recomendável que nenhum grupo de segurança permita acesso irrestrito à porta 3389. Quando você remove a conectividade irrestrita com serviços de console remoto, como RDP, isso reduz a exposição de um servidor ao risco.
Gravidade: Alta
Os bancos de dados e os clusters do RDS não devem usar uma porta padrão do mecanismo de banco de dados
Descrição: esse controle verifica se o cluster ou a instância do RDS usa uma porta diferente da porta padrão do mecanismo de banco de dados. Se você usar uma porta conhecida para implantar um cluster ou uma instância do RDS, um invasor poderá adivinhar as informações sobre o cluster ou a instância. O invasor poderá usar essas informações em conjunto com outras informações para se conectar a um cluster ou uma instância do RDS ou obter informações adicionais sobre o aplicativo. Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância do banco de dados, para ver se inclui uma regra de entrada que permita a conectividade na nova porta.
Gravidade: Baixa
As instâncias do RDS devem ser implantadas em uma VPC
Descrição: as VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem pontos de extremidade da VPC, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você migre as instâncias do EC2-Classic RDS para a EC2-VPC.
Gravidade: Baixa
Os buckets S3 devem exigir solicitações para usar a Camada de Soquete Seguro
Descrição: recomendamos exigir solicitações para usar Secure Socket Layer (SSL) em todos os buckets do Amazon S3. Os buckets S3 devem ter políticas que exijam todas as solicitações ('Action: S3:*') para aceitar somente a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição 'aws:SecureTransport'.
Gravidade: Média
Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 para a porta 22
Descrição: para reduzir a exposição do servidor, é recomendável não permitir acesso irrestrito à porta '22'.
Gravidade: Alta
Os grupos de segurança não devem permitir o acesso irrestrito a portas com alto risco
Descrição: esse controle verifica se o tráfego de entrada irrestrito para os grupos de segurança está acessível às portas especificadas que têm o risco mais alto. Esse controle será aprovado quando nenhuma das regras em um grupo de segurança permitir o tráfego de entrada de 0.0.0.0/0 para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades mal-intencionadas, como hacking, ataques de negação de serviço e perda de dados. Os grupos de segurança fornecem a filtragem com estado do tráfego de rede de entrada e saída para os recursos do AWS. Os grupos de segurança não devem permitir o acesso irrestrito de entrada às seguintes portas:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 ou 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (AHSP)
- 5432 (PostgreSQL)
- 5500 (fcp-addr-srvr1)
Gravidade: Média
Os grupos de segurança só devem permitir o tráfego de entrada irrestrito para portas autorizadas
Descrição: esse controle verifica se os grupos de segurança em uso permitem tráfego de entrada irrestrito. Como opção, a regra verifica se os números de porta estão listados no parâmetro "authorizedTcpPorts".
- Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta for especificado em "authorizedTcpPorts", o controle será aprovado. O valor padrão para "authorizedTcpPorts" é 80, 443.
- Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta não for especificado no parâmetro de entrada authorizedTcpPorts, o controle falhará.
- Se o parâmetro não for usado, o controle falhará para qualquer grupo de segurança que tenha uma regra de entrada irrestrita. Os grupos de segurança fornecem a filtragem com estado do tráfego de rede de entrada e saída para o AWS. As regras do grupo de segurança devem seguir o princípio do acesso com privilégios mínimos. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades mal-intencionadas, como hacking, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela deve negar o acesso irrestrito.
Gravidade: Alta
Os EIPs não utilizados do EC2 devem ser removidos
Descrição: os endereços IP elásticos alocados a uma VPC devem ser anexados a instâncias do Amazon EC2 ou a interfaces de rede elástica (ENIs) em uso.
Gravidade: Baixa
As listas de controle de acesso à rede não utilizadas devem ser removidas
Descrição: esse controle verifica se há listas de controle de acesso à rede (ACLs) não utilizadas. O controle verifica a configuração de itens do recurso "AWS::EC2::NetworkAcl" e determina as relações da ACL de rede. Se a única relação for a VPC da ACL de rede, o controle falhará. Se outras relações forem listadas, o controle será aprovado.
Gravidade: Baixa
O grupo de segurança padrão da VPC deve restringir todo o tráfego
Descrição: o grupo de segurança deve restringir todo o tráfego para reduzir a exposição de recursos.
Gravidade: Baixa
Recomendações de rede do GCP
Os hosts de clusters devem estar configurados para usar somente endereços IP internos privados para acessar as APIs do Google
Descrição: essa recomendação avalia se a propriedade privateIpGoogleAccess de uma sub-rede está definida como false.
Gravidade: Alta
As instâncias de computação devem usar um balanceador de carga configurado para usar um proxy de destino HTTPS
Descrição: essa recomendação avalia se a propriedade selfLink do recurso targetHttpProxy corresponde ao atributo de destino na regra de encaminhamento e se a regra de encaminhamento contém um campo loadBalancingScheme definido como Externo.
Gravidade: Média
As Redes Autorizadas do Plano de Controle de Segurança devem estar habilitadas nos clusters do GKE
Descrição: essa recomendação avalia a propriedade masterAuthorizedNetworksConfig de um cluster para o par chave-valor, 'enabled': false.
Gravidade: Alta
A regra de negação de saída deve ser configurada em um firewall para bloquear o tráfego de saída indesejado
Descrição: essa recomendação avalia se a propriedade destinationRanges no firewall está definida como 0.0.0.0/0 e se a propriedade negada contém o par chave-valor, 'IPProtocol': 'all.'
Gravidade: Baixa
Certifique-se de que as Regras de Firewall das instâncias por trás do Proxy com Reconhecimento de Identidade (IAP) permitam apenas o tráfego de Google Cloud Loadbalancer (GCLB) Verificação de Integridade e Endereços de Proxy
Descrição: o acesso às VMs deve ser restrito por regras de firewall que permitem apenas o tráfego do IAP, garantindo que apenas as conexões com proxy do IAP sejam permitidas. Para garantir que o balanceamento de carga funcione corretamente, as verificações de integridade também devem ser permitidas. O IAP garante que o acesso às VMs seja controlado autenticando as solicitações de entrada. No entanto, se a VM ainda estiver acessível de endereços IP diferentes do IAP, ainda poderá ser possível enviar solicitações não autenticadas para a instância. Deve-se tomar cuidado para garantir que as verificações de integridade do loadblancer não sejam bloqueadas, pois isso impediria que o balanceador de carga conhecesse corretamente a integridade da VM e o balanceamento de carga corretamente.
Gravidade: Média
Certifique-se de que não existam redes herdadas para um determinado projeto
Descrição: para evitar o uso de redes legadas, um projeto não deve ter uma rede legada configurada. As redes herdadas têm um único intervalo de prefixo IPv4 de rede e um único endereço IP de gateway para toda a rede. A rede é global no escopo e abrange todas as regiões de nuvem. As sub-redes não podem ser criadas em uma rede legada e não podem alternar de redes herdadas para redes de sub-rede automáticas ou personalizadas. As redes herdadas podem ter um impacto para projetos de alto tráfego de rede e estão sujeitas a um único ponto de contenção ou falha.
Gravidade: Média
Certifique-se de que a sinalização do banco de dados 'log_hostname' para o Cloud SQL na instância do PostgreSQL esteja definida adequadamente
Descrição: o PostgreSQL registra apenas o endereço IP dos hosts de conexão. O sinalizador "log_hostname" controla o registro em log de "nomes de host", além dos endereços IP registrados. O impacto no desempenho depende da configuração do ambiente e da configuração de resolução de nome do host. Este parâmetro só pode ser definido no arquivo "postgresql.conf" ou na linha de comando do servidor. O registro em log de nomes de host pode incorrer em sobrecarga no desempenho do servidor, pois, para cada instrução registrada, a resolução DNS será necessária para converter o endereço IP em nome do host. Dependendo da configuração, isso pode não ser desprezível. Além disso, os endereços IP registrados podem ser resolvidos para seus nomes DNS posteriormente ao revisar os logs, excluindo os casos em que nomes de host dinâmicos são usados. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que nenhum balanceador de carga de proxy HTTPS ou SSL permita políticas SSL com pacotes de codificação fracos
Descrição: as políticas SSL determinam quais recursos de TLS (Transport Layer Security) de porta os clientes podem usar ao se conectar a balanceadores de carga. Para evitar o uso de recursos inseguros, as políticas SSL devem usar (a) pelo menos TLS 1.2 com o perfil MODERN; ou (b) o perfil RESTRITO, porque efetivamente exige que os clientes usem o TLS 1.2, independentemente da versão mínima do TLS escolhida; ou (3) um perfil PERSONALIZADO que não oferece suporte a nenhum dos seguintes recursos: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
Os balanceadores de carga são usados para distribuir com eficiência o tráfego entre vários servidores. Tanto o proxy SSL quanto os balanceadores de carga HTTPS são balanceadores de carga externos, o que significa que eles distribuem o tráfego da Internet para uma rede GCP. Os clientes GCP podem configurar políticas SSL do balanceador de carga com uma versão mínima do TLS (1.0, 1.1 ou 1.2) que os clientes podem usar para estabelecer uma conexão, juntamente com um perfil (compatível, moderno, restrito ou personalizado) que especifica pacotes de criptografia permitidos. Para cumprir os usuários que usam protocolos desatualizados, os balanceadores de carga do GCP podem ser configurados para permitir conjuntos de criptografia não seguros. Na verdade, a política SSL padrão do GCP usa uma versão mínima do TLS 1.0 e um perfil compatível, o que permite a maior variedade possível de conjuntos de criptografia não seguros. Como resultado, é fácil para os clientes configurar um balanceador de carga sem nem mesmo saber que estão permitindo pacotes de criptografia desatualizados.
Gravidade: Média
Certifique-se de que o log do Cloud DNS esteja habilitado para todas as redes VPC
Descrição: o registro do Cloud DNS registra as consultas dos servidores de nome da VPC para o Stackdriver. As consultas registradas podem vir de VMs do Mecanismo de Computação, contêineres GKE ou outros recursos do GCP provisionados no VPC. O monitoramento de segurança e a análise forense não podem depender apenas de endereços IP dos logs de fluxo da VPC, especialmente quando se considera o uso dinâmico de IP de recursos de nuvem, roteamento de host virtual HTTP e outras tecnologias que podem ocultar o nome DNS usado por um cliente do endereço IP. O monitoramento de logs DNS na nuvem oferece visibilidade para nomes DNS solicitados pelos clientes dentro do VPC. Esses logs podem ser monitorados quanto a nomes de domínio anômalos, avaliados em relação à inteligência contra ameaças e
Para captura completa de DNS, o firewall deve bloquear a saída UDP/53 (DNS) e TCP/443 (DNS sobre HTTPS) para impedir que o cliente use o servidor de nomes DNS externo para resolução.
Gravidade: Alta
Certifique-se de que o DNSSEC esteja habilitado para o DNS de nuvem
Descrição: O Cloud Domain Name System (DNS) é um sistema de nomes de domínio rápido, confiável e econômico que alimenta milhões de domínios na Internet.
O DNSSEC (extensões de segurança do Sistema de Nomes de Domínio) no DNS na Nuvem permite que os proprietários de domínio executem medidas fáceis para proteger seus domínios contra sequestro de DNS e ataques man-in-the-middle, entre outros.
O DNSSEC (extensões de segurança do Sistema de Nomes de Domínio) é um conjunto de extensões que acrescentam segurança ao protocolo DNS habilitando respostas de DNS para validação.
Ter um DNS confiável que traduz um nome de domínio como www.example.com
em seu endereço IP associado é um bloco de construção cada vez mais importante dos aplicativos baseados na web de hoje.
Os invasores podem sequestrar esse processo de pesquisa de domínio/IP e redirecionar usuários para um site mal-intencionado por meio de sequestro de DNS e ataques man-in-the-middle.
O DNSSEC ajuda a reduzir o risco desses ataques assinando criptograficamente registros DNS.
Como resultado, impede que os invasores emitam respostas DNS falsas que podem direcionar incorretamente os navegadores para sites nefastos.
Gravidade: Média
Certifique-se de que o acesso RDP esteja restrito da Internet
Descrição: as regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando suas condições são atendidas. Suas condições permitem que os usuários especifiquem o tipo de tráfego, como portas e protocolos, bem como a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. As regras de firewall são definidas no nível da rede VPC e são específicas para a rede em que são definidas. As regras em si não podem ser compartilhadas entre as redes. As regras de firewall só dão suporte ao tráfego IPv4. Quando você especifica uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, um endereço IPv4 ou bloco IPv4 na notação CIDR pode ser usado. O tráfego de entrada genérico (0.0.0.0/0) da Internet para uma instância de VPC ou VM usando RDP na porta 3389 pode ser evitado. Regras de firewall do GCP em uma rede VPC. Essas regras se aplicam ao tráfego de saída (egress) de instâncias e tráfego de entrada (ingress) para instâncias na rede. Os fluxos de tráfego de saída e entrada são controlados mesmo que o tráfego permaneça dentro da rede (por exemplo, comunicação de instância para instância). Para que uma instância tenha acesso à Internet de saída, a rede deve ter uma rota de gateway de Internet válida ou uma rota personalizada cujo IP de destino seja especificado. Essa rota simplesmente define o caminho para a Internet a fim de evitar o intervalo de IP de destino mais geral (0.0.0.0/0) especificado da Internet até o RDP com a Porta 3389 padrão. O acesso genérico da Internet a um intervalo de IP específico deve ser restrito.
Gravidade: Alta
Certifique-se de que o RSASHA1 não seja usado para a chave KSK no DNSSEC do Cloud DNS
Descrição: os números do algoritmo DNSSEC neste registro podem ser usados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transação (SIG(0) e TSIG) usam subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chave deve ser recomendado e forte. Os números de algoritmo DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) neste registro podem ser usados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transação (SIG(0) e TSIG) usam subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chave deve ser recomendado e forte. Quando você habilita o DNSSEC para uma zona gerenciada ou cria uma zona gerenciada com DNSSEC, o usuário pode selecionar os algoritmos de assinatura do DNSSEC e o tipo de negação de existência. Alterar as configurações de DNSSEC só é eficaz para uma zona gerenciada se o DNSSEC ainda não estiver habilitado. Se houver necessidade de alterar as configurações de uma zona gerenciada em que ela foi habilitada, desative o DNSSEC e reative-o com configurações diferentes.
Gravidade: Média
Certifique-se de que o RSASHA1 não seja usado para a chave de assinatura de zona no DNSSEC do Cloud DNS
Descrição: os números do algoritmo DNSSEC neste registro podem ser usados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transação (SIG(0) e TSIG) usam subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chave deve ser recomendado e forte. Os números do algoritmo DNSSEC neste registro podem ser usados em RRs CERT. A assinatura de zona (DNSSEC) e os mecanismos de segurança de transação (SIG(0) e TSIG) usam subconjuntos específicos desses algoritmos. O algoritmo usado para assinatura de chave deve ser recomendado e forte. Quando você habilita o DNSSEC para uma zona gerenciada ou cria uma zona gerenciada com DNSSEC, os algoritmos de assinatura de DNSSEC e o tipo de negação de existência podem ser selecionados. Alterar as configurações de DNSSEC só é eficaz para uma zona gerenciada se o DNSSEC ainda não estiver habilitado. Se houver necessidade de alterar as configurações de uma zona gerenciada em que ela foi habilitada, desative o DNSSEC e reative-o com configurações diferentes.
Gravidade: Média
Garantir que o acesso SSH seja restrito da Internet
Descrição: as regras de firewall do GCP são específicas de uma rede VPC. Cada regra permite ou nega o tráfego quando suas condições são atendidas. Suas condições permitem que o usuário especifique o tipo de tráfego, como portas e protocolos, bem como a origem ou destino do tráfego, incluindo endereços IP, sub-redes e instâncias. As regras de firewall são definidas no nível da rede VPC e são específicas para a rede em que são definidas. As regras em si não podem ser compartilhadas entre as redes. As regras de firewall só dão suporte ao tráfego IPv4. Quando você especifica uma origem para uma regra de entrada ou um destino para uma regra de saída por endereço, somente um endereço IPv4 ou bloco IPv4 na notação CIDR pode ser usado. É possível evitar tráfego de entrada genérico (0.0.0.0/0) da Internet para uma instância de VPC ou VM usando SSH na Porta 22. As regras de firewall do GCP em uma rede VPC se aplicam ao tráfego de saída (egress) de instâncias e tráfego de entrada (ingress) para instâncias na rede. Os fluxos de tráfego de saída e entrada são controlados mesmo que o tráfego permaneça dentro da rede (por exemplo, comunicação de instância para instância). Para que uma instância tenha acesso à Internet de saída, a rede deve ter uma rota de gateway de Internet válida ou uma rota personalizada cujo IP de destino seja especificado. Essa rota simplesmente define o caminho para a Internet, para evitar o intervalo de IP de destino mais geral (0.0.0.0/0) especificado da Internet por meio de SSH com a porta padrão '22'. O acesso genérico da Internet a um intervalo de IP específico precisa ser restrito.
Gravidade: Alta
Certifique-se de que a rede padrão não exista em um projeto
Descrição: para evitar o uso da rede "padrão", um projeto não deve ter uma rede "padrão". A rede padrão tem uma configuração de rede pré-configurada e gera automaticamente as seguintes regras de firewall inseguras:
- default-allow-internal: permite conexões de entrada para todos os protocolos e portas entre instâncias na rede.
- default-allow-ssh: permite conexões de entrada na porta TCP 22 (SSH) de qualquer origem para qualquer instância na rede.
- default-allow-rdp: permite conexões de entrada na porta TCP 3389 (RDP) de qualquer origem para qualquer instância na rede.
- default-allow-icmp: permite o tráfego ICMP de entrada de qualquer origem para qualquer instância na rede.
Essas regras de firewall criadas automaticamente não são registradas e não podem ser configuradas para habilitar o log de regras de firewall. Além disso, a rede padrão é uma rede de modo automático, o que significa que suas sub-redes usam o mesmo intervalo predefinido de endereços IP e, como resultado, não é possível usar VPN na nuvem ou emparelhamento de rede VPC com a rede padrão. Com base nos requisitos de rede e segurança da organização, a organização deve criar uma nova rede e excluir a rede padrão.
Gravidade: Média
Certifique-se de que haja um filtro de métrica de log e alertas de alterações na rede VPC
Descrição: é recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações de rede da Virtual Private Cloud (VPC). É possível ter mais de uma VPC em um projeto. Além disso, também é possível criar uma conexão de peer entre duas VPCs, permitindo que o tráfego de rede seja roteado entre VPCs. O monitoramento de alterações em uma VPC ajudará a garantir que o fluxo de tráfego da VPC não seja afetado.
Gravidade: Baixa
Certifique-se de que haja um filtro de métrica de log e alertas para alterações na regra de firewall da rede VPC
Descrição: é recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações de regra do firewall de rede da Virtual Private Cloud (VPC). O monitoramento de eventos de regra Criar ou Atualizar Firewall fornece informações sobre as alterações de acesso à rede e pode reduzir o tempo necessário para detectar atividades suspeitas.
Gravidade: Baixa
Certifique-se de que haja um filtro de métrica de log e alertas para alterações de rota de rede VPC
Descrição: é recomendável que um filtro de métrica e um alarme sejam estabelecidos para alterações de rota de rede da Virtual Private Cloud (VPC). As rotas do GCP (Google Cloud Platform) definem os caminhos que o tráfego de rede usa de uma instância de VM para outro destino. O outro destino pode estar dentro da rede VPC da organização (como outra VM) ou fora dela. Cada rota consiste em um destino e um próximo salto. O tráfego cujo IP de destino está dentro do intervalo de destino é enviado para o próximo salto para entrega. Monitorar as alterações nas tabelas de rotas ajudará a garantir o fluxo de todo o tráfego da VPC em um caminho esperado.
Gravidade: Baixa
Certifique-se de que a sinalizador do banco de dados 'log_connections' para o Cloud SQL na instância do PostgreSQL esteja definido como 'ativado'
Descrição: habilitar a configuração log_connections faz com que cada tentativa de conexão com o servidor seja registrada, juntamente com a conclusão bem-sucedida da autenticação do cliente. Esse parâmetro não pode ser alterado após o início da sessão. O PostgreSQL não registra tentativas de conexão por padrão. Habilitar a configuração log_connections criará entradas de log para cada tentativa de conexão, bem como a conclusão bem-sucedida da autenticação do cliente, o que pode ser útil na solução de problemas e para determinar quaisquer tentativas de conexão incomuns com o servidor. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Média
Certifique-se de que o sinalizador do banco de dados 'log_disconnections' para o Cloud SQL na instância do PostgreSQL esteja definido como 'ativado'
Descrição: a ativação da configuração log_disconnections registra o final de cada sessão, incluindo a duração da sessão. O PostgreSQL não registra detalhes da sessão, como duração e término da sessão, por padrão. Habilitar a configuração log_disconnections criará entradas de log no final de cada sessão, o que pode ser útil na solução de problemas e determinar qualquer atividade incomum em um período de tempo. O log_disconnections e o log_connections trabalham de mãos dadas e, em geral, o par seria habilitado/desabilitado juntamente. Essa recomendação é aplicável a instâncias do banco de dados PostgreSQL.
Gravidade: Média
Certifique-se de que a opção Logs de Fluxo de VPC esteja habilitada para cada sub-rede em uma Rede VPC
Descrição: os logs de fluxo são um recurso que permite que os usuários capturem informações sobre o tráfego IP que entra e sai das interfaces de rede nas sub-redes VPC da organização. Depois que um log de fluxo é criado, o usuário pode exibir e recuperar seus dados no registro em log do Stackdriver. É recomendável que os logs de fluxo sejam habilitados para todas as sub-redes da VPC críticas para os negócios. As redes e sub-redes VPC oferecem partições de rede logicamente isoladas e seguras em que os recursos do GCP podem ser iniciados. Quando os logs de fluxo estão habilitados para uma sub-rede, as VMs nessa sub-rede começam a relatar todos os fluxos dos protocolos TCP e UDP. Cada VM amostra os fluxos de TCP e UDP que vê, entrada e saída, seja o fluxo para ou de outra VM, um host no datacenter local, um serviço do Google ou um host na Internet. Se duas VMs do GCP estiverem se comunicando e ambas estiverem em sub-redes com logs de fluxo de VPC habilitados, ambas as VMs relatarão os fluxos. Os logs de fluxo dão suporte aos seguintes casos de uso: 1. Monitoramento de rede. 2. Noções básicas sobre uso de rede e otimização das despesas de tráfego de rede. 3. Perícia de rede. 4. Análise de segurança em tempo real: os logs de fluxo fornecem visibilidade do tráfego de rede para cada VM dentro da sub-rede e podem ser usados para detectar tráfego anômalo ou insights durante fluxos de trabalho de segurança.
Gravidade: Baixa
O registro em log de regras de firewall deve estar habilitado
Descrição: essa recomendação avalia a propriedade logConfig nos metadados do firewall para ver se ela está vazia ou contém o par chave-valor 'enable': false.
Gravidade: Média
O firewall não deve ser configurado para ser aberto ao acesso público
Descrição: essa recomendação avalia os sourceRanges e as propriedades permitidas para uma das duas configurações:
A propriedade sourceRanges contém 0.0.0.0/0 e a propriedade permitida contém uma combinação de regras que inclui qualquer protocolo ou protocol:port, exceto o seguinte:
- icmp
- Cartão de crédito: 22
- Cartão de confirmação: 443
- Cartão de contato: 3389
- UDP: 3389
- SCTP: 22
A propriedade sourceRanges contém uma combinação de intervalos de IP que inclui qualquer endereço IP não privado e a propriedade allowed contém uma combinação de regras que permitem todas as portas tcp ou todas as portas udp.
Gravidade: Alta
O firewall não deve ser configurado para ter uma porta do CASSANDRA aberta que permita acesso genérico
Descrição: esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do CISCOSECURE_WEBSM aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 9090.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta de DIRECTORY_SERVICES aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 445 e UDP: 445.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta de DNS aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 53 e UDP: 53.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do ELASTICSEARCH aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 9200, 9300.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta FTP aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 21.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta HTTP aberta que permita acesso genérico
Descrição: esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 80.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta LDAP aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 389, 636 e UDP: 389.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do MEMCACHED aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 11211, 11214-11215 e UDP: 11211, 11214-11215.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do MONGODB aberta que permita acesso genérico
Descrição: esta recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 27017-27019.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta de MYSQL aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 3306.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta NETBIOS aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 137-139 e UDP: 137-139.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do ORACLEDB aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 1521, 2483-2484 e UDP: 2483-2484.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta POP3 aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para o seguinte protocolo e porta: TCP: 110.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta de PostgreSQL aberta que permita acesso genérico
Descrição: essa recomendação avalia a propriedade permitida nos metadados do firewall para os seguintes protocolos e portas: TCP: 5432 e UDP: 5432.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta do REDIS aberta que permita acesso genérico
Descrição: essa recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 6379.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta SMTP aberta que permita acesso genérico
Descrição: essa recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 25.
Gravidade: Baixa
Firewall O firewall não deve ser configurado para ter uma porta SSH aberta que permita acesso genérico
Descrição: essa recomendação avalia se a propriedade permitida nos metadados do firewall contém os seguintes protocolos e portas: TCP: 22 e SCTP: 22.
Gravidade: Baixa
O firewall não deve ser configurado para ter uma porta TELNET aberta que permita acesso genérico
Descrição: essa recomendação avalia se a propriedade permitida nos metadados do firewall contém o seguinte protocolo e porta: TCP: 23.
Gravidade: Baixa
Os clusters do GKE devem ter faixas de aliases de IPs habilitadas
Descrição: essa recomendação avalia se o campo useIPAliases do ipAllocationPolicy em um cluster está definido como false.
Gravidade: Baixa
Os clusters do GKE devem ter clusters privados habilitados
Descrição: essa recomendação avalia se o campo enablePrivateNodes da propriedade privateClusterConfig está definido como false.
Gravidade: Alta
A política de rede deve estar habilitada nos clusters do GKE
Descrição: esta recomendação avalia o campo networkPolicy da propriedade addonsConfig para o par chave-valor, 'disabled': true.
Gravidade: Média