Recomendações de segurança de computação
Este artigo lista todas as recomendações de segurança de computação multicloud que você pode ver no Microsoft Defender for Cloud.
As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.
Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.
Gorjeta
Se uma descrição de recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente.
Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está instalada (a solução Endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas a recomendações fundamentais simplifica o gerenciamento de políticas.
Recomendações de computação do Azure
As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações)
Descrição: Suas máquinas estão faltando atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção.
Gravidade: Baixa
As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes
Descrição: Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.
Gravidade: Baixa
Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas
Descrição: habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção de suas regras, o Defender for Cloud usa aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. (Política relacionada: Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas).
Gravidade: Alta
As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas
Descrição: monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativos adaptáveis do Defender for Cloud. O Defender for Cloud usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. (Política relacionada: As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas).
Gravidade: Alta
A autenticação em máquinas Linux deve exigir chaves SSH
Descrição: Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais em Etapas detalhadas: Criar e gerenciar chaves SSH para autenticação em uma VM Linux no Azure. (Política relacionada: Auditar máquinas Linux que não estão usando a chave SSH para autenticação).
Gravidade: Média
As variáveis de conta de automação devem ser criptografadas
Descrição: É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais. (Política relacionada: As variáveis de conta de automação devem ser criptografadas).
Gravidade: Alta
O Backup do Azure deve ser habilitado para máquinas virtuais
Descrição: Proteja os dados em suas máquinas virtuais do Azure com o Backup do Azure. O Backup do Azure é uma solução de proteção de dados nativa do Azure, econômica. Ele cria pontos de recuperação que são armazenados em cofres de recuperação com redundância geográfica. Quando restaura a partir de um ponto de recuperação, pode restaurar a VM completa ou ficheiros específicos. (Política relacionada: O Backup do Azure deve ser habilitado para Máquinas Virtuais).
Gravidade: Baixa
(Pré-visualização) A(s) máquina(s) local(is) do Azure devem atender aos requisitos de núcleo seguro
Descrição: Certifique-se de que todas as máquinas locais do Azure atendem aos requisitos de núcleo seguro. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).
Gravidade: Baixa
(Pré-visualização) A(s) máquina(s) local(is) do Azure devem ter políticas de controle de aplicativo aplicadas de forma consistente
Descrição: No mínimo, aplique a política base do Microsoft WDAC no modo imposto em todas as máquinas locais do Azure. As diretivas WDAC (Controle de Aplicativo do Windows Defender) aplicadas devem ser consistentes entre servidores no mesmo cluster. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).
Gravidade: Alta
(Pré-visualização) Os sistemas locais do Azure devem ter volumes criptografados
Descrição: Use o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas locais do Azure. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).
Gravidade: Alta
Os hosts de contêiner devem ser configurados com segurança
Descrição: corrija vulnerabilidades nas definições de configuração de segurança em máquinas com o Docker instalado para protegê-las de ataques. (Política relacionada: As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas).
Gravidade: Alta
Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados
Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico em contas de lote devem ser habilitados
Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico em contas de lote devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados
Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico em aplicativos lógicos devem ser habilitados
Descrição: para garantir que você possa recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida, habilite o registro. Se seus logs de diagnóstico não estiverem sendo enviados para um espaço de trabalho do Log Analytics, uma conta de Armazenamento do Azure ou Hubs de Eventos do Azure, certifique-se de ter configurado as configurações de diagnóstico para enviar métricas e logs da plataforma para os destinos relevantes. Saiba mais em Criar configurações de diagnóstico para enviar logs e métricas da plataforma para destinos diferentes. (Política relacionada: Os logs de diagnóstico em aplicativos lógicos devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico no Service Bus devem ser habilitados
Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Service Bus devem ser habilitados).
Gravidade: Baixa
Os logs de diagnóstico em Conjuntos de Dimensionamento de Máquina Virtual devem ser habilitados
Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico em Conjuntos de Escala de Máquina Virtual devem ser habilitados).
Gravidade: Alta
Problemas de configuração de EDR devem ser resolvidos em máquinas virtuais
Descrição: Para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada. Atualmente, essa recomendação só se aplica a recursos com o Microsoft Defender for Endpoint habilitado.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Baixa
A solução EDR deve ser instalada em máquinas virtuais
Descrição: A instalação de uma solução EDR (Endpoint Detection and Response) em máquinas virtuais é importante para a proteção contra ameaças avançadas. Os EDRs ajudam a prevenir, detetar, investigar e responder a essas ameaças. O Microsoft Defender for Servers pode ser usado para implantar o Microsoft Defender for Endpoint.
- Se um recurso for classificado como "Não íntegro", isso indica a ausência de uma solução EDR suportada.
- Se uma solução EDR estiver instalada, mas não puder ser detetada por esta recomendação, ela pode ser isenta
- Sem uma solução EDR, as máquinas virtuais correm o risco de ameaças avançadas.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Alta
Problemas de integridade da proteção de ponto de extremidade em conjuntos de dimensionamento de máquina virtual devem ser resolvidos
Descrição: Em conjuntos de dimensionamento de máquina virtual, corrija falhas de integridade da proteção de ponto de extremidade para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto final deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).
Gravidade: Baixa
A proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquinas virtuais
Descrição: instale uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto final deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).
Gravidade: Alta
O monitoramento da integridade de arquivos deve ser habilitado em máquinas
Descrição: O Defender for Cloud identificou máquinas que não possuem uma solução de monitoramento de integridade de arquivos. Para monitorar alterações em arquivos críticos, chaves do Registro e muito mais em seus servidores, habilite o monitoramento da integridade de arquivos. Quando a solução de monitoramento de integridade de arquivos estiver habilitada, crie regras de coleta de dados para definir os arquivos a serem monitorados. Para definir regras ou ver os arquivos alterados em máquinas com regras existentes, vá para a página de gerenciamento de monitoramento de integridade de arquivos. (Nenhuma política relacionada)
Gravidade: Alta
A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquina virtual Linux suportados
Descrição: Instale a extensão Guest Attestation em conjuntos de escala de máquina virtual Linux suportados para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se apenas a conjuntos de dimensionamento de máquinas virtuais Linux habilitados para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Linux suportadas
Descrição: Instale a extensão Guest Attestation em máquinas virtuais Linux suportadas para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a máquinas virtuais Linux habilitadas para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquina virtual Windows suportados
Descrição: Instale a extensão Atestado de Convidado em conjuntos de escala de máquina virtual suportados para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a conjuntos de dimensionamento de máquina virtual habilitados para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas
Descrição: Instale a extensão Guest Attestation em máquinas virtuais suportadas para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
A extensão Configuração do Convidado deve ser instalada em máquinas
Descrição: Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como o Windows Exploit guard deve ser habilitado. (Política relacionada: As máquinas virtuais devem ter a extensão Configuração de Convidado).
Gravidade: Média
(Pré-visualização) A rede de host e VM deve ser protegida em sistemas locais do Azure
Descrição: Proteja dados na rede do host local do Azure e em conexões de rede de máquina virtual. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).
Gravidade: Baixa
Instalar a solução de proteção de pontos finais em máquinas virtuais
Descrição: Instale uma solução de proteção de ponto de extremidade em suas máquinas virtuais, para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: Monitore o Endpoint Protection ausente na Central de Segurança do Azure).
Gravidade: Alta
As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost
Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite Visão geral das opções de criptografia de disco gerenciado para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para obter detalhes, visite Noções básicas sobre a configuração da máquina do Azure. (Política relacionada: [Pré-visualização]: As máquinas virtuais Linux devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).
Substitui a recomendação mais antiga As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento. A recomendação permite auditar a conformidade de criptografia de VM.
Gravidade: Alta
As máquinas virtuais Linux devem impor a validação de assinatura do módulo do kernel
Descrição: Para ajudar a mitigar a execução de código mal-intencionado ou não autorizado no modo kernel, imponha a validação de assinatura do módulo kernel em máquinas virtuais Linux suportadas. A validação da assinatura do módulo do kernel garante que apenas os módulos confiáveis do kernel terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)
Gravidade: Baixa
As máquinas virtuais Linux devem usar apenas componentes de inicialização assinados e confiáveis
Descrição: Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger suas máquinas de componentes potencialmente mal-intencionados, adicione-os à sua lista de permissões ou remova os componentes identificados. (Nenhuma política relacionada)
Gravidade: Baixa
As máquinas virtuais Linux devem usar a Inicialização Segura
Descrição: Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)
Gravidade: Baixa
O agente do Log Analytics deve ser instalado em máquinas habilitadas para Azure Arc baseadas em Linux
Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como OMS) para coletar eventos de segurança de suas máquinas Azure Arc. Para implantar o agente em todas as suas máquinas Azure Arc, siga as etapas de correção. (Nenhuma política relacionada)
Gravidade: Alta
Como o uso do AMA e do MMA é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024
O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais
Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados usando o agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para seu espaço de trabalho para análise. Você também precisará seguir esse procedimento se suas VMs forem usadas por um serviço gerenciado do Azure, como o Serviço Kubernetes do Azure ou o Azure Service Fabric. Não é possível configurar o provisionamento automático do agente para conjuntos de dimensionamento de máquina virtual do Azure. Para implantar o agente em conjuntos de dimensionamento de máquina virtual (incluindo aqueles usados pelos serviços gerenciados do Azure, como o Serviço Kubernetes do Azure e o Azure Service Fabric), siga o procedimento nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em seus conjuntos de escala de máquina virtual para monitoramento da Central de Segurança do Azure).
Como o uso do AMA e do MMA é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024
Gravidade: Alta
O agente do Log Analytics deve ser instalado em máquinas virtuais
Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados usando o agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Esse agente também é necessário se suas VMs forem usadas por um serviço gerenciado do Azure, como o Serviço Kubernetes do Azure ou o Azure Service Fabric. Recomendamos configurar o provisionamento automático para implantar automaticamente o agente. Se você optar por não usar o provisionamento automático, implante manualmente o agente em suas VMs usando as instruções nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure).
Como o uso do AMA e do MMA é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024
Gravidade: Alta
O agente do Log Analytics deve ser instalado em máquinas habilitadas para Azure Arc baseadas no Windows
Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como MMA) para coletar eventos de segurança de suas máquinas Azure Arc. Para implantar o agente em todas as suas máquinas Azure Arc, siga as etapas de correção. (Nenhuma política relacionada)
Gravidade: Alta
Como o uso do AMA e do MMA é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024
As máquinas devem ser configuradas de forma segura
Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas para protegê-las de ataques. (Política relacionada: As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas).
Esta recomendação ajuda-o a melhorar a postura de segurança do servidor. O Defender for Cloud aprimora os benchmarks do Center for Internet Security (CIS) fornecendo linhas de base de segurança que são alimentadas pelo Microsoft Defender Vulnerability Management. Mais informações.
Gravidade: Baixa
As máquinas devem ser reiniciadas para aplicar atualizações de configuração de segurança
Descrição: Para aplicar atualizações de configuração de segurança e proteger contra vulnerabilidades, reinicie as máquinas. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)
Gravidade: Baixa
As máquinas devem ter uma solução de avaliação de vulnerabilidade
Descrição: O Defender for Cloud verifica regularmente as suas máquinas ligadas para garantir que estão a executar ferramentas de avaliação de vulnerabilidades. Use esta recomendação para implantar uma solução de avaliação de vulnerabilidade. (Política relacionada: Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais).
Gravidade: Média
As máquinas devem ter as descobertas de vulnerabilidade resolvidas
Descrição: resolva as descobertas das soluções de avaliação de vulnerabilidade em suas máquinas virtuais. (Política relacionada: Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais).
Gravidade: Baixa
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time
Descrição: o Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso just-in-time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre o acesso à VM just-in-time (JIT). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).
Gravidade: Alta
O Microsoft Defender for Servers deve estar habilitado
Descrição: O Microsoft Defender para servidores fornece proteção contra ameaças em tempo real para as cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Você pode usar essas informações para corrigir rapidamente problemas de segurança e melhorar a segurança de seus servidores.
A correção dessa recomendação resultará em cobranças pela proteção de seus servidores. Se não tiver servidores nesta subscrição, não serão cobrados encargos. Se você criar quaisquer servidores nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução ao Microsoft Defender para servidores. (Política relacionada: O Azure Defender para servidores deve estar habilitado).
Gravidade: Alta
O Microsoft Defender for Servers deve ser habilitado em espaços de trabalho
Descrição: O Microsoft Defender para servidores oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativos adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Introdução ao Microsoft Defender para servidores. (Nenhuma política relacionada)
Gravidade: Média
A Inicialização Segura deve ser habilitada em máquinas virtuais Windows suportadas
Descrição: Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders, kernel e drivers de kernel confiáveis poderão ser executados. Essa avaliação só se aplica a máquinas virtuais Windows habilitadas para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign
Descrição: O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente. (Política relacionada: Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign).
Gravidade: Alta
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente
Descrição: Execute a autenticação de Cliente somente por meio do Azure Ative Directory no Service Fabric (Política relacionada: os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente).
Gravidade: Alta
As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas
Descrição: Instale a segurança do sistema e as atualizações críticas ausentes para proteger seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux. (Política relacionada: As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas).
À medida que o uso do Azure Monitor Agent (AMA) e do agente do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)) é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024. Estas recomendações são substituídas por novas recomendações.
Gravidade: Alta
As atualizações do sistema devem ser instaladas em suas máquinas
Descrição: Instale a segurança do sistema e as atualizações críticas ausentes para proteger suas máquinas virtuais e computadores Windows e Linux (Política relacionada: as atualizações do sistema devem ser instaladas em suas máquinas).
À medida que o uso do Azure Monitor Agent (AMA) e do agente do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)) é eliminado no Defender for Servers, as recomendações que dependem desses agentes, como esta, serão removidas. Em vez disso, os recursos do Defender for Servers usarão o agente do Microsoft Defender for Endpoint ou a verificação sem agente, sem depender do MMA ou da AMA.
Descontinuação estimada: julho de 2024. Estas recomendações são substituídas por novas recomendações.
Gravidade: Alta
As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações)
Descrição: Suas máquinas estão faltando atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. (Nenhuma política relacionada)
Gravidade: Alta
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada
Descrição: Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em Usar o portal do Azure para habilitar a criptografia de ponta a ponta usando a criptografia no host. (Política relacionada: As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada).
Gravidade: Média
As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager
Descrição: As máquinas virtuais (clássicas) foram preteridas e essas VMs devem ser migradas para o Azure Resource Manager. Como o Azure Resource Manager agora tem recursos completos de IaaS e outros avanços, substituímos o gerenciamento de máquinas virtuais (VMs) IaaS por meio do Azure Service Manager (ASM) em 28 de fevereiro de 2020. Esta funcionalidade será totalmente desativada em 1º de março de 2023.
Para exibir todas as VMs clássicas afetadas, selecione todas as suas assinaturas do Azure na guia 'diretórios + assinaturas'.
Recursos disponíveis e informações sobre esta ferramenta & migração: Visão geral da descontinuação de máquinas virtuais (clássicas), processo passo a passo para migração e recursos disponíveis da Microsoft.Detalhes sobre a ferramenta de migração Migrar para o Azure Resource Manager.Migre para a ferramenta de migração do Azure Resource Manager usando o PowerShell. (Política relacionada: As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager).
Gravidade: Alta
O status do atestado de convidado de máquinas virtuais deve estar íntegro
Descrição: O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de arranque, que podem ser o resultado de uma bootkit
ou rootkit
infeção.
Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada.
(Nenhuma política relacionada)
Gravidade: Média
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema
Descrição: A extensão Configuração de convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais (Política relacionada: a extensão de Configuração de Convidado deve ser implantada em máquinas virtuais do Azure com identidade gerenciada atribuída ao sistema).
Gravidade: Média
Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança
Descrição: Em conjuntos de dimensionamento de máquinas virtuais, corrija vulnerabilidades para protegê-las de ataques. (Política relacionada: As vulnerabilidades na configuração de segurança em seus conjuntos de escala de máquina virtual devem ser corrigidas).
Gravidade: Alta
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento
Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Para uma comparação de diferentes tecnologias de encriptação de discos no Azure, veja Overview of managed disk encryption options (Descrição geral das opções de encriptação de discos geridos). Use o Azure Disk Encryption para criptografar todos esses dados. Não tenha em conta esta recomendação se:
Você está usando o recurso de criptografia no host ou a criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em criptografia do lado do servidor do Armazenamento em Disco do Azure.
(Política relacionada: A criptografia de disco deve ser aplicada em máquinas virtuais)
Gravidade: Alta
vTPM deve ser habilitado em máquinas virtuais suportadas
Descrição: habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.
- A inicialização confiável requer a criação de novas máquinas virtuais.
- Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)
Gravidade: Baixa
Vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentado pela Configuração de convidado)
Descrição: Corrija vulnerabilidades na configuração de segurança em suas máquinas Linux para protegê-las de ataques. (Política relacionada: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure).
Gravidade: Baixa
As vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (alimentadas pela Configuração de convidado)
Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas Windows para protegê-las de ataques. (Nenhuma política relacionada)
Gravidade: Baixa
O Windows Defender Exploit Guard deve ser habilitado em computadores
Descrição: O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). (Política relacionada: Auditar máquinas Windows nas quais o Windows Defender Exploit Guard não está habilitado).
Gravidade: Média
As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost
Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite Visão geral das opções de criptografia de disco gerenciado para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para obter detalhes, visite Noções básicas sobre a configuração da máquina do Azure. (Política relacionada: [Pré-visualização]: as máquinas virtuais do Windows devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).
Substitui a recomendação mais antiga As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento. A recomendação permite auditar a conformidade de criptografia de VM.
Gravidade: Alta
Os servidores Web do Windows devem ser configurados para usar protocolos de comunicação seguros
Descrição: Para proteger a privacidade das informações comunicadas pela Internet, seus servidores Web devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede usando certificados de segurança para criptografar uma conexão entre máquinas. (Política relacionada: Auditar servidores Web Windows que não estão usando protocolos de comunicação seguros).
Gravidade: Alta
Recomendações de computação da AWS
As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPLIANT após a instalação de um patch
Descrição: esse controle verifica se o status de conformidade da conformidade do patch do Amazon EC2 Systems Manager é COMPATÍVEL ou NON_COMPLIANT após a instalação do patch na instância. Ele verifica apenas instâncias gerenciadas pelo AWS Systems Manager Patch Manager. Ele não verifica se o patch foi aplicado dentro do limite de 30 dias prescrito pelo requisito '6.2' do PCI DSS. Também não valida se os patches aplicados foram classificados como patches de segurança. Você deve criar grupos de patches com as configurações de linha de base apropriadas e garantir que os sistemas no escopo sejam gerenciados por esses grupos de patches no Systems Manager. Para obter mais informações sobre grupos de patches, consulte Guia do usuário do AWS Systems Manager.
Gravidade: Média
O Amazon EFS deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS
Descrição: esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando o AWS KMS. A verificação falha nos seguintes casos: *"Encrypted" é definido como "false" na resposta DescribeFileSystems. A chave "KmsKeyId" na resposta DescribeFileSystems não corresponde ao parâmetro KmsKeyId para efs-encrypted-check. Observe que esse controle não usa o parâmetro "KmsKeyId" para efs-encrypted-check. Verifica apenas o valor de "Encrypted". Para obter uma camada adicional de segurança para seus dados confidenciais no Amazon EFS, você deve criar sistemas de arquivos criptografados. O Amazon EFS oferece suporte à criptografia para sistemas de arquivos em repouso. Você pode habilitar a criptografia de dados em repouso ao criar um sistema de arquivos do Amazon EFS. Para saber mais sobre a criptografia do Amazon EFS, consulte Criptografia de dados no Amazon EFS no Guia do usuário do Amazon Elastic File System.
Gravidade: Média
Os volumes do Amazon EFS devem estar em planos de backup
Descrição: esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) foram adicionados aos planos de backup no AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup. A inclusão de sistemas de arquivos EFS nos planos de backup ajuda você a proteger seus dados contra exclusão e perda de dados.
Gravidade: Média
A proteção contra exclusão do Application Load Balancer deve ser ativada
Descrição: esse controle verifica se um Application Load Balancer tem a proteção contra exclusão habilitada. O controle falhará se a proteção contra exclusão não estiver configurada. Habilite a proteção contra exclusão para proteger seu Application Load Balancer contra exclusão.
Gravidade: Média
Os grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade
Descrição: os grupos de Auto Scaling associados a um balanceador de carga estão usando verificações de integridade do Elastic Load Balancing. O PCI DSS não requer balanceamento de carga ou configurações altamente disponíveis. Isso é recomendado pelas melhores práticas da AWS.
Gravidade: Baixa
As contas da AWS devem ter o provisionamento automático do Azure Arc habilitado
Descrição: Para visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, as instâncias do EC2 devem ser conectadas ao Azure Arc. Para garantir que todas as instâncias EC2 qualificadas recebam automaticamente o Azure Arc, habilite o provisionamento automático do Defender for Cloud no nível da conta da AWS. Saiba mais sobre o Azure Arc e o Microsoft Defender for Servers.
Gravidade: Alta
As distribuições do CloudFront devem ter failover de origem configurado
Descrição: esse controle verifica se uma distribuição do Amazon CloudFront está configurada com um grupo de origem que tenha duas ou mais origens. O failover de origem do CloudFront pode aumentar a disponibilidade. O failover de origem redireciona automaticamente o tráfego para uma origem secundária se a origem primária não estiver disponível ou se retornar códigos de status de resposta HTTP específicos.
Gravidade: Média
As URLs do repositório de origem do CodeBuild GitHub ou Bitbucket devem usar OAuth
Descrição: Este controle verifica se a URL do repositório de origem do GitHub ou Bitbucket contém tokens de acesso pessoal ou um nome de usuário e senha. As credenciais de autenticação nunca devem ser armazenadas ou transmitidas em texto não criptografado ou aparecer na URL do repositório. Em vez de tokens de acesso pessoal ou nome de usuário e senha, você deve usar o OAuth para conceder autorização para acessar repositórios GitHub ou Bitbucket. O uso de tokens de acesso pessoal ou um nome de usuário e senha pode expor suas credenciais à exposição não intencional de dados e acesso não autorizado.
Gravidade: Alta
As variáveis de ambiente do projeto CodeBuild não devem conter credenciais
Descrição: Este controle verifica se o projeto contém as variáveis AWS_ACCESS_KEY_ID
de ambiente e AWS_SECRET_ACCESS_KEY
.
Credenciais AWS_ACCESS_KEY_ID
de autenticação e AWS_SECRET_ACCESS_KEY
nunca devem ser armazenadas em texto não criptografado, pois isso pode levar à exposição não intencional de dados e acesso não autorizado.
Gravidade: Alta
Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
Descrição: esse controle verifica se um cluster DAX está criptografado em repouso. A criptografia de dados em repouso reduz o risco de os dados armazenados no disco serem acessados por um usuário não autenticado na AWS. A criptografia adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados de acessar os dados. Por exemplo, as permissões de API são necessárias para descriptografar os dados antes que eles possam ser lidos.
Gravidade: Média
As tabelas do DynamoDB devem dimensionar automaticamente a capacidade de acordo com a demanda
Descrição: esse controle verifica se uma tabela do Amazon DynamoDB pode dimensionar sua capacidade de leitura e gravação conforme necessário. Esse controle passa se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com dimensionamento automático configurado. Dimensionar a capacidade com a demanda evita exceções de limitação, o que ajuda a manter a disponibilidade de seus aplicativos.
Gravidade: Média
As instâncias do EC2 devem ser conectadas ao Azure Arc
Descrição: conecte suas instâncias do EC2 ao Azure Arc para ter visibilidade total do conteúdo de segurança do Microsoft Defender for Servers. Saiba mais sobre o Azure Arc e sobre o Microsoft Defender for Servers em ambiente de nuvem híbrida.
Gravidade: Alta
As instâncias do EC2 devem ser gerenciadas pelo AWS Systems Manager
Descrição: o status da conformidade do patch do Amazon EC2 Systems Manager é 'COMPATÍVEL' ou 'NON_COMPLIANT' após a instalação do patch na instância. Somente as instâncias gerenciadas pelo AWS Systems Manager Patch Manager são verificadas. Os patches que foram aplicados dentro do limite de 30 dias prescrito pelo requisito '6' do PCI DSS não são verificados.
Gravidade: Média
Os problemas de configuração do EDR devem ser resolvidos no EC2s
Descrição: Para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada. Atualmente, essa recomendação só se aplica a recursos com o Microsoft Defender for Endpoint habilitado.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Alta
A solução EDR deve ser instalada no EC2s
Descrição: para proteger os EC2s, instale uma solução EDR (Endpoint Detection and Response). Os EDRs ajudam a prevenir, detetar, investigar e responder a ameaças avançadas. Use o Microsoft Defender for Servers para implantar o Microsoft Defender for Endpoint. Se o recurso for classificado como "Não íntegro", ele não terá uma solução EDR suportada instalada. Se você tiver uma solução EDR instalada que não seja detetável por esta recomendação, você pode isentá-la.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Alta
As instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT
Descrição: esse controle verifica se o status da conformidade da associação do AWS Systems Manager é COMPATÍVEL ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle passa se o status de conformidade da associação for COMPATÍVEL. Uma associação do State Manager é uma configuração atribuída às suas instâncias gerenciadas. A configuração define o estado que você deseja manter em suas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve ser instalado e executado em suas instâncias ou que determinadas portas devem ser fechadas. Depois de criar uma ou mais associações do State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você no console ou em resposta aos comandos da AWS CLI ou às operações correspondentes da API do Systems Manager. Para associações, a Conformidade de "Configuração" mostra os status de Compatível ou Não Compatível e o nível de gravidade atribuído à associação, como Crítico ou Médio. Para saber mais sobre a conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no Guia do usuário do AWS Systems Manager. Você deve configurar suas instâncias EC2 no escopo para associação do Systems Manager. Você também deve configurar a linha de base do patch para a classificação de segurança do fornecedor de patches e definir a data de aprovação automática para atender ao requisito 6.2 do PCI DSS 3.2.1. Para obter mais orientações sobre como criar uma associação, consulte Criar uma associação no Guia do usuário do AWS Systems Manager. Para obter mais informações sobre como trabalhar com patches no Systems Manager, consulte AWS Systems Manager Patch Manager no Guia do usuário do AWS Systems Manager.
Gravidade: Baixa
As funções do Lambda devem ter uma fila de mensagens mortas configurada
Descrição: esse controle verifica se uma função do Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função do Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar sua função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas age da mesma forma que um destino em caso de falha. É usado quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você analise erros ou solicitações com falha para sua função do Lambda para depurar ou identificar um comportamento incomum. Do ponto de vista da segurança, é importante entender por que sua função falhou e garantir que sua função não perca dados ou comprometa a segurança dos dados como resultado. Por exemplo, se sua função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de negação de serviço (DoS) em outro lugar da rede.
Gravidade: Média
As funções do Lambda devem usar tempos de execução suportados
Descrição: esse controle verifica se as configurações de função do Lambda para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados para cada idioma. Esse controle verifica os seguintes tempos de execução: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Runtimes do Lambda são construídos em torno de uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitas a atualizações de manutenção e segurança. Quando um componente de tempo de execução não é mais suportado para atualizações de segurança, o Lambda substitui o tempo de execução. Mesmo que você não possa criar funções que usam o tempo de execução preterido, a função ainda está disponível para processar eventos de invocação. Certifique-se de que suas funções do Lambda estejam atualizadas e não usem ambientes de tempo de execução desatualizados. Para saber mais sobre os tempos de execução suportados que esse controle verifica para os idiomas suportados, consulte Tempos de execução do AWS Lambda no Guia do desenvolvedor do AWS Lambda.
Gravidade: Média
As portas de gerenciamento de instâncias do EC2 devem ser protegidas com controle de acesso à rede just-in-time
Descrição: O Microsoft Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em sua rede. Habilite o controle de acesso just-in-time para proteger suas instâncias contra ataques de força bruta baseados na Internet. Mais informações.
Gravidade: Alta
Os security groups do EC2 não utilizados devem ser removidos
Descrição: os grupos de segurança devem ser anexados a instâncias do Amazon EC2 ou a uma ENI. A localização íntegra pode indicar que há grupos de segurança do Amazon EC2 não utilizados.
Gravidade: Baixa
Recomendações de computação do GCP
As VMs do Compute Engine devem usar o sistema operacional otimizado para contêiner
Descrição: Esta recomendação avalia a propriedade config de um pool de nós para o par chave-valor, 'imageType': 'COS'.
Gravidade: Baixa
Os problemas de configuração do EDR devem ser resolvidos em máquinas virtuais GCP
Descrição: Para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada. Atualmente, essa recomendação só se aplica a recursos com o Microsoft Defender for Endpoint habilitado.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Alta
A solução EDR deve ser instalada em máquinas virtuais GCP
Descrição: Para proteger máquinas virtuais, instale uma solução EDR (Endpoint Detection and Response). Os EDRs ajudam a prevenir, detetar, investigar e responder a ameaças avançadas. Use o Microsoft Defender for Servers para implantar o Microsoft Defender for Endpoint. Se o recurso for classificado como "Não íntegro", ele não terá uma solução EDR suportada instalada. Se você tiver uma solução EDR instalada que não seja detetável por esta recomendação, você pode isentá-la.
Esta recomendação de ponto de extremidade sem agente estará disponível se você tiver o Plano 2 do Defender for Servers ou o plano CSPM do Defender. Saiba mais sobre as recomendações de proteção de endpoint sem agente.
- Essas novas recomendações de ponto de extremidade sem agente dão suporte ao Azure e a máquinas multicloud. Não há suporte para servidores locais.
- Essas novas recomendações de endpoint sem agente substituem as recomendações existentes: a proteção de endpoint deve ser instalada em suas máquinas (visualização) e os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (visualização).
- Essas recomendações mais antigas usam o agente MMA/AMA e serão substituídas à medida que os agentes forem eliminados no Defender for Servers.
Gravidade: Alta
Verifique se 'Bloquear chaves SSH em todo o projeto' está habilitado para instâncias de VM
Descrição: Recomenda-se usar chave(s) SSH específica da instância em vez de usar chave(s) SSH comum/compartilhada em todo o projeto para acessar instâncias. As chaves SSH em todo o projeto são armazenadas em metadados de computação/projeto. As chaves SSH de todo o projeto podem ser usadas para efetuar login em todas as instâncias dentro do projeto. O uso de chaves SSH em todo o projeto facilita o gerenciamento de chaves SSH, mas, se comprometido, representa o risco de segurança que pode afetar todas as instâncias dentro do projeto. Recomenda-se o uso de chaves SSH específicas da instância que podem limitar a superfície de ataque se as chaves SSH estiverem comprometidas.
Gravidade: Média
Garantir que as instâncias de computação sejam iniciadas com a VM blindada habilitada
Descrição: Para se defender contra ameaças avançadas e garantir que o carregador de inicialização e o firmware em suas VMs estejam assinados e invioláveis, é recomendável que as instâncias de computação sejam iniciadas com a VM blindada habilitada.
As VMs blindadas são VMs no Google Cloud Platform reforçadas por um conjunto de controles de segurança que ajudam a se defender contra rootkits
e bootkits
.
A VM blindada oferece integridade verificável de suas instâncias de VM do Compute Engine, para que você possa ter certeza de que suas instâncias não foram comprometidas por malware ou rootkits de inicialização ou kernel.
A integridade verificável da VM blindada é alcançada por meio do uso da Inicialização Segura, da Inicialização Medida habilitada para vTPM (Virtual Trusted Platform Module) e do monitoramento de integridade.
As instâncias de VM blindadas executam firmware assinado e verificado usando a Autoridade de Certificação do Google, garantindo que o firmware da instância não seja modificado e estabelecendo a raiz de confiança para a Inicialização Segura.
O monitoramento de integridade ajuda você a entender e tomar decisões sobre o estado de suas instâncias de VM e o vTPM de VM blindado habilita a inicialização medida executando as medições necessárias para criar uma linha de base de inicialização em boas condições, chamada de linha de base da política de integridade.
A linha de base da política de integridade é usada para comparação com medições de inicializações subsequentes de VM para determinar se algo mudou.
A Inicialização Segura ajuda a garantir que o sistema execute apenas software autêntico, verificando a assinatura digital de todos os componentes de inicialização e interrompendo o processo de inicialização se a verificação de assinatura falhar.
Gravidade: Alta
Verifique se 'Habilitar conexão a portas seriais' não está habilitado para a instância da VM
Descrição: A interação com uma porta serial é muitas vezes referida como o console serial, que é semelhante ao uso de uma janela de terminal, em que a entrada e saída é inteiramente em modo de texto e não há interface gráfica ou suporte a mouse. Se você habilitar o console serial interativo em uma instância, os clientes poderão tentar se conectar a essa instância a partir de qualquer endereço IP. Portanto, o suporte ao console serial interativo deve ser desativado. Uma instância de máquina virtual tem quatro portas seriais virtuais. Interagir com uma porta serial é semelhante ao uso de uma janela de terminal, em que a entrada e saída é totalmente em modo de texto e não há interface gráfica ou suporte de mouse. O sistema operacional da instância, o BIOS e outras entidades no nível do sistema geralmente gravam a saída nas portas seriais e podem aceitar entradas, como comandos ou respostas a prompts. Normalmente, essas entidades no nível do sistema usam a primeira porta serial (porta 1) e a porta serial 1 é frequentemente chamada de console serial. O console serial interativo não suporta restrições de acesso baseadas em IP, como listas de permissões de IP. Se você habilitar o console serial interativo em uma instância, os clientes poderão tentar se conectar a essa instância a partir de qualquer endereço IP. Isso permite que qualquer pessoa se conecte a essa instância se souber a chave SSH, o nome de usuário, a ID do projeto, a zona e o nome da instância corretos. Portanto, o suporte ao console serial interativo deve ser desativado.
Gravidade: Média
Verifique se o sinalizador de banco de dados 'log_duration' para a instância do Cloud SQL PostgreSQL está definido como 'on'
Descrição: Ativar a configuração log_hostname faz com que a duração de cada instrução concluída seja registrada. Isso não registra o texto da consulta e, portanto, se comporta de forma diferente do sinalizador log_min_duration_statement. Este parâmetro não pode ser alterado após o início da sessão. Monitorar o tempo necessário para executar as consultas pode ser crucial para identificar quaisquer consultas de sobrecarga de recursos e avaliar o desempenho do servidor. Outras etapas, como balanceamento de carga e uso de consultas otimizadas, podem ser tomadas para garantir o desempenho e a estabilidade do servidor. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_executor_stats' para a instância do Cloud SQL PostgreSQL está definido como 'desativado'
Descrição: O executor PostgreSQL é responsável por executar o plano entregue pelo planejador PostgreSQL. O executor processa o plano recursivamente para extrair o conjunto necessário de linhas. O sinalizador "log_executor_stats" controla a inclusão de estatísticas de desempenho do executor PostgreSQL nos logs do PostgreSQL para cada consulta. O sinalizador "log_executor_stats" permite um método de criação de perfil bruto para registrar estatísticas de desempenho do executor PostgreSQL, que, embora possa ser útil para a solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_min_error_statement' para a instância do Cloud SQL PostgreSQL está definido como 'Erro' ou mais rigoroso
Descrição: O sinalizador "log_min_error_statement" define o nível mínimo de gravidade da mensagem que é considerado como uma instrução de erro. As mensagens para instruções de erro são registradas com a instrução SQL. Os valores válidos incluem "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" e "PANIC". Cada nível de severidade inclui os níveis subsequentes mencionados acima. Certifique-se de que um valor de ERROR ou mais rigoroso esteja definido. A auditoria ajuda na solução de problemas operacionais e também permite a análise forense. Se "log_min_error_statement" não estiver definido com o valor correto, as mensagens podem não ser classificadas como mensagens de erro adequadamente. Considerar mensagens de log gerais como mensagens de erro é difícil encontrar erros reais e considerar apenas níveis de gravidade mais rígidos, pois as mensagens de erro podem ignorar erros reais para registrar suas instruções SQL. O sinalizador "log_min_error_statement" deve ser definido como "ERROR" ou mais rigoroso. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_parser_stats' para a instância do Cloud SQL PostgreSQL está definido como 'desativado'
Descrição: O planejador/otimizador PostgreSQL é responsável por analisar e verificar a sintaxe de cada consulta recebida pelo servidor. Se a sintaxe estiver correta, uma "árvore de análise" será construída, caso contrário, um erro será gerado. O sinalizador "log_parser_stats" controla a inclusão de estatísticas de desempenho do analisador nos logs do PostgreSQL para cada consulta. O sinalizador "log_parser_stats" permite um método bruto de criação de perfil para registrar estatísticas de desempenho do analisador, que, embora possa ser útil para a solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_planner_stats' para a instância do Cloud SQL PostgreSQL está definido como 'desativado'
Descrição: A mesma consulta SQL pode ser executada de várias maneiras e ainda produzir resultados diferentes. O planejador/otimizador PostgreSQL é responsável por criar um plano de execução ideal para cada consulta. O sinalizador "log_planner_stats" controla a inclusão de estatísticas de desempenho do planejador PostgreSQL nos logs do PostgreSQL para cada consulta. O sinalizador "log_planner_stats" permite um método bruto de criação de perfil para registrar estatísticas de desempenho do planejador PostgreSQL, que, embora possa ser útil para a solução de problemas, pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_statement_stats' para a instância do Cloud SQL PostgreSQL está definido como 'desativado'
Descrição: O sinalizador "log_statement_stats" controla a inclusão de estatísticas de desempenho de ponta a ponta de uma consulta SQL nos logs do PostgreSQL para cada consulta. Isso não pode ser ativado com outras estatísticas de módulo (log_parser_stats, log_planner_stats log_executor_stats). O sinalizador "log_statement_stats" habilita um método bruto de criação de perfil para registrar estatísticas de desempenho de ponta a ponta de uma consulta SQL. Isso pode ser útil para solução de problemas, mas pode aumentar significativamente o número de logs e ter sobrecarga de desempenho. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se as instâncias de computação não têm endereços IP públicos
Descrição: as instâncias de computação não devem ser configuradas para ter endereços IP externos.
Para reduzir a superfície de ataque, as instâncias de computação não devem ter endereços IP públicos. Em vez disso, as instâncias devem ser configuradas atrás de balanceadores de carga, para minimizar a exposição da instância à Internet.
As instâncias criadas pelo GKE devem ser excluídas porque algumas delas têm endereços IP externos e não podem ser alteradas editando as configurações da instância.
Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
.
Gravidade: Alta
Verifique se as instâncias não estão configuradas para usar a conta de serviço padrão
Descrição: É recomendável configurar sua instância para não usar a conta de serviço padrão do Compute Engine porque ela tem a função Editor no projeto.
A conta de serviço padrão do Compute Engine tem a função Editor no projeto, que permite acesso de leitura e gravação à maioria dos Serviços do Google Cloud.
Para se defender contra escalonamentos de privilégios se sua VM estiver comprometida e para impedir que um invasor obtenha acesso a todos os seus projetos, é recomendável não usar a conta de serviço padrão do Compute Engine.
Em vez disso, você deve criar uma nova conta de serviço e atribuir apenas as permissões necessárias para sua instância.
A conta de serviço padrão do Compute Engine é denominada [PROJECT_NUMBER]- compute@developer.gserviceaccount.com
.
As VMs criadas pelo GKE devem ser excluídas. Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
.
Gravidade: Alta
Certifique-se de que as instâncias não estejam configuradas para usar a conta de serviço padrão com acesso total a todas as APIs de nuvem
Descrição: para dar suporte ao princípio de privilégios mínimos e evitar o possível escalonamento de privilégios, é recomendável que as instâncias não sejam atribuídas à conta de serviço padrão "Conta de serviço padrão do Compute Engine" com Escopo "Permitir acesso total a todas as APIs de nuvem". Além da capacidade de criar, gerenciar e usar opcionalmente contas de serviço personalizadas gerenciadas pelo usuário, o Google Compute Engine fornece uma conta de serviço padrão "Conta de serviço padrão do Compute Engine" para uma instância para acessar os serviços de nuvem necessários.
A função "Editor de projeto" é atribuída à "conta de serviço padrão do Compute Engine", portanto, essa conta de serviço tem quase todos os recursos em todos os serviços de nuvem, exceto cobrança. No entanto, quando a "conta de serviço padrão do Compute Engine" é atribuída a uma instância, ela pode operar em três escopos.
- Permitir acesso padrão: permite apenas o acesso mínimo necessário para executar uma instância (privilégios mínimos).
- Permitir acesso total a todas as APIs de nuvem: permitir acesso total a todas as APIs/serviços de nuvem (muito acesso).
- Definir acesso para cada API: permite que o administrador da instância escolha apenas as APIs necessárias para executar funcionalidades de negócios específicas esperadas pela instância.
Quando uma instância é configurada com "Conta de serviço padrão do Compute Engine" com Escopo "Permitir acesso total a todas as APIs da nuvem", com base nas funções do IAM atribuídas ao(s) usuário(s) que acessam a instância, ela pode permitir que o usuário execute operações/chamadas de API na nuvem que o usuário não deveria executar, levando ao escalonamento de privilégios bem-sucedido.
As VMs criadas pelo GKE devem ser excluídas. Essas VMs têm nomes que começam com gke-
e são rotulados goog-gke-node
.
Gravidade: Média
Verifique se o encaminhamento IP não está habilitado em instâncias
Descrição: A instância do Compute Engine não pode encaminhar um pacote a menos que o endereço IP de origem do pacote corresponda ao endereço IP da instância. Da mesma forma, o GCP não fornecerá um pacote cujo endereço IP de destino seja diferente do endereço IP da instância que recebe o pacote. No entanto, ambos os recursos são necessários se você quiser usar instâncias para ajudar a rotear pacotes. O encaminhamento de pacotes de dados deve ser desativado para evitar a perda de dados ou a divulgação de informações. A instância do Compute Engine não pode encaminhar um pacote, a menos que o endereço IP de origem do pacote corresponda ao endereço IP da instância. Da mesma forma, o GCP não fornecerá um pacote cujo endereço IP de destino seja diferente do endereço IP da instância que recebe o pacote. No entanto, ambos os recursos são necessários se você quiser usar instâncias para ajudar a rotear pacotes. Para habilitar essa verificação de IP de origem e destino, desative o campo canIpForward, que permite que uma instância envie e receba pacotes com IPs de destino ou de origem não correspondentes.
Gravidade: Média
Certifique-se de que o sinalizador de banco de dados 'log_checkpoints' para a instância do Cloud SQL PostgreSQL esteja definido como 'on'
Descrição: verifique se o sinalizador de banco de dados log_checkpoints para a instância do Cloud SQL PostgreSQL está definido como ativado. Habilitar log_checkpoints faz com que pontos de verificação e pontos de reinicialização sejam registrados no log do servidor. Algumas estatísticas são incluídas nas mensagens de log, incluindo o número de buffers gravados e o tempo gasto para gravá-los. Esse parâmetro só pode ser definido no arquivo postgresql.conf ou na linha de comando do servidor. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_lock_waits' para a instância do Cloud SQL PostgreSQL está definido como 'on'
Descrição: Habilitar o sinalizador "log_lock_waits" para uma instância do PostgreSQL cria um log para qualquer espera de sessão que leve mais do que o tempo "deadlock_timeout" alocado para adquirir um bloqueio. O tempo limite de bloqueio define o tempo de espera em um bloqueio antes de verificar quaisquer condições. Atropelamentos frequentes no tempo limite de bloqueio podem ser uma indicação de um problema subjacente. O registro dessas esperas em bloqueios habilitando o sinalizador log_lock_waits pode ser usado para identificar um desempenho ruim devido a atrasos de bloqueio ou se um SQL especialmente criado estiver tentando privar recursos por meio da retenção de bloqueios por períodos excessivos de tempo. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_min_duration_statement' para a instância do Cloud SQL PostgreSQL está definido como '-1'
Descrição: O sinalizador "log_min_duration_statement" define a quantidade mínima de tempo de execução de uma instrução em milissegundos onde a duração total da instrução é registrada. Certifique-se de que "log_min_duration_statement" está desativado, ou seja, um valor de -1 está definido. O registro de instruções SQL pode incluir informações confidenciais que não devem ser registradas em logs. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Certifique-se de que o sinalizador de banco de dados 'log_min_messages' para a instância do Cloud SQL PostgreSQL esteja definido adequadamente
Descrição: O sinalizador "log_min_error_statement" define o nível mínimo de gravidade da mensagem que é considerado como uma instrução de erro. As mensagens para instruções de erro são registradas com a instrução SQL. Os valores válidos incluem "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" e "PANIC". Cada nível de severidade inclui os níveis subsequentes mencionados acima. Para desativar efetivamente o registro de instruções com falha, defina esse parâmetro como PANIC. ERROR é considerado a configuração de práticas recomendadas. As alterações só devem ser feitas de acordo com a política de registro em log da organização. A auditoria ajuda na solução de problemas operacionais e também permite a análise forense. Se "log_min_error_statement" não estiver definido com o valor correto, as mensagens podem não ser classificadas como mensagens de erro adequadamente. Considerar mensagens de log gerais como mensagens de erro tornaria difícil encontrar erros reais, considerando apenas níveis de gravidade mais rígidos, pois as mensagens de erro podem ignorar erros reais para registrar suas instruções SQL. O sinalizador "log_min_error_statement" deve ser definido de acordo com a política de registro em log da organização. Esta recomendação é aplicável a instâncias de banco de dados PostgreSQL.
Gravidade: Baixa
Verifique se o sinalizador de banco de dados 'log_temp_files' para a instância do Cloud SQL PostgreSQL está definido como '0'
Descrição: O PostgreSQL pode criar um arquivo temporário para ações como classificação, hash e resultados de consultas temporárias quando essas operações excedem "work_mem". O sinalizador "log_temp_files" controla os nomes de registro e o tamanho do arquivo quando ele é excluído. Configurar "log_temp_files" como 0 faz com que todas as informações de arquivo temporário sejam registradas, enquanto os valores positivos registram apenas arquivos cujo tamanho é maior ou igual ao número especificado de kilobytes. Um valor de "-1" desativa o registro temporário de informações de arquivo. Se todos os arquivos temporários não forem registrados, pode ser mais difícil identificar possíveis problemas de desempenho que podem ser devidos a codificação incorreta de aplicativos ou tentativas deliberadas de falta de recursos.
Gravidade: Baixa
Garantir que os discos de VM para VMs críticas sejam criptografados com a chave de criptografia fornecida pelo cliente
Descrição: as chaves de criptografia fornecidas pelo cliente (CSEK) são um recurso do Google Cloud Storage e do Google Compute Engine. Se fornecer as suas próprias chaves de encriptação, a Google utiliza a sua chave para proteger as chaves geradas pela Google utilizadas para encriptar e desencriptar os seus dados. Por padrão, o Google Compute Engine criptografa todos os dados em repouso. O Compute Engine lida e gerencia essa criptografia para você sem nenhuma ação adicional de sua parte. No entanto, se você quiser controlar e gerenciar essa criptografia por conta própria, você pode fornecer suas próprias chaves de criptografia. Por padrão, o Google Compute Engine criptografa todos os dados em repouso. O Compute Engine lida e gerencia essa criptografia para você sem nenhuma ação adicional de sua parte. No entanto, se você quiser controlar e gerenciar essa criptografia por conta própria, você pode fornecer suas próprias chaves de criptografia. Se fornecer as suas próprias chaves de encriptação, o Compute Engine utiliza a sua chave para proteger as chaves geradas pela Google utilizadas para encriptar e desencriptar os seus dados. Somente os usuários que podem fornecer a chave correta podem usar recursos protegidos por uma chave de criptografia fornecida pelo cliente. A Google não armazena as suas chaves nos seus servidores e não pode aceder aos seus dados protegidos, a menos que forneça a chave. Isso também significa que, se você esquecer ou perder sua chave, não há como o Google recuperar a chave ou recuperar quaisquer dados criptografados com a chave perdida. Pelo menos as VMs críticas para os negócios devem ter discos VM criptografados com CSEK.
Gravidade: Média
Os projetos do GCP devem ter o provisionamento automático do Azure Arc habilitado
Descrição: Para visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, as instâncias de VM do GCP devem ser conectadas ao Azure Arc. Para garantir que todas as instâncias de VM qualificadas recebam automaticamente o Azure Arc, habilite o provisionamento automático do Defender for Cloud no nível do projeto GCP. Saiba mais sobre o Azure Arc e o Microsoft Defender for Servers.
Gravidade: Alta
As instâncias de VM do GCP devem ser conectadas ao Azure Arc
Descrição: Conecte suas máquinas virtuais GCP ao Azure Arc para ter visibilidade total do conteúdo de segurança do Microsoft Defender for Servers. Saiba mais sobre o Azure Arc e sobre o Microsoft Defender for Servers em ambiente de nuvem híbrida.
Gravidade: Alta
As instâncias de VM do GCP devem ter o agente de configuração do sistema operacional instalado
Descrição: Para receber todos os recursos do Defender for Servers usando o provisionamento automático do Azure Arc, as VMs do GCP devem ter o agente de configuração do sistema operacional habilitado.
Gravidade: Alta
O recurso de reparo automático do cluster GKE deve ser ativado
Descrição: Esta recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, 'key': 'autoRepair', 'value': true.
Gravidade: Média
O recurso de atualização automática do cluster GKE deve ser ativado
Descrição: Esta recomendação avalia a propriedade de gerenciamento de um pool de nós para o par chave-valor, 'key': 'autoUpgrade', 'value': true.
Gravidade: Alta
O monitoramento em clusters GKE deve ser habilitado
Descrição: esta recomendação avalia se a propriedade monitoringService de um cluster contém o local que o Cloud Monitoring deve usar para escrever métricas.
Gravidade: Média