Рекомендации по безопасности данных
В этой статье перечислены все рекомендации по обеспечению безопасности данных, которые могут отображаться в Microsoft Defender для облака.
Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.
Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.
Совет
Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.
Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.
Рекомендации по данным Azure
Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям
Описание. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что учетная запись Cosmos DB не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие учетной записи Cosmos DB. Подробнее. (Связанная политика: Azure Cosmos DB должен отключить доступ к общедоступной сети.
Серьезность: средний
(Включить при необходимости) Учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/cosmosdb-cmk. (Связанная политика: Учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).
Серьезность: низкая
(Включить при необходимости) Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом (CMK). По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/azureml-workspaces-cmk. (Связанная политика: Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)).
Серьезность: низкая
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии
Описание. Установка tls версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. (Связанная политика: База данных SQL Azure должна работать под управлением TLS версии 1.2 или более поздней версии).
Серьезность: средний
Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети
Описание. Отключение доступа к общедоступной сети (общедоступная конечная точка) в Управляемый экземпляр SQL Azure повышает безопасность, обеспечивая доступ только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступной сети. (Связанная политика: Управляемый экземпляр SQL Azure должны отключить доступ к общедоступной сети).
Серьезность: средний
Учетные записи Cosmos DB должны использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB риски утечки данных снижаются. Дополнительные сведения о частных ссылках. (Связанная политика: Учетные записи Cosmos DB должны использовать приватный канал).
Серьезность: средний
(Включить при необходимости) Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов MySQL следует включить защиту собственных ключей.
Серьезность: низкая
(Включить при необходимости) Серверы PostgreSQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов PostgreSQL следует включить защиту собственных ключей.
Серьезность: низкая
(Включить при необходимости) Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).
Серьезность: низкая
(Включить при необходимости) Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).
Серьезность: низкая
(Включить при необходимости) Учетные записи хранения должны использовать управляемый клиентом ключ (CMK) для шифрования
Описание. Рекомендации по использованию ключей, управляемых клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для обеспечения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Обеспечьте большую гибкость своей учетной записи хранения с помощью управляемых клиентом ключей (ключей CMK). Когда вы указываете ключ CMK, он используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей CMK предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. (Связанная политика: Для шифрования учетные записи хранения должны использовать управляемый клиентом ключ (CMK).
Серьезность: низкая
Все типы расширенной защиты от угроз должны быть включены в расширенных параметрах безопасности данных управляемого экземпляра SQL.
Описание. Рекомендуется включить все типы расширенной защиты от угроз в управляемых экземплярах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)
Серьезность: средний
Все типы расширенной защиты от угроз должны быть включены в параметрах расширенной безопасности данных SQL Server
Описание. Рекомендуется включить все типы расширенной защиты от угроз на серверах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)
Серьезность: средний
Службы управления API должны использовать виртуальную сеть
Описание. Развертывание Azure виртуальная сеть обеспечивает повышенную безопасность, изоляцию и позволяет размещать службу Управление API в сети, отличной от Интернета, к которым вы управляете доступом. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. (Связанная политика: Управление API службам следует использовать виртуальную сеть).
Серьезность: средний
Служба "Конфигурация приложений" должна использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. (Связанная политика: Конфигурация приложений должен использовать приватный канал).
Серьезность: средний
Срок хранения аудита для серверов SQL должен иметь значение не менее 90 дней
Описание. Аудит серверов SQL, настроенных с периодом хранения аудита менее 90 дней. (Связанная политика: Серверы SQL должны быть настроены с 90 дней хранения аудита или более поздней версии.)
Серьезность: низкая
Необходимо включить аудит на сервере SQL
Описание. Включите аудит в SQL Server для отслеживания действий базы данных во всех базах данных на сервере и сохранения их в журнале аудита. (Связанная политика: Аудит на SQL Server должен быть включен).
Серьезность: низкая
В подписке должна быть включена автоматическая подготовка агента Log Analytics
Описание. Чтобы отслеживать уязвимости и угрозы безопасности, Microsoft Defender для облака собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. (Связанная политика: Автоматическая подготовка агента Log Analytics должна быть включена в подписке).
Серьезность: низкая
Кэш Azure для Redis должен находиться в виртуальной сети
Описание. Развертывание azure виртуальная сеть (виртуальная сеть) обеспечивает повышенную безопасность и изоляцию для Кэш Azure для Redis, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если экземпляр кэша Azure для Redis настроен в виртуальной сети, он не является общедоступным, а доступен только для виртуальных машин и приложений в этой виртуальной сети. (Связанная политика: Кэш Azure для Redis должен находиться в виртуальной сети).
Серьезность: средний
База данных Azure для MySQL должен быть подготовлен администратор Azure Active Directory
Описание. Подготовка администратора Azure AD для База данных Azure для MySQL для включения проверки подлинности Azure AD. Проверка подлинности Azure AD позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт (связанная политика: администратор Azure Active Directory должен быть подготовлен для серверов MySQL).
Серьезность: средний
База данных Azure для PostgreSQL должен быть подготовлен администратор Azure Active Directory
Описание. Подготовка администратора Azure AD для База данных Azure для PostgreSQL для включения проверки подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт.
(Связанная политика: Администратор Azure Active Directory должен быть подготовлен для серверов PostgreSQL.
Серьезность: средний
База данных Azure для PostgreSQL гибкий сервер должен включать только проверку подлинности Microsoft Entra
Описание. Отключение локальных методов проверки подлинности и требование проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу База данных Azure для PostgreSQL доступ только удостоверениям Microsoft Entra (связанная политика: гибкий сервер Azure PostgreSQL должен включать только проверку подлинности Microsoft Entra).
Серьезность: средний
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра
Описание. Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить трафик от несанкционированных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. (Связанная политика: Учетные записи Azure Cosmos DB должны иметь правила брандмауэра).
Серьезность: средний
Домены Сетки событий Azure должны использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменами Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: Сетка событий Azure домены должны использовать приватный канал).
Серьезность: средний
Разделы Сетки событий Azure должны использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделами вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: Сетка событий Azure темы должны использовать приватную ссылку).
Серьезность: средний
Рабочие области Машинного обучения Azure должны использовать Приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с рабочими областями Машинного обучения Azure вместо всей службы обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/azureml-workspaces-privatelink. (Связанная политика: Машинное обучение Azure рабочие области должны использовать приватный канал).
Серьезность: средний
Служба Azure SignalR должна использовать приватный канал
Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с ресурсами SignalR вместо всей службы обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/asrs/privatelink. (Связанная политика: Служба Azure SignalR должен использовать приватный канал).
Серьезность: средний
Служба Azure Spring Cloud должна использовать внедрение сети
Описание. Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. (Связанная политика: Azure Spring Cloud должен использовать внедрение сети).
Серьезность: средний
Необходимо подготовить администратора Azure Active Directory для серверов SQL Server.
Описание. Подготовка администратора Azure AD для сервера SQL Server для включения проверки подлинности Azure AD. Проверка подлинности Azure AD упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт. (Связанная политика: Администратор Azure Active Directory должен быть подготовлен для серверов SQL.
Серьезность: высокий уровень
Режим проверки подлинности рабочей области Azure Synapse должен иметь только Azure Active Directory
Описание. Режим проверки подлинности рабочей области Azure Synapse должен быть только azure Active Directory только методами проверки подлинности Azure Active Directory, обеспечивая, чтобы рабочие области Synapse требовали только удостоверения Azure AD для проверки подлинности. Подробнее. (Связанная политика: Рабочие области Synapse должны использовать только удостоверения Azure Active Directory для проверки подлинности).
Серьезность: средний
В репозиториях кода должны быть устранены результаты сканирования кода
Описание: Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует)
Серьезность: средний
В репозиториях кода должны быть устранены ошибки в результате сканирования Dependabot
Описание: Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует)
Серьезность: средний
В репозиториях кода должны быть устранены результаты сканирования инфраструктуры как кода
Описание: Defender для DevOps обнаружил инфраструктуру в качестве проблем конфигурации безопасности кода в репозиториях. Проблемы, показанные ниже, были обнаружены в файлах шаблонов. Чтобы повысить уровень безопасности связанных облачных ресурсов, настоятельно рекомендуется исправить эти уязвимости. (Связанная политика отсутствует)
Серьезность: средний
В репозиториях кода должны быть исправлены результаты секретного сканирования
Описание: Defender для DevOps нашел секрет в репозиториях кода. Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности. Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых был настроен запуск средства. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует)
Серьезность: высокий уровень
Для учетных записей Cognitive Services следует включить шифрование данных
Описание. Эта политика проверяет все учетные записи Cognitive Services, которые не используют шифрование данных. Для каждой учетной записи с хранилищем необходимо включить шифрование данных с помощью управляемого клиентом или управляемого ключа Майкрософт. (Связанная политика: Учетные записи Cognitive Services должны включать шифрование данных).
Серьезность: низкая
Учетные записи Cognitive Services должны использовать хранилище клиента или включить шифрование данных.
Описание. Эта политика выполняет аудит любой учетной записи Cognitive Services, не использующей хранилище клиента или шифрование данных. Каждая учетная запись Cognitive Services с хранилищем должна использовать хранилище, принадлежащее клиенту, или шифрование данных. Соответствует стандарту Microsoft Cloud Security Benchmark. (Связанная политика: учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту, или шифрование данных.)
Серьезность: низкая
В Azure Data Lake Store должны быть включены журналы диагностики
Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Azure Data Lake Store должны быть включены).
Серьезность: низкая
В Data Lake Analytics должны быть включены журналы диагностики
Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Data Lake Analytics должны быть включены).
Серьезность: низкая
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте
Описание. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, если в одной из подписок существует потенциальное нарушение безопасности, включите Уведомления по электронной почте для оповещений с высоким уровнем серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте для оповещений с высоким уровнем серьезности должно быть включено).
Серьезность: низкая
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте
Описание. Чтобы убедиться, что владельцы подписок уведомляются о возможном нарушении безопасности в подписке, задайте Уведомления по электронной почте владельцам подписок для оповещений о высокой серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте владельцу подписки для оповещений с высоким уровнем серьезности должно быть включено).
Серьезность: средний
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения
Описание: База данных Azure для MySQL поддерживает подключение сервера База данных Azure для MySQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных MySQL.
Серьезность: средний
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения
Описание: База данных Azure для PostgreSQL поддерживает подключение сервера База данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных PostgreSQL.
Серьезность: средний
Уязвимости, обнаруженные в приложениях-функциях, должны быть устранены
Описание. Сканирование уязвимостей среды выполнения для функций сканирует приложения-функции для уязвимостей безопасности и предоставляет подробные результаты. Устранение уязвимостей может значительно улучшить безопасность бессерверных приложений и защитить их от атак. (Связанная политика отсутствует)
Серьезность: высокий уровень
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование
Описание: База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для MariaDB).
Серьезность: низкая
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование
Описание: База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL).
Серьезность: низкая
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование
Описание: База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL).
Серьезность: низкая
В репозиториях GitHub должно быть включено сканирование кода
Описание: GitHub использует сканирование кода для анализа кода для поиска уязвимостей безопасности и ошибок в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если при сканировании кода обнаружена потенциальная уязвимость или ошибка в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует)
Серьезность: средний
В репозиториях GitHub должно быть включено сканирование Dependabot
Описание: GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует)
Серьезность: средний
В репозиториях GitHub должно быть включено сканирование секретов
Описание: GitHub сканирует репозитории известных типов секретов, чтобы предотвратить мошеннические использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов будет охватывать весь журнал на наличие секретов GIT во всех ветвях, присутствующих в репозитории GitHub. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует)
Серьезность: высокий уровень
Необходимо включить Microsoft Defender для серверов Базы данных SQL Azure
Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он включает в себя функции обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных, а также обнаружения и классификации конфиденциальных данных.
Плата за защиту от этого плана взимается, как показано на странице планов Defender. Если у вас нет серверов Базы данных SQL Azure в этой подписке, с вас не будет взиматься плата. Если позже вы создадите в этой подписке серверы Базы данных SQL Azure, к ним будет автоматически применена защита и начнет взиматься плата. Узнайте больше о ценах в каждом регионе.
Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для SQL. (Связанная политика: Необходимо включить Azure Defender для База данных SQL Azure серверов).
Серьезность: высокий уровень
Необходимо включить Microsoft Defender для DNS
Описание. Microsoft Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов путем непрерывного мониторинга всех ЗАПРОСОВ DNS из ресурсов Azure. Defender для DNS предупреждает вас о подозрительных действиях на уровне DNS. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для DNS. Включение этого плана Defender подразумевает определенные расходы. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)
Серьезность: высокий уровень
Необходимо включить Microsoft Defender для реляционных баз данных с открытым кодом
Описание: Microsoft Defender для реляционных баз данных с открытым исходным кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. Дополнительную информацию см. в разделе Общие сведения о Microsoft Defender для реляционных баз данных с открытым кодом.
Включение этого плана приведет к сбору расходов на защиту реляционных баз данных с открытым исходным кодом. Если в этой подписке нет реляционных баз данных с открытым кодом, плата не будет взиматься. Если в будущем вы создадите в этой подписке реляционные базы данных с открытым кодом, они будут автоматически защищены, и с этого момента начнет начисляться плата. (Связанная политика отсутствует)
Серьезность: высокий уровень
Необходимо включить Microsoft Defender для Resource Manager
Описание. Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Defender для облака обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительную информацию см. в разделе Общие сведения о Microsoft Defender для Resource Manager. Включение этого плана Defender подразумевает определенные расходы. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)
Серьезность: высокий уровень
Microsoft Defender для SQL на компьютерах должен быть включен в рабочих областях
Описание: Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами. После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика отсутствует)
Серьезность: средний
Необходимо включить Microsoft Defender для серверов SQL Server на компьютерах
Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он включает в себя функции обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных, а также обнаружения и классификации конфиденциальных данных.
Применение этой рекомендации предусматривает плату за защиту экземпляров SQL Server на компьютерах. Если в этой подписке нет экземпляров SQL Server на компьютерах, плата не будет взиматься. Если в будущем вы создадите в этой подписке экземпляры SQL Server на компьютерах, они будут автоматически защищены, и с этого момента начнет начисляться плата. Узнайте больше о Microsoft Defender для серверов SQL Server на компьютерах. (Связанная политика: Необходимо включить Azure Defender для серверов SQL на компьютерах).
Серьезность: высокий уровень
Для незащищенных серверов Azure SQL следует включить Microsoft Defender для SQL
Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Плата за использование Microsoft Defender для SQL начисляется по тарифам для регионов. (Связанная политика: На серверах SQL должна быть включена расширенная безопасность данных.
Серьезность: высокий уровень
Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL
Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Плата за использование Microsoft Defender для SQL начисляется по тарифам для регионов. (Связанная политика: Расширенная безопасность данных должна быть включена в Управляемый экземпляр SQL).
Серьезность: высокий уровень
Необходимо включить Microsoft Defender для службы хранилища
Описание: Microsoft Defender для хранилища обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или эксплойтировать их.
Плата за защиту от этого плана взимается, как показано на странице планов Defender. Если в этой подписке нет учетных записей службы хранилища Azure, плата не будет взиматься. Если позже вы создадите в этой подписке учетные записи службы хранилища Azure, к ним будет автоматически применена защита и начнет взиматься плата. Узнайте больше о ценах в каждом регионе. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для хранилища. (Связанная политика: Необходимо включить Azure Defender для службы хранилища).
Серьезность: высокий уровень
Необходимо включить Наблюдатель за сетями
Описание: Наблюдатель за сетями — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure и из Нее. Мониторинг на уровне сценария позволяет диагностировать проблемы на сквозном уровне сети. Инструменты диагностики сети и визуализации, доступные в Наблюдателе за сетями, помогают понять, как работает сеть в Azure, диагностировать ее и получить ценную информацию. (Связанная политика: Наблюдатель за сетями следует включить).
Серьезность: низкая
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены
Описание. Подключения частной конечной точки обеспечивают безопасную связь, позволяя использовать частное подключение к База данных SQL Azure. (Связанная политика: Подключения к частной конечной точке в База данных SQL Azure должны быть включены).
Серьезность: средний
Для серверов MariaDB необходимо включить частную конечную точку.
Описание. Подключения к частной конечной точке обеспечивают безопасную связь, обеспечивая частное подключение к База данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов MariaDB.
Серьезность: средний
Для серверов MySQL необходимо включить частную конечную точку.
Описание. Подключения частной конечной точки обеспечивают безопасный обмен данными путем включения частного подключения к База данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов MySQL.
Серьезность: средний
Для серверов PostgreSQL необходимо включить частную конечную точку.
Описание. Подключения к частной конечной точке обеспечивают безопасное взаимодействие путем включения частного подключения к База данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов PostgreSQL.
Серьезность: средний
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен
Описание. Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных SQL Azure только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. (Связанная политика: Доступ к общедоступной сети в База данных SQL Azure должен быть отключен).
Серьезность: средний
Для учетных записей Cognitive Services следует отключить доступ к общедоступной сети
Описание. Эта политика проверяет любую учетную запись Cognitive Services в вашей среде с включенным общедоступным доступом к сети. Доступ к общедоступной сети следует отключить, чтобы разрешить подключения только из частных конечных точек. (Связанная политика: Для учетных записей Cognitive Services необходимо отключить доступ к общедоступной сети.
Серьезность: средний
Для северов MariaDB должен быть отключен доступ через общедоступную сеть
Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MariaDB доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. (Связанная политика: Для серверов MariaDB необходимо отключить доступ к общедоступной сети.
Серьезность: средний
Для северов MySQL должен быть отключен доступ через общедоступную сеть
Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MySQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. (Связанная политика: Для серверов MySQL необходимо отключить доступ к общедоступной сети.
Серьезность: средний
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть
Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для PostgreSQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. (Связанная политика: Для серверов PostgreSQL необходимо отключить доступ к общедоступной сети.
Серьезность: средний
Redis Cache должен разрешать доступ только через SSL
Описание. Включение только подключений через SSL к кэшу Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. (Связанная политика: Необходимо включить только безопасные подключения к Кэш Azure для Redis).
Серьезность: высокий уровень
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости в базах данных SQL должны быть исправлены).
Серьезность: высокий уровень
Для управляемых экземпляров SQL должна быть настроена оценка уязвимостей
Описание. Оценка уязвимостей может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. (Связанная политика: Оценка уязвимостей должна быть включена в Управляемый экземпляр SQL).
Серьезность: высокий уровень
Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены
Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости на серверах SQL на компьютере должны быть исправлены).
Серьезность: высокий уровень
Необходимо подготовить администратора Azure Active Directory для серверов SQL Server.
Описание. Подготовка администратора Azure AD для сервера SQL Server для включения проверки подлинности Azure AD. Проверка подлинности Azure AD упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт. (Связанная политика: Администратор Azure Active Directory должен быть подготовлен для серверов SQL.
Серьезность: высокий уровень
Для серверов SQL Server должна быть настроена оценка уязвимостей
Описание. Оценка уязвимостей может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. (Связанная политика: Оценка уязвимостей должна быть включена на серверах SQL.
Серьезность: высокий уровень
Учетная запись хранения должна использовать подключение приватного канала
Описание. Приватные каналы обеспечивают безопасное взаимодействие, предоставляя частное подключение к учетной записи хранения (связанная политика: учетная запись хранения должна использовать частное подключение).
Серьезность: средний
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager
Описание. Чтобы воспользоваться новыми возможностями в Azure Resource Manager, можно перенести существующие развертывания из классической модели развертывания. Resource Manager обеспечивает такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, развертывание и управление на основе ARM, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, аутентификации на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью. Дополнительные сведения (связанная политика: учетные записи хранения должны быть перенесены на новые ресурсы Azure Resource Manager).
Серьезность: низкая
Учетные записи хранения должны предотвращать доступ к общему ключу
Описание. Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и удобство использования общего ключа и рекомендуется корпорацией Майкрософт. (Связанная политика: политика)
Серьезность: средний
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети
Описание. Защита учетных записей хранения от потенциальных угроз с помощью правил виртуальной сети в качестве предпочтительного метода вместо фильтрации на основе IP-адресов. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. (Связанная политика: Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети.
Серьезность: средний
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности
Описание. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, когда в одной из подписок существует потенциальное нарушение безопасности, задайте контакт безопасности для получения Уведомления по электронной почте от Defender для облака. (Связанная политика: Подписки должны иметь контактный адрес электронной почты для проблем с безопасностью)
Серьезность: низкая
В базах данных SQL должно применяться прозрачное шифрование данных
Описание. Включение прозрачного шифрования данных для защиты неактивных данных и соответствия требованиям (связанная политика: прозрачное шифрование данных в базах данных SQL должна быть включена).
Серьезность: низкая
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы
Описание. Аудит шаблонов построителя образов виртуальных машин, которые не настроены в виртуальной сети. Если виртуальная сеть не настроена, создается и используется общедоступный IP-адрес, который может напрямую предоставлять ресурсы в Интернете и увеличивать потенциальную область атаки. (Связанная политика: Шаблоны построителя образов виртуальных машин должны использовать приватный канал).
Серьезность: средний
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF)
Описание. Развертывание azure Брандмауэр веб-приложений (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. (Связанная политика: для Шлюз приложений должна быть включена Брандмауэр веб-приложений (WAF).
Серьезность: низкая
Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF)
Описание. Развертывание azure Брандмауэр веб-приложений (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. (связанная политика: Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF)?)
Серьезность: низкая
Рекомендации по данным AWS
Для кластеров Amazon Aurora должно быть включено обратное отслеживание
Описание. Этот элемент управления проверяет, включены ли кластеры Amazon Aurora. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также позволяют повысить устойчивость ваших систем. Обратное отслеживание Aurora сокращает время восстановления базы данных до точки во времени. Для этого не требуется восстановление базы данных. Дополнительные сведения об обратном отслеживании в Aurora см. в разделе Backtracking an Aurora DB cluster (Обратное отслеживание в кластере Aurora DB) в руководстве пользователя Amazon Aurora.
Серьезность: средний
Моментальные снимки Amazon EBS не должны быть общедоступными для восстановления
Описание. Моментальные снимки Amazon EBS не должны быть общедоступными для всех, если не разрешено явно, чтобы избежать случайного воздействия данных. Кроме того, разрешение на изменение конфигураций Amazon EBS должно быть предоставлено только уполномоченным учетным записям AWS.
Серьезность: высокий уровень
У определений задач ECS должны быть защищенные сетевые режимы и определения пользователей
Описание. Этот элемент управления проверяет, имеет ли активное определение задачи Amazon ECS, которое имеет режим сети узла, также имеет привилегированные или пользовательские определения контейнеров. Элемент управления завершается ошибкой для определений задач, которые используют режим сети узла и определения контейнеров, где параметр privileged=false (или пустое значение) и user=root (или пустое значение). Если определение задачи имеет повышенные привилегии, это связано с тем, что клиент, в частности, принял участие в этой конфигурации. Этот элемент управления проверяет непредвиденное повышение привилегий, если определение задачи включило сеть узлов, но клиент не принял участие в повышенных привилегиях.
Серьезность: высокий уровень
Домены Amazon Elasticsearch Service должны шифровать данные, передаваемые между узлами
Описание. Этот элемент управления проверяет, включена ли шифрование доменов Amazon ES для узлов. Протокол HTTPS (TLS) можно использовать для предотвращения несанкционированного перехвата или управления сетевым трафиком с помощью атак "злоумышленник в середине" или аналогичных атак. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Включение шифрования между узлами для доменов Amazon ES гарантирует, что обмен данными внутри кластера будет шифроваться. С этой конфигурацией может быть связано снижение производительности. Прежде чем включать этот параметр, необходимо изучить и протестировать допустимые потери производительности.
Серьезность: средний
Для доменов Amazon Elasticsearch Service должно быть включено шифрование неактивных данных
Описание. Важно включить шифрование остальных доменов Amazon ES для защиты конфиденциальных данных
Серьезность: средний
База данных Amazon RDS должна быть зашифрована с помощью управляемого клиентом ключа
Описание. Эта проверка определяет базы данных RDS, зашифрованные ключами KMS по умолчанию, а не управляемыми клиентом ключами. В качестве ведущей практики используйте управляемые клиентом ключи, чтобы шифровать данные в базах данных RDS и поддерживать контроль над ключами и данными на конфиденциальных рабочих нагрузках.
Серьезность: средний
Экземпляр Amazon RDS должен быть настроен с параметрами автоматического резервного копирования
Описание. Эта проверка определяет экземпляры RDS, которые не задаются с параметром автоматического резервного копирования. При настройке автоматического резервного копирования RDS создает моментальный снимок тома хранилища экземпляра базы данных, резервное копирование всего экземпляра базы данных и не только отдельных баз данных, которые обеспечивают восстановление на определенный момент времени. Автоматическое резервное копирование происходит во время указанного периода резервного копирования и сохраняет резервные копии в течение ограниченного периода времени, как определено в период хранения. Рекомендуется настроить автоматическое резервное копирование для критически важных серверов RDS, которые помогают в процессе восстановления данных.
Серьезность: средний
Для кластеров Amazon Redshift должно быть включено ведение журналов аудита
Описание. Этот элемент управления проверяет, включен ли кластер Amazon Redshift ведение журнала аудита. Ведение журнала аудита Amazon RedShift обеспечивает дополнительные сведения о подключениях и действиях пользователей в кластере. Эти данные можно хранить и защищать в Amazon S3. Они могут быть полезны в аудите безопасности и расследованиях инцидентов. Дополнительные сведения см. в разделе Database audit logging (Ведение журнала аудита базы данных) в руководстве по управлению кластером Amazon RedShift.
Серьезность: средний
Для кластеров Amazon Redshift должны быть включены автоматические моментальные снимки
Описание. Этот элемент управления проверяет, включены ли кластеры Amazon Redshift автоматические моментальные снимки. Он также проверяет, превышает ли срок хранения моментальных снимков семи дней. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они позволяют повысить устойчивость ваших систем. Amazon RedShift по умолчанию периодически создает моментальные снимки. Этот элемент управления проверяет, включено ли автоматическое создание моментальных снимков и хранятся ли они дольше семи дней. Дополнительные сведения об автоматических моментальных снимках Amazon Redshift см. в руководстве по управлению кластерами Amazon Redshift.
Серьезность: средний
Кластеры Amazon Redshift должны запрещать открытый доступ
Описание. Рекомендуется использовать кластеры Amazon Redshift, чтобы избежать общедоступной доступности, оценивая поле "publiclyAccessible" в элементе конфигурации кластера.
Серьезность: высокий уровень
В Amazon Redshift должно быть включено автоматическое обновление до основных номеров версии
Описание. Этот элемент управления проверяет, включены ли автоматические обновления основных версий для кластера Amazon Redshift. Включение автоматического обновления до основных номеров версий гарантирует, что в течение периода обслуживания на кластеры Amazon RedShift будут устанавливаться последние обновления для основных номеров версий. Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.
Серьезность: средний
Очереди Amazon SQS должны шифроваться в неактивном состоянии
Описание. Этот элемент управления проверяет, шифруются ли очереди Amazon SQS неактивных данных. Шифрование на стороне сервера (SSE) позволяет передавать конфиденциальные данные в зашифрованные очереди. Для защиты содержимого сообщений в очередях служба SSE использует ключи, управляемые в AWS KMS. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Queue Service.
Серьезность: средний
Подписка на уведомления о событиях RDS должна быть настроена для критических событий кластера
Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS, включающая уведомления для следующего типа источника: пары "Категория "ключ-значение" категории событий. DBCluster: [обслуживание и сбой]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.
Серьезность: низкая
Подписка на уведомления о событиях RDS должна быть настроена для критических событий экземпляра базы данных
Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBInstance
: [Обслуживание, изменение конфигурации и сбой].
Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения.
Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.
Серьезность: низкая
Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы параметров базы данных
Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBParameterGroup: ["configuration","change"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.
Серьезность: низкая
Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы безопасности базы данных
Описание. Этот элемент управления проверяет, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника: пары "категория "ключ-значение". DBSecurityGroup: [Конфигурация, изменение, сбой]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.
Серьезность: низкая
Ведение журналов операций API REST и WebSocket в API Gateway должно быть включено
Описание. Этот элемент управления проверяет, включены ли все этапы rest или WebSocket API шлюза API Amazon. Элемент управления завершается ошибкой, если ведение журнала не включено для всех методов этапа или если уровень ведения журнала не является ошибкой или info. Для этапов REST API шлюза API и WebSocket API должны быть включены соответствующие журналы. Ведение журнала выполнения REST API шлюза API или WebSocket API обеспечивает подробные записи о запросах, выполненных на этапах REST API шлюза API или WebSocket API. Эти этапы включают в себя ответы серверной части интеграции API, ответа на лямбда-запросы авторизации и идентификаторы requestId запросов для конечных точек интеграции AWS.
Серьезность: средний
Данные кэша REST API шлюза API должны быть зашифрованы как неактивные данные
Описание. Этот элемент управления проверяет, шифруются ли все методы на этапах REST API шлюза API, в которых включен кэш. Элемент управления завершается ошибкой, если какой-либо метод на этапе REST API шлюза API настроен для кэширования, и кэш не шифруется. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Добавляется еще один набор элементов управления доступом для ограничения доступа к данным неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Чтобы обеспечить дополнительный уровень безопасности, следует шифровать неактивные данные в кэшах REST API шлюза API.
Серьезность: средний
Этапы REST API шлюза API должны быть настроены для использования SSL-сертификатов для внутренней проверки подлинности
Описание. Этот элемент управления проверяет, настроены ли этапы REST API ШЛЮЗа REST API Amazon. Серверные системы используют эти сертификаты для проверки подлинности входящих запросов из шлюза API. На этапах REST API шлюза API должны быть настроены SSL-сертификаты, позволяющие серверным системам проверять подлинность запросов, исходящих от шлюза API.
Серьезность: средний
Для этапов REST API службы API Gateway должно быть включено отслеживание X-Ray AWS
Описание. Этот элемент управления проверяет, включена ли активная трассировка AWS X-Ray для этапов REST API шлюза API Amazon. Активная трассировка X-Ray позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Изменение производительности может привести к недостаточному уровню доступности API. Активная трассировка X-Ray в реальном времени предоставляет метрики запросов пользователей, которые используются в операциях REST API шлюза API и подключенных службах.
Серьезность: низкая
Шлюз API должен быть связан с веб-списком управления доступом AWS WAF
Описание. Этот элемент управления проверяет, использует ли этап шлюза API список управления веб-доступом AWS WAF (ACL). Этот элемент управления завершается ошибкой, если веб-ACL AWS WAF не подключен к этапу шлюза REST API. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить список управления доступом (ACL), который представляет собой набор правил, разрешающих, блокирующих или подсчитывающих веб-запросы на основе настраиваемых правил веб-безопасности и определяемых условий. Убедитесь, что ваш этап шлюза API связан с списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.
Серьезность: средний
Необходимо включить ведение журналов для балансировщика нагрузки приложения и классического балансировщика
Описание. Этот элемент управления проверяет, включена ли функция Балансировки нагрузки приложения и классического подсистемы балансировки нагрузки. Если элемент управления имеет значение false, элемент управления завершается ошибкой access_logs.s3.enabled
.
Служба эластичной балансировки нагрузки предоставляет журналы доступа, в которые записываются подробные сведения о запросах, отправляемых в подсистему балансировки нагрузки. Каждый журнал содержит такие сведения, как время получения запроса, IP-адрес клиента, задержки, пути запросов и ответы сервера. Журналы доступа можно использовать для анализа шаблонов трафика и устранения неполадок.
Дополнительные сведения см. в разделе Access logs for your Classic Load Balancer (Журналы доступа для Журналы доступа к классической Load Balancer) в руководстве пользователя для подсистем Classic Load Balancer.
Серьезность: средний
Подключенные тома EBS должны шифроваться в неактивном состоянии
Описание. Этот элемент управления проверяет, шифруются ли тома EBS, которые находятся в подключенном состоянии. Чтобы пройти эту проверку, необходимо, чтобы тома EBS использовались и шифровались. Если том EBS не подключен, он не подлежит этой проверке. Чтобы обеспечить дополнительный уровень безопасности конфиденциальных данных в томах EBS, следует включить шифрование неактивных данных EBS. Шифрование Amazon EBS предлагает простое решение для шифрования ресурсов EBS, которое не требует создания, обслуживания и защиты собственной инфраструктуры управления ключами. При создании зашифрованных томов и моментальных снимков в нем используются главные ключи клиента (CMK) службы AWS KMS. Дополнительные сведения о шифровании Amazon EBS см. в разделе Amazon EBS encryption (Шифрование Amazon EBS) в руководстве пользователя Amazon EC2 для экземпляров Linux.
Серьезность: средний
Экземпляры репликации AWS Database Migration Service не должны быть общедоступными
Описание. Защита реплицированных экземпляров от угроз. Экземпляр частной репликации должен иметь частный IP-адрес, к которому невозможно получить доступ за пределами сети репликации. Экземпляр репликации должен иметь частный IP-адрес, если исходная и целевая базы данных находятся в одной сети, которая подключена к облаку VPC экземпляра репликации с помощью VPN, AWS Direct Connect или пиринга VPC. Также следует убедиться, что доступ к конфигурации экземпляра AWS DMS предоставлен только уполномоченным пользователям. Для этого ограничьте для пользователей разрешения IAM на изменение параметров и ресурсов AWS DMS.
Серьезность: высокий уровень
Прослушиватели Classic Load Balancer должны быть настроены для завершения подключения HTTPS или TLS
Описание. Этот элемент управления проверяет, настроены ли прослушиватели Классической подсистемы балансировки нагрузки с помощью протокола HTTPS или TLS для подключений внешнего интерфейса (клиента к подсистеме балансировки нагрузки). Элемент управления применяется, если у Classic Load Balancer имеются прослушиватели. Если в классической подсистеме балансировки нагрузки не настроен прослушиватель, элемент управления не сообщает о результатах. Элемент управления возвращает положительный ответ, если для подключений прослушивателей Classic Load Balancer к внешним интерфейсам настроено использование протокола TLS или HTTPS. Элемент управления завершается ошибкой, если прослушиватель не настроен с помощью TLS или HTTPS для интерфейсных подключений. Прежде чем приступить к использованию подсистемы балансировки нагрузки, необходимо добавить один или несколько прослушивателей. Прослушиватель — это процесс, использующий настроенный протокол и порт для проверки на наличие запросов на подключение. Прослушиватели могут поддерживать протоколы HTTP и HTTPS/TLS. Следует всегда использовать прослушиватель HTTPS или TLS, чтобы подсистема балансировки нагрузки применяла шифрование и расшифровку при передаче данных.
Серьезность: средний
Для классических балансировщиков нагрузки должен быть включен сток подключений
Описание. Этот элемент управления проверяет, включены ли классические подсистемы балансировки нагрузки. Включение очистки подключений в классических подсистемах балансировки нагрузки гарантирует, что подсистема балансировки нагрузки перестает отправлять запросы в экземпляры, которые отменяют регистрацию или неработоспособны. Имеющиеся подключения остаются открытыми. Это полезно для экземпляров в группах автоматического масштабирования, чтобы убедиться, что подключения не были резко удалены.
Серьезность: средний
Для распределений CloudFront должен быть включен брандмауэр AWS WAF
Описание. Этот элемент управления проверяет, связаны ли дистрибутивы CloudFront с веб-списками ACL AWS WAF или AWS WAFv2. Элемент управления завершается ошибкой, если распределение не связано с веб-ACL. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить набор правил, которые называются списком управления веб-доступом. Эти правила разрешают, блокируют или подсчитывают веб-запросы на основе настраиваемых правил веб-безопасности и условий, определяемых вами. Убедитесь, что ваш дистрибутив CloudFront связан со списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.
Серьезность: средний
Для распределений CloudFront должно быть включено ведение журналов
Описание. Этот элемент управления проверяет, включена ли ведение журнала доступа к серверу в дистрибутивах CloudFront. Элемент управления завершается ошибкой, если ведение журнала доступа не включено для распространения. Журналы доступа CloudFront предоставляют подробные сведения о каждом запросе пользователя, который получает CloudFront. Каждый журнал содержит такие сведения, как дата и время получения запроса, IP-адрес пользователя, который сделал запрос, источник запроса и номер порта запроса от пользователя. Эти журналы полезны для таких задач, как аудит безопасности и доступа, а также проведение экспертизы. Дополнительные сведения об анализе журналов доступа см. в разделе "Запрос журналов Amazon CloudFront" в руководстве пользователя Amazon Athena.
Серьезность: средний
Распределения CloudFront должны требовать шифрование при передаче
Описание. Этот элемент управления проверяет, требуется ли дистрибутив Amazon CloudFront использовать HTTPS напрямую или использовать перенаправление. Элемент управления возвращает ошибку, если для параметра ViewerProtocolPolicy задано значение allow-all в свойстве defaultCacheBehavior или cacheBehaviors. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.
Серьезность: средний
Журналы CloudTrail должны быть зашифрованы в неактивном режиме с помощью ключей CMK KMS
Описание. Мы рекомендуем настроить CloudTrail для использования SSE-KMS. Настройка CloudTrail для использования SSE-KMS обеспечивает более конфиденциальные элементы управления данными журнала, так как у данного пользователя должно быть разрешение на чтение S3 в соответствующем контейнере журналов и должно быть предоставлено разрешение расшифровки политикой CMK.
Серьезность: средний
Подключения к кластерам Amazon Redshift должны шифроваться при передаче
Описание. Этот элемент управления проверяет, требуются ли подключения к кластерам Amazon Redshift для использования шифрования при передаче. Проверка завершается ошибкой, если параметр кластера Amazon Redshift require_SSL не задан в значение 1. Протокол TLS можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу TLS. Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.
Серьезность: средний
Подключения к доменам Elasticsearch должны быть зашифрованы с помощью TLS 1.2
Описание. Этот элемент управления проверяет, требуются ли подключения к доменам Elasticsearch для использования TLS 1.2. Проверка завершается ошибкой, если домен Elasticsearch TLSSecurityPolicy не является Policy-Min-TLS-1-2-2019-07. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS. Протокол TLS 1.2 содержит несколько улучшений безопасности по сравнению с предыдущими версиями TLS.
Серьезность: средний
Для таблиц DynamoDB должно быть включено восстановление на определенный момент времени
Описание. Этот элемент управления проверяет, включена ли функция восстановления на определенный момент времени (PITR) для таблицы Amazon DynamoDB. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также позволяют повысить устойчивость ваших систем. Восстановление до точки во времени DynamoDB позволяет автоматизировать резервное копирование таблиц DynamoDB. Это сокращает время восстановления после непреднамеренных операций удаления или записи. Таблицы DynamoDB с включенным PITR можно восстановить до любой точки во времени в пределах последних 35 дней.
Серьезность: средний
Должно быть включено шифрование EBS по умолчанию
Описание. Этот элемент управления проверяет, включена ли шифрование на уровне учетной записи по умолчанию для Amazon Elastic Block Store (Amazon EBS). Элемент управления завершается ошибкой, если шифрование уровня учетной записи не включено. Если для вашей учетной записи включено шифрование, то копии томов и моментальных снимков Amazon EBS шифруются. Это добавляет еще один уровень защиты данных. Дополнительные сведения см. в разделе Encryption by default (Шифрование по умолчанию) в руководстве пользователя Amazon EC2 для экземпляров Linux.
Следующие типы экземпляров не поддерживают шифрование: R1, C1 и M1.
Серьезность: средний
В средах Elastic Beanstalk должны быть включены расширенные отчеты о работоспособности
Описание. Этот элемент управления проверяет, включена ли расширенная отчетность о работоспособности для сред AWS Elastic Beanstalk. Расширенные отчеты о работоспособности Elastic Beanstalk обеспечивают более быстрый отклик на изменения работоспособности базовой инфраструктуры. Такие изменения могут привести к недостаточному уровню доступности приложения. Расширенные отчеты о работоспособности Elastic Beanstalk предоставляют дескриптор состояния для оценки серьезности выявленных проблем и поиска возможных причин, которые можно расследовать. Агент работоспособности Elastic Beanstalk, входящий в состав поддерживаемых образов компьютеров Amazon (AMI), оценивает журналы и метрики экземпляров среды EC2.
Серьезность: низкая
Должны быть включены управляемые обновления платформы для Elastic Beanstalk
Описание. Этот элемент управления проверяет, включены ли обновления управляемой платформы для среды Elastic Beanstalk. Включение обновлений управляемой платформы гарантирует установку самых последних исправлений, обновлений и компонентов платформы для среды. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.
Серьезность: высокий уровень
Эластичная подсистема балансировки нагрузки не должна иметь срок действия сертификата ACM или истекает в 90 дней.
Описание. Эта проверка определяет эластичные подсистемы балансировки нагрузки (ELB), использующие сертификаты ACM, истекшие или истекшие в 90 дней. Aws Certificate Manager (ACM) — это предпочтительное средство для подготовки, управления и развертывания сертификатов сервера. С ACM. Вы можете запросить сертификат или развернуть существующий ACM или внешний сертификат в ресурсах AWS. Рекомендуется повторно использовать сертификаты с истекающим сроком действия и истекшим сроком действия, сохраняя связи ELB исходного сертификата.
Серьезность: высокий уровень
Необходимо включить ведение журнала ошибок доменов Elasticsearch с записью в журналы CloudWatch
Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch для отправки журналов ошибок в журналы CloudWatch. Необходимо включить журналы ошибок для доменов Elasticsearch и отправлять эти журналы в журналы CloudWatch для хранения и реагирования на них. Журналы ошибок домена могут помочь в аудите безопасности и доступа. Кроме того, они упрощают диагностику проблем с доступностью.
Серьезность: средний
Для доменов Elasticsearch необходимо настроить не менее трех выделенных главных узлов
Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch по крайней мере с тремя выделенными основными узлами. Этот элемент управления завершается ошибкой, если домен не использует выделенные главные узлы. Этот элемент управления возвращает положительный ответ, если домены Elasticsearch используют пять выделенных главных узлов. Однако использование более трех главных узлов может оказаться ненужным для снижения риска доступности и приведет к большей стоимости. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три выделенных главных узла. Ресурсы выделенного главного узла могут быть напряженными во время развертывания синим или зеленым узлом, так как есть больше узлов для управления. Развертывание домена Elasticsearch по крайней мере с тремя выделенными главными узлами обеспечивает достаточную емкость ресурсов главного узла и производительность кластерных операций в случае сбоя узла.
Серьезность: средний
У доменов Elasticsearch должно быть не менее трех узлов данных
Описание. Этот элемент управления проверяет, настроены ли домены Elasticsearch по крайней мере с тремя узлами данных и zoneAwarenessEnabled. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три узла данных. Развертывание домена Elasticsearch по крайней мере с тремя узлами данных обеспечивает выполнение кластерных операций в случае сбоя узла.
Серьезность: средний
Для доменов Elasticsearch должно быть включено ведение журналов аудита
Описание. Этот элемент управления проверяет, включены ли домены Elasticsearch ведение журнала аудита. Этот элемент управления завершается ошибкой, если домен Elasticsearch не включен в журнал аудита. Журналы аудита имеют широкие возможности настройки. Они позволяют отслеживать действия пользователей в кластерах Elasticsearch, включая успешные и неудачные попытки пройти проверку подлинности, запросы к OpenSearch, изменения индекса и входящие поисковые запросы.
Серьезность: средний
Должен быть настроен расширенный мониторинг для экземпляров и кластеров базы данных RDS
Описание. Этот элемент управления проверяет, включен ли расширенный мониторинг для экземпляров базы данных RDS. В Amazon RDS расширенный мониторинг позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Подобные изменения производительности могут привести к недостаточному уровню доступности данных. Служба расширенного мониторинга в реальном времени предоставляет метрики операционной системы, в которой запущен экземпляр базы данных RDS. На экземпляре устанавливается агент. Этот агент может получать более точные данные метрик, чем это возможно на уровне гипервизора. Метрики расширенного мониторинга полезны, когда нужно видеть, как разные процессы или потоки в экземпляре базы данных используют ЦП. Дополнительные сведения см. в разделе Enhanced Monitoring (Расширенный мониторинг) в руководстве пользователя Amazon RDS.
Серьезность: низкая
Убедитесь, что включена смена создаваемых клиентом ключей CMK
Описание: AWS служба управления ключами (KMS) позволяет клиентам повернуть резервный ключ, который является ключевым материалом, хранящимся в KMS, привязанным к идентификатору ключа созданного клиентом главного ключа (CMK). Это резервный ключ, используемый для выполнения криптографических операций, таких как шифрование и расшифровка. В настоящее время функция автоматической смены ключей сохраняет все предыдущие резервные ключи, чтобы расшифровка зашифрованных данных могла выполняться прозрачно. Рекомендуется включить поворот ключа CMK. Смена ключей шифрования помогает снизить потенциальное влияние скомпрометированного ключа, так как данные, зашифрованные с помощью нового ключа, не могут быть доступны с помощью предыдущего ключа, который, возможно, был предоставлен.
Серьезность: средний
Убедитесь, что в контейнере S3 CloudTrail включено ведение журнала доступа к контейнеру S3
Описание. Ведение журнала доступа к контейнерам S3 создает журнал, содержащий записи доступа, убедитесь, что в контейнере CloudTrail S3 включен ведение журнала доступа к контейнерам S3 CloudTrail S3 для каждого запроса, выполненного в контейнер S3. Запись журнала доступа содержит подробные сведения о запросе, включая тип запроса, ресурсы, указанные в запросе, а также время и дату обработки запроса. Рекомендуется включить ведение журнала доступа к контейнерам в контейнере CloudTrail S3. Включив ведение журнала контейнеров S3 в целевых контейнерах S3, можно записать все события, которые могут повлиять на объекты в целевых контейнерах. Настройка журналов для размещения в отдельном контейнере позволяет получить доступ к сведениям журнала, которые могут быть полезны в рабочих процессах реагирования на безопасность и инциденты.
Серьезность: низкая
Убедитесь, что контейнер S3, используемый для хранения журналов CloudTrail, не является общедоступным
Описание. CloudTrail регистрирует запись каждого вызова API, сделанного в вашей учетной записи AWS. Эти файлы журналов хранятся в контейнере S3. Рекомендуется применить политику сегментов или список управления доступом (ACL) к контейнеру S3, который CloudTrail регистрирует, чтобы предотвратить общедоступный доступ к журналам CloudTrail. Разрешение общедоступного доступа к содержимому журнала CloudTrail может помочь злоумышленнику выявить слабые места в использовании или конфигурации затронутой учетной записи.
Серьезность: высокий уровень
IAM не должен иметь сертификаты SSL/TLS с истекшим сроком действия
Описание. Эта проверка определяет истекшие сертификаты SSL/TLS. Чтобы включить подключения HTTPS к веб-сайту или приложению в AWS, требуется сертификат сервера SSL/TLS. Для хранения и развертывания сертификатов сервера можно использовать ACM или IAM. Удаление сертификатов SSL/TLS с истекшим сроком действия устраняет риск случайного развертывания недопустимого сертификата в ресурсе, например AWS Elastic Load Balancer (ELB), что может повредить доверие к приложению или веб-сайту за ELB. Эта проверка создает оповещения, если в AWS IAM хранятся сертификаты SSL/TLS с истекшим сроком действия. Рекомендуется удалить просроченные сертификаты.
Серьезность: высокий уровень
Импортированные сертификаты ACM следует продлять через указанный период времени
Описание. Этот элемент управления проверяет, помечены ли сертификаты ACM в вашей учетной записи в течение 30 дней. Он проверяет импортированные сертификаты и сертификаты, предоставляемые диспетчером сертификатов AWS. ACM может автоматически продлевать сертификаты, использующие проверку DNS. Для сертификатов, использующих проверку по электронной почте, необходимо ответить на электронное письмо проверки домена. ACM также не обновляет автоматически импортируемые сертификаты. Необходимо обновлять импортированные сертификаты вручную. Дополнительные сведения об управляемом продлении сертификатов ACM см. в разделе Managed renewal for ACM certificates (Управляемое продление сертификатов ACM) в руководстве пользователя диспетчера сертификатов AWS.
Серьезность: средний
Следует изучить избыточные удостоверения в учетных записях, чтобы уменьшить индекс ползука разрешений (PCI)
Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в учетных записях. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.
Серьезность: средний
Должно быть включено автоматическое обновление дополнительных номеров версий RDS
Описание. Этот элемент управления проверяет, включены ли автоматические обновления дополнительных версий для экземпляра базы данных RDS. Включение автоматического обновления до дополнительных номеров версий гарантирует установку последних обновлений дополнительных номеров версий в системе управления реляционной базой данных (реляционной СУБД). Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.
Серьезность: высокий уровень
Моментальные снимки кластера RDS и моментальные снимки базы данных должны шифроваться в неактивном состоянии
Описание. Этот элемент управления проверяет, шифруются ли моментальные снимки базы данных RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для моментальных снимков экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Шифрование неактивных данных снижает риск того, что пользователь, не прошедший проверку подлинности, получит доступ к данным, хранящимся на диске. Данные в моментальных снимках RDS должны шифроваться в неактивном режиме для обеспечения дополнительного уровня безопасности.
Серьезность: средний
Для кластеров RDS должна быть включена защита от удаления
Описание. Этот элемент управления проверяет, включена ли защита от удаления кластеров RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Включение защиты удаления кластера — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Если защита от удаления включена, кластер удаленных рабочих служб не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.
Серьезность: низкая
Кластеры базы данных RDS должны быть настроены для нескольких зон доступности
Описание. Кластеры базы данных RDS должны быть настроены для нескольких сохраненных данных. Развертывание в нескольких зонах доступности позволяет их автоматизировать, чтобы обеспечить возможность отработки отказа в случае проблем с доступностью зоны доступности и во время регулярных мероприятий по обслуживанию RDS.
Серьезность: средний
Кластеры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки
Описание. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и безопасности. Необходимо иметь представление о всех кластерах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские кластеры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских кластеров базы данных.
Серьезность: низкая
Экземпляры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки
Описание. Этот элемент управления проверяет, настроены ли экземпляры базы данных RDS для копирования всех тегов в моментальные снимки при создании моментальных снимков. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и обеспечения безопасности. Необходимо иметь представление о всех экземплярах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские экземпляры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских экземпляров базы данных.
Серьезность: низкая
Экземпляры базы данных RDS должны быть настроены с несколькими зонами доступности
Описание. Этот элемент управления проверяет, включена ли высокая доступность для экземпляров базы данных RDS. Экземпляры базы данных RDS должны быть настроены для использования нескольких зон доступности. Это гарантирует доступность хранящихся в них данных. Развертывания с несколькими az позволяют автоматически выполнять отработку отказа, если возникает проблема с доступностью зоны доступности и во время регулярного обслуживания RDS.
Серьезность: средний
Для экземпляров базы данных RDS должна быть включена защита от удаления
Описание. Этот элемент управления проверяет, включена ли защита от удаления экземпляров базы данных RDS, использующих один из перечисленных ядр субД. Включение защиты удаления экземпляров — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Хотя защита от удаления включена, экземпляр базы данных RDS не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.
Серьезность: низкая
Для экземпляров базы данных RDS должно быть включено шифрование неактивных данных
Описание. Этот элемент управления проверяет, включена ли шифрование хранилища для экземпляров базы данных Amazon RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Для обеспечения дополнительного уровня безопасности конфиденциальных данных в экземплярах базы данных RDS необходимо настроить шифрование экземпляров базы данных RDS. Чтобы шифровать экземпляры базы данных RDS и их моментальные снимки, включите параметр шифрования для экземпляров базы данных RDS. Данные, которые шифруются в неактивном режиме, включают в себя базовое хранилище для экземпляров баз данных, их автоматически созданные резервные копии, реплики чтения и моментальные снимки. Зашифрованные экземпляры базы данных RDS используют алгоритм шифрования на основе открытого стандарта AES-256. Он используется для шифрования данных на сервере, на котором размещены экземпляры базы данных RDS. После шифрования данных Amazon RDS выполняет проверку подлинности доступа и прозрачно расшифровывает данные, минимально влияя на производительность. Вам не нужно изменять клиентские приложения базы данных для использования шифрования. В настоящее время шифрование Amazon RDS доступно для всех ядер СУБД и типов хранилища. Шифрование Amazon RDS доступно для большинства классов экземпляров базы данных. Сведения о классах экземпляров базы данных, которые не поддерживают шифрование Amazon RDS, см. в руководстве пользователя Amazon RDS для шифрования ресурсов Amazon RDS.
Серьезность: средний
Экземпляры базы данных RDS должны запрещать открытый доступ
Описание. Мы рекомендуем также убедиться, что доступ к конфигурации экземпляра RDS ограничен только авторизованными пользователями, ограничивая разрешения IAM пользователей на изменение параметров и ресурсов экземпляров RDS.
Серьезность: высокий уровень
Моментальные снимки RDS должны запрещать открытый доступ
Описание. Рекомендуется разрешить только авторизованным субъектам доступ к моментальному снимку и изменению конфигурации Amazon RDS.
Серьезность: высокий уровень
Удаление неиспользуемых секретов Диспетчера секретов
Описание. Этот элемент управления проверяет, был ли доступ к секретам в течение указанного количества дней. Стандартным значением является 90 дней. Если секрет не был доступ к определенному количеству дней, этот элемент управления завершается ошибкой. Удаление неиспользуемых секретов так же важно, как и смена секретов. Неиспользуемые секреты могут неправомерно использоваться их прежними пользователями, у которых больше не должен быть доступ к этим секретам. Кроме того, по мере того, как все больше пользователей получает доступ к секрету, кто-то может совершить ошибку и допустить его утечку в распоряжение какой-либо неавторизованной сущности, что повышает риск неправомерного использования. Удаление неиспользуемых секретов позволяет отменить доступ к секретам пользователей, которым он больше не требуется. Это также помогает снизить затраты на использование Secrets Manager. Поэтому важно регулярно удалять неиспользуемые секреты.
Серьезность: средний
Для контейнеров S3 должна быть включена репликация между регионами
Описание. Включение репликации между регионами S3 гарантирует доступность нескольких версий данных в разных регионах. Это позволяет защитить контейнер S3 от атак DDoS и повреждения данных.
Серьезность: низкая
Для контейнеров S3 должно быть включено шифрование на стороне сервера
Описание. Включение шифрования на стороне сервера для защиты данных в контейнерах S3. Шифрование данных может препятствовать доступу к конфиденциальным данным в случае нарушения системы безопасности данных.
Серьезность: средний
Секреты Secrets Manager, настроенные с автоматической сменой, должны быть успешно заменены
Описание. Этот элемент управления проверяет, успешно ли повернут секрет диспетчера секретов AWS на основе расписания поворота. Элемент управления возвращает ошибку, если RotationOccurringAsScheduled имеет значение false. Элемент управления не оценивает секреты, которые не настроены на смену. Secrets Manager помогает повысить уровень безопасности организации. Секреты включают в себя учетные данные базы данных, пароли и сторонние ключи API. Secrets Manager можно использовать для централизованного хранения секретов, автоматического шифрования секретов, управления доступом к секретам и безопасной смены секретов. Secrets Manager может выполнять смену секретов. Вы можете использовать смену, чтобы заменить долгосрочные секреты краткосрочными. Смена секретов ограничивает время, в течение которого неуполномоченный пользователь сможет использовать скомпрометированный секрет. По этой причине необходимо часто выполнять смену секретов. Помимо настройки секретов для автоматической смены следует убедиться, что смена секретов выполняется успешно и по расписанию смены. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.
Серьезность: средний
Секреты Диспетчера секретов следует циклически изменять в течение указанного количества дней
Описание. Этот элемент управления проверяет, поворачиваются ли секреты по крайней мере один раз в течение 90 дней. Смена секретов помогает снизить риск несанкционированного использования секретов в учетной записи AWS. К примерам таких данных относятся учетные данные базы данных, пароли, сторонние ключи API и даже произвольный текст. Если вы не изменяете свои секреты в течение длительного периода времени, секреты, скорее всего, будут скомпрометированы. По мере того, как все больше пользователей получает доступ к секрету, возрастает вероятность того, что кто-то совершит ошибку и допустит утечку секрета в распоряжение неуполномоченной сущности. Возможно утечка секретов посредством журналов и данных в кэше. Могут использоваться общие секреты в целях отладки, которые не были изменены или отменены после отладки. По всем этим причинам секреты следует часто сменять. Вы можете настроить автоматическую смену секретов в AWS Secrets Manager. С помощью автоматической смены можно заменить долгосрочные секреты краткосрочными, что значительно снижает риск компрометации. Центр безопасности рекомендует включить смену секретов Secrets Manager. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.
Серьезность: средний
Разделы SNS должны быть зашифрованы в неактивном режиме с помощью AWS KMS
Описание. Этот элемент управления проверяет, шифруется ли раздел SNS неактивных данных с помощью AWS KMS. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Оно также добавляет еще один набор элементов управления доступом, чтобы ограничить доступ к данным для неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Разделы SNS должны быть зашифрованы неактивных для дополнительного уровня безопасности. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Notification Service.
Серьезность: средний
Ведение журнала потоков VPC должно быть включено для всех VPC
Описание. Журналы потоков VPC обеспечивают видимость сетевого трафика, который проходит через VPC и может использоваться для обнаружения аномального трафика или анализа во время событий безопасности.
Серьезность: средний
Рекомендации по данным GCP
Убедитесь, что флаг базы данных 3625 (флаг трассировки) для экземпляра SQL Server Cloud SQL Server установлено значение off.
Описание. Рекомендуется задать флаг базы данных 3625 (флаг трассировки) для экземпляра SQL Server Cloud SQL Server значение "Off". Флаги трассировки часто используются для диагностики проблем с производительностью или отладки хранимых процедур или сложных компьютерных систем, но они также могут быть рекомендованы служба поддержки Майкрософт для решения поведения, негативно влияющего на определенную рабочую нагрузку. Все описанные флаги трассировки и те из них, которые рекомендуются службой поддержки Майкрософт, полностью поддерживаются в рабочей среде при использовании в порядке, указанном выше. "3625(журнал трассировки)" ограничивает объем информации, возвращенной пользователям, которые не являются членами предопределенной роли сервера sysadmin, маскируя параметры некоторых сообщений об ошибках с помощью "******". Это поможет предотвратить раскрытие конфиденциальных сведений. Поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: средний
Убедитесь, что флаг базы данных "внешние скрипты включен" для экземпляра SQL Server Cloud SQL Server установлен как "off"
Описание. Рекомендуется задать флаг базы данных "внешние скрипты с включенным" для выключенного экземпляра SQL Server в облаке. "Внешние скрипты включены" позволяют выполнять скрипты с определенными расширениями удаленного языка. По умолчанию это свойство отключено. Программа установки может при необходимости задать этому свойству значение true, если установлены расширенные службы аналитики. Поскольку функция "Внешние скрипты включено" позволяет выполнять скрипты вне SQL, например файлы, расположенные в библиотеке R, что может негативно повлиять на безопасность системы, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: высокий уровень
Убедитесь, что флаг базы данных "удаленный доступ" для экземпляра SQL Server Cloud SQL Server установлен как "off"
Описание. Рекомендуется задать флаг базы данных "удаленный доступ" для экземпляра SQL Server Cloud SQL Server как "отключен". Параметр "Удаленный доступ" управляет выполнением хранимых процедур с локальных или удаленных серверов, на которых выполняются экземпляры SQL Server. Значение этого параметра по умолчанию равно 1. Это предоставляет разрешение на запуск локальных хранимых процедур с удаленных серверов или удаленных хранимых процедур с локального сервера. Чтобы предотвратить выполнение локальных хранимых процедур с удаленного сервера или удаленных хранимых процедур на локальном сервере, это необходимо отключить. Параметр удаленного доступа управляет выполнением локальных хранимых процедур на удаленных серверах или удаленных хранимых процедурах на локальном сервере. Функциональные возможности удаленного доступа можно использовать для запуска атаки типа "отказ в обслуживании" на удаленных серверах путем отключения обработки запросов к целевому объекту, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: высокий уровень
Убедитесь, что флаг базы данных "skip_show_database" для экземпляра Cloud SQL Mysql имеет значение "on"
Описание. Рекомендуется задать для экземпляра Cloud SQL Mysql флаг базы данных "skip_show_database". Флаг базы данных "skip_show_database" запрещает пользователям использовать инструкцию SHOW DATABASE, если у них нет привилегий SHOW DATABASE. Это может повысить безопасность, если у вас возникли проблемы с пользователями, которые могут видеть базы данных, принадлежащие другим пользователям. Его влияние зависит от привилегии SHOW DATABASE: если значение переменной имеет значение ON, инструкция SHOW DATABASE разрешена только пользователям, у которых есть привилегия SHOW DATABASE, а инструкция отображает все имена баз данных. Если значение равно OFF, show DATABASE разрешено всем пользователям, но отображает имена только тех баз данных, для которых пользователь имеет права SHOW DATABASE или другие привилегии. Эта рекомендация применима к экземплярам базы данных Mysql.
Серьезность: низкая
Убедитесь, что ключ шифрования, управляемый клиентом по умолчанию (CMEK), указан для всех наборов данных BigQuery
Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для повышения контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Установка ключа шифрования, управляемого клиентом по умолчанию (CMEK) для набора данных, гарантирует, что все таблицы, созданные в будущем, будут использовать указанный CMEK, если ни один другой не указан.
Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ.
Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.
Серьезность: средний
Убедитесь, что все таблицы BigQuery шифруются с помощью ключа шифрования, управляемого клиентом (CMEK)
Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Если используется CMEK, CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для большего контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для таблиц BigQuery. CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery сохраняет сопоставление таблиц и CMEK, а шифрование и расшифровку выполняется автоматически. Применение ключей, управляемых клиентом по умолчанию, в наборах данных BigQuery гарантирует, что все новые таблицы, созданные в будущем, будут зашифрованы с помощью CMEK, но существующие таблицы необходимо обновить для использования CMEK по отдельности.
Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.
Серьезность: средний
Убедитесь, что наборы данных BigQuery не являются анонимными или общедоступными
Описание. Рекомендуется, чтобы политика IAM в наборах данных BigQuery не разрешала анонимный и (или) общедоступный доступ. Предоставление разрешений allUsers или allAuthenticatedUsers позволяет любому пользователю получить доступ к набору данных. Такой доступ может быть не желательным, если конфиденциальные данные хранятся в наборе данных. Поэтому убедитесь, что анонимный и /или общедоступный доступ к набору данных не разрешен.
Серьезность: высокий уровень
Убедитесь, что экземпляры базы данных SQL облака настроены с автоматическими резервными копиями
Описание. Рекомендуется установить все экземпляры базы данных SQL, чтобы включить автоматическое резервное копирование. Резервные копии позволяют восстановить экземпляр Cloud SQL для восстановления потерянных данных или восстановления из проблемы с этим экземпляром. Автоматические резервные копии необходимо задать для любого экземпляра, содержащего данные, которые должны быть защищены от потери или повреждения. Эта рекомендация применима для экземпляров SQL Server, PostgreSql, MySql поколения 1 и MySql поколения 2.
Серьезность: высокий уровень
Убедитесь, что экземпляры облачной базы данных SQL не открыты для мира
Описание. Сервер базы данных должен принимать подключения только из доверенных сетей/IP-адресов и ограничивать доступ из мира. Чтобы свести к минимуму область атаки на экземпляре сервера базы данных, необходимо утвердить только доверенные и известные и необходимые IP-адреса. У авторизованной сети не должно быть IP-адресов и сетей, настроенных на 0.0.0.0/0, что позволит получить доступ к экземпляру в любом месте мира. Обратите внимание, что авторизованные сети применяются только к экземплярам с общедоступными IP-адресами.
Серьезность: высокий уровень
Убедитесь, что в экземплярах базы данных CLOUD SQL нет общедоступных IP-адресов
Описание. Рекомендуется настроить экземпляр Sql второго поколения для использования частных IP-адресов вместо общедоступных IP-адресов. Чтобы снизить область атак организации, облачные базы данных SQL не должны иметь общедоступных IP-адресов. Частные IP-адреса обеспечивают улучшенную сетевую безопасность и низкую задержку для приложения.
Серьезность: высокий уровень
Убедитесь, что контейнер облачного хранилища не является анонимным или общедоступным
Описание. Рекомендуется, чтобы политика IAM в контейнере облачного хранилища не разрешала анонимный или общедоступный доступ. Разрешение анонимного или общедоступного доступа предоставляет всем пользователям разрешения на доступ к содержимому контейнера. Такой доступ может не потребоваться, если вы храните конфиденциальные данные. Поэтому убедитесь, что анонимный или общедоступный доступ к контейнеру не разрешен.
Серьезность: высокий уровень
Убедитесь, что контейнеры облачного хранилища имеют единый доступ на уровне контейнера
Описание. Рекомендуется включить единый доступ на уровне контейнера в облачном хранилище.
Рекомендуется использовать единый доступ на уровне контейнера для объединения и упрощения предоставления доступа к ресурсам облачного хранилища.
Облачное хранилище предлагает две системы для предоставления пользователям разрешений на доступ к контейнерам и объектам: cloud Identity and Access Management (Cloud IAM) и контроль доступа Lists (ACL).
Эти системы выполняются параллельно. Чтобы пользователь получил доступ к ресурсу облачного хранилища, необходимо предоставить пользователю разрешение только одной из систем.
Облачный IAM используется в Google Cloud и позволяет предоставлять различные разрешения на уровне сегментов и проектов.
Списки управления доступом используются только облачным хранилищем и имеют ограниченные параметры разрешений, но позволяют предоставлять разрешения на основе каждого объекта.
Для поддержки единой системы разрешений облачное хранилище имеет единый доступ на уровне контейнера. Использование этой функции отключает списки управления доступом ко всем ресурсам облачного хранилища: доступ к ресурсам облачного хранилища, а затем предоставляется исключительно через Cloud IAM. Включение единого доступа на уровне контейнера гарантирует, что если контейнер хранилища не является общедоступным, ни один объект в контейнере недоступен.
Серьезность: средний
Убедитесь, что в вычислительных экземплярах включена поддержка конфиденциальных вычислений
Описание: Google Cloud шифрует данные неактивных и передаваемых данных, но данные клиента должны быть расшифровываются для обработки. Конфиденциальные вычисления — это прорывная технология, которая шифрует данные во время обработки. Среды конфиденциальных вычислений хранят данные, зашифрованные в памяти и в других местах за пределами центрального модуля обработки (ЦП). Конфиденциальные виртуальные машины используют функцию безопасной зашифрованной виртуализации (SEV) ЦП AMD EPYC. Данные клиента будут оставаться зашифрованными во время его использования, индексирования, запроса или обучения. Ключи шифрования создаются в оборудовании, на каждую виртуальную машину и не экспортируются. Благодаря встроенной оптимизации оборудования как производительности, так и безопасности, не существует значительных штрафов за производительность для рабочих нагрузок конфиденциальных вычислений. Конфиденциальные вычисления позволяют клиентам конфиденциальный код и другие данные, зашифрованные в памяти во время обработки. У Google нет доступа к ключам шифрования. Конфиденциальная виртуальная машина может помочь облегчить опасения по поводу риска, связанного с зависимостью от инфраструктуры Google или доступа пользователей google insiders к данным клиентов в ясном виде.
Серьезность: высокий уровень
Убедитесь, что политики хранения в контейнерах журналов настроены с помощью блокировки контейнера
Описание. Включение политик хранения в контейнерах журналов защищает журналы, хранящиеся в контейнерах облачного хранилища, от перезаписи или случайного удаления. Рекомендуется настроить политики хранения и настроить блокировку контейнеров для всех контейнеров хранилища, которые используются в качестве приемников журналов. Журналы можно экспортировать, создав один или несколько приемников, включающих фильтр журналов и назначение. Так как журнал Stackdriver получает новые записи журнала, они сравниваются с каждым приемником. Если запись журнала соответствует фильтру приемника, копия записи журнала записывается в место назначения. Приемники можно настроить для экспорта журналов в контейнерах хранилища. Рекомендуется настроить политику хранения данных для этих контейнеров облачного хранилища и заблокировать политику хранения данных; таким образом, постоянно предотвращая сокращение или удаление политики. Таким образом, если система когда-либо скомпрометирована злоумышленником или злоумышленником, который хочет покрыть свои следы, журналы действий определенно сохраняются для судебно-медицинских экспертиз и расследований безопасности.
Серьезность: низкая
Убедитесь, что для экземпляра базы данных Cloud SQL требуются все входящие подключения для использования SSL
Описание. Рекомендуется применить все входящие подключения к экземпляру базы данных SQL для использования SSL. SQL подключения к базе данных в случае успешной ловушки (MITM); может выявить конфиденциальные данные, такие как учетные данные, запросы базы данных, выходные данные запросов и т. д. Для обеспечения безопасности рекомендуется всегда использовать шифрование SSL при подключении к экземпляру. Эта рекомендация применима для экземпляров Postgresql, MySql поколения 1 и MySql поколения 2.
Серьезность: высокий уровень
Убедитесь, что флаг базы данных автономной проверки подлинности базы данных для Cloud SQL в экземпляре SQL Server установлен как "off"
Описание. Рекомендуется задать флаг базы данных "проверка подлинности в автономной базе данных" для Cloud SQL в экземпляре SQL Server для параметра off. Содержащаяся база данных включает все параметры базы данных и метаданные, необходимые для определения базы данных, и не имеет зависимостей конфигурации от экземпляра ядро СУБД, где установлена база данных. Пользователи могут подключиться к базе данных без проверки подлинности имени входа на уровне ядра СУБД. Если изолировать базу данных от ядра СУБД, можно легко переместить эту базу данных на другой экземпляр SQL Server. В автономных базах данных есть некоторые уникальные угрозы, которые должны быть поняты и устранены администраторами SQL Server ядро СУБД. Большинство угроз связаны с процессом проверки подлинности USER WITH PASSWORD, который перемещает границу проверки подлинности с уровня ядро СУБД на уровень базы данных, поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: средний
Убедитесь, что флаг базы данных межбазового владения для экземпляра SQL Server Cloud SQL Server имеет значение off.
Описание. Рекомендуется задать флаг базы данных межбазовой цепочки владения для экземпляра SQL Server Cloud SQL Server как "отключен". Используйте параметр межбазового владения для цепочки, чтобы настроить цепочку владения между базами данных для экземпляра Microsoft SQL Server. Этот параметр сервера позволяет управлять цепочкой владения между базами данных на уровне базы данных или разрешать цепочку владения между базами данных для всех баз данных. Включение "межбазового владения" не рекомендуется, если только все базы данных, размещенные экземпляром SQL Server, должны участвовать в цепочке владения между базами данных, и вы знаете о последствиях безопасности этого параметра. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: средний
Убедитесь, что флаг базы данных "local_infile" для экземпляра Cloud SQL Mysql установлен как "off"
Описание. Рекомендуется задать флаг базы данных local_infile для выключенного экземпляра Cloud SQL MySQL.
Флаг local_infile управляет возможностями LOCAL на стороне сервера для инструкций LOAD DATA. В зависимости от параметра local_infile сервер отказывается или разрешает загрузку локальных данных клиентами, которые включили LOCAL на стороне клиента.
Чтобы явно вызвать отказ сервера от инструкций LOAD DATA LOCAL (независимо от того, как клиентские программы и библиотеки настроены во время сборки или во время выполнения), начните mysqld
с local_infile отключены. local_infile также можно задать во время выполнения.
Из-за проблем безопасности, связанных с флагом local_infile, рекомендуется отключить его. Эта рекомендация применима к экземплярам базы данных MySQL.
Серьезность: средний
Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений разрешений IAM облачного хранилища
Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменений IAM в контейнере облачных хранилищ. Мониторинг изменений в разрешениях контейнера облачного хранилища может сократить время, необходимое для обнаружения и исправления разрешений для конфиденциальных контейнеров и объектов облачного хранилища в контейнере.
Серьезность: низкая
Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений конфигурации экземпляра SQL
Описание. Рекомендуется установить фильтр метрик и тревогу для изменений конфигурации экземпляра SQL. Мониторинг изменений в конфигурации экземпляра SQL может сократить время, необходимое для обнаружения и исправления неправильных конфигураций, выполненных на сервере SQL Server. Ниже приведены некоторые настраиваемые параметры, которые могут повлиять на состояние безопасности экземпляра SQL:
- Включение автоматического резервного копирования и высокой доступности: неправильное настройка может негативно повлиять на непрерывность бизнес-процессов, аварийное восстановление и высокий уровень доступности.
- Авторизация сетей: неправильное настройка может увеличить уязвимость к ненадежным сетям.
Серьезность: низкая
Убедитесь, что для каждой учетной записи службы есть только ключи учетной записи, управляемой GCP
Описание. Учетные записи управляемых пользователем служб не должны иметь ключи, управляемые пользователем. Любой пользователь, имеющий доступ к ключам, сможет получить доступ к ресурсам через учетную запись службы. Ключи, управляемые GCP, используются службами Cloud Platform, такими как ядро приложений и вычислительный модуль. Эти ключи нельзя скачать. Google будет держать ключи и автоматически поворачивать их примерно еженедельно. Управляемые пользователем ключи создаются, загружаются и управляются пользователями. Срок их действия истекает через 10 лет после создания. Для ключей, управляемых пользователем, пользователь должен взять на себя ответственность за действия управления ключами, в том числе:
- Хранилище ключей
- Распределение ключей
- Отзыв ключа
- Смена ключей
- Защита ключей от несанкционированных пользователей
- Восстановление ключей
Даже с мерами предосторожности владельца ключей ключи могут быть легко утечки менее чем оптимальными распространенными методами разработки, такими как проверка ключей в исходном коде или их выход из каталога загрузки, или случайное удаление их в блогах или каналах поддержки. Рекомендуется запретить ключи учетной записи службы, управляемые пользователем.
Серьезность: низкая
Убедитесь, что флаг базы данных "подключения пользователей" для экземпляра SQL Server Cloud SQL Server установлен соответствующим образом.
Описание. Рекомендуется задать флаг базы данных "подключения пользователей" для экземпляра SQL Server Cloud SQL Server в соответствии с определенным организацией значением. Параметр "Подключения пользователей" указывает максимальное количество одновременных подключений пользователей, разрешенных в экземпляре SQL Server. Фактическое количество разрешенных подключений пользователей также зависит от используемой версии SQL Server, а также ограничений приложения или приложений и оборудования. SQL Server поддерживает не более 32 767 одновременных подключений пользователей. Так как пользовательские подключения являются динамическими (самостоятельно настроенными) параметром, SQL Server настраивает максимальное количество подключений пользователей автоматически при необходимости до максимального допустимого значения. Например, если к серверу подключилось 10 пользователей, будет выделено 10 объектов пользовательских соединений. В большинстве случаев вам не нужно изменять значение этого параметра. По умолчанию его значение равно нулю, то есть разрешено максимальное число соединений (32 767). Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: низкая
Убедитесь, что флаг базы данных "Параметры пользователя" для экземпляра SQL Server Cloud SQL Server не настроен
Описание. Рекомендуется, чтобы флаг базы данных "параметры пользователя" для экземпляра SQL Server Cloud SQL Server не был настроен. Параметр "Параметры пользователя" определяет глобальные значения по умолчанию для всех пользователей. Список параметров обработки запросов по умолчанию создается на время сеанса работы пользователя. Параметр параметров пользователя позволяет изменять значения по умолчанию параметров SET (если параметры сервера по умолчанию не подходят). Пользователь может заменить эти значения по умолчанию с помощью инструкцию SET. Для новых имен входа параметр user options можно настроить динамически. После изменения параметра параметров пользователя новые сеансы входа используют новый параметр; Текущие сеансы входа не затрагиваются. Эта рекомендация применима к экземплярам базы данных SQL Server.
Серьезность: низкая
Ведение журнала для кластеров GKE должно быть включено
Описание. Эта рекомендация оценивает, должно ли свойство logService кластера содержать расположение облачного ведения журнала, которое должно использоваться для записи журналов.
Серьезность: высокий уровень
Управление версиями объектов должно быть включено в контейнерах хранилища, в которых настроены приемники
Описание. Эта рекомендация оценивает, задано ли для поля в свойстве управления версиями контейнера значение true.
Серьезность: высокий уровень
Слишком подготовленные удостоверения в проектах следует исследовать, чтобы уменьшить индекс ползука разрешений (PCI)
Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в проектах. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.
Серьезность: средний
Проекты с криптографическими ключами не должны иметь пользователей с разрешениями владельца
Описание. Эта рекомендация оценивает политику разрешения IAM в метаданных проекта для назначенных ролей или владельца субъектов.
Серьезность: средний
Контейнеры хранилища, используемые в качестве приемника журналов, не должны быть общедоступными
Описание. Эта рекомендация оценивает политику IAM контейнера для субъектов allUsers или allAuthenticatedUsers, которые предоставляют общедоступный доступ.
Серьезность: высокий уровень