計算安全性建議
本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有多重雲端計算安全性建議。
您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。
若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。
提示
如果建議描述顯示 [沒有相關原則],通常是因為該建議相依於不同的建議。
例如,應該補救端點保護健康情況失敗的建議取決於檢查是否已安裝 Endpoint Protection 解決方案的建議(應安裝 Endpoint Protection 解決方案)。 基礎建議 確實 有原則。 將原則限制為僅限基礎建議可簡化原則管理。
Azure 計算建議
應在您的機器上安裝系統更新 (由更新中心提供)
描述:您的電腦遺失系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。
嚴重性:低
機器應該設定定期檢查,以檢查是否有遺漏的系統更新
描述:為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應設定為 『AutomaticByPlatform』。 深入瞭解適用於 Windows 的 AssessmentMode 屬性: https://aka.ms/computevm-windowspatchassessmentmode、適用於 Linux: https://aka.ms/computevm-linuxpatchassessmentmode。
嚴重性:低
您的電腦應啟用自適性應用程式控制,以定義安全應用程式
描述:啟用應用程控來定義計算機上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程式,適用於雲端的 Defender 使用機器學習來分析每部計算機上執行的應用程式,並建議已知安全應用程式清單。 (相關原則: 應在您的機器上啟用定義安全應用程式的調適型應用程控)。
嚴重性:高
必須更新自適性應用程式控制原則中的允許清單規則
描述:監視 適用於雲端的 Defender 自適性應用程控所設定機器群組上的行為變更。 適用於雲端的 Defender 會使用機器學習來分析計算機上執行中的進程,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 (相關原則: 應更新調適型應用程控原則中的Allowlist規則。
嚴重性:高
對 Linux 電腦進行驗證需要 SSH 金鑰
描述:雖然 SSH 本身提供加密連線,但搭配 SSH 使用密碼仍會使 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 如需詳細資訊,請參閱 詳細步驟:建立和管理 SSH 金鑰,以向 Azure 中的 Linux VM 進行驗證。 (相關原則: 稽核未使用 SSH 金鑰進行驗證的 Linux 機器。
嚴重性:中
應加密自動化帳戶變數
描述:儲存敏感數據時,請務必啟用自動化帳戶變數資產的加密。 (相關原則: 應該加密自動化帳戶變數。
嚴重性:高
應為虛擬機啟用 Azure 備份
描述:使用 Azure 備份 保護 Azure 虛擬機上的數據。 Azure 備份 是 Azure 原生、符合成本效益的數據保護解決方案。 它會建立儲存在異地備援復原保存庫中的恢復點。 當您從恢復點還原時,可以還原整個 VM 或特定檔案。 (相關原則: 應針對 虛擬機器 啟用 Azure 備份)。
嚴重性:低
(預覽)Azure 本機電腦應符合安全核心需求
描述:確定所有 Azure 本機計算機都符合安全核心需求。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure)。
嚴重性:低
(預覽)Azure 本機計算機應一致地強制執行應用程控原則
描述:至少,在所有 Azure 本機計算機上,以強制模式套用Microsoft WDAC 基底原則。 套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure)。
嚴重性:高
(預覽)Azure 本機系統應該有加密的磁碟區
描述:使用 BitLocker 來加密 Azure 本機系統上的 OS 和數據磁碟區。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure)。
嚴重性:高
容器主機應安全地設定
描述:補救已安裝 Docker 的機器上安全性組態設定中的弱點,以保護它們免於遭受攻擊。 (相關原則: 應補救容器安全性設定中的弱點。
嚴重性:高
應啟用 Azure 串流分析中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用 Azure 串流分析中的診斷記錄。
嚴重性:低
應啟用 Batch 帳戶中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用 Batch 帳戶中的診斷記錄。
嚴重性:低
應啟用事件中樞中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用事件中樞中的診斷記錄。
嚴重性:低
應啟用Logic Apps中的診斷記錄
描述:為了確保您可以在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用,請啟用記錄。 如果您的診斷記錄未傳送至 Log Analytics 工作區、Azure 儲存體 帳戶或 Azure 事件中樞,請確定您已設定診斷設定,將平臺計量和平台記錄傳送至相關目的地。 深入瞭解建立診斷設定,以將平台記錄和計量傳送至不同的目的地。 (相關原則: 應啟用Logic Apps中的診斷記錄。
嚴重性:低
應啟用 服務匯流排 中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用 服務匯流排 中的診斷記錄)。
嚴重性:低
應啟用 虛擬機器擴展集 中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用 虛擬機器擴展集 中的診斷記錄)。
嚴重性:高
應該解決虛擬機器上的 EDR 設定問題
描述:若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別組態問題。 目前,這項建議僅適用於已啟用 適用於端點的 Microsoft Defender的資源。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:低
EDR 解決方案應該安裝於虛擬機器上
描述:在虛擬機上安裝端點偵測和回應 (EDR) 解決方案對於防範進階威脅很重要。 EDR 有助於防止、偵測、調查及回應這些威脅。 Microsoft適用於伺服器的 Defender 可用來部署 適用於端點的 Microsoft Defender。
- 如果資源分類為「狀況不良」,表示沒有支援的 EDR 解決方案。
- 如果已安裝 EDR 解決方案,但無法透過此建議探索,則可以豁免
- 如果沒有 EDR 解決方案,虛擬機就面臨進階威脅的風險。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:高
應解決虛擬機擴展集上的端點保護健康情況問題
描述:在虛擬機擴展集上,補救端點保護健康情況失敗,以防止威脅和弱點。 (相關原則: 端點保護解決方案應該安裝在虛擬機擴展集上。
嚴重性:低
應在虛擬機擴展集上安裝 Endpoint Protection
描述:在您的虛擬機擴展集上安裝 Endpoint Protection 解決方案,以保護它們免於威脅和弱點。 (相關原則: 端點保護解決方案應該安裝在虛擬機擴展集上。
嚴重性:高
應該在機器上啟用檔案完整性監視
描述:適用於雲端的 Defender 識別出缺少檔案完整性監視解決方案的計算機。 若要監視伺服器上重要檔案、登錄機碼等的變更,請啟用檔案完整性監視。 啟用檔案完整性監視解決方案時,請建立數據收集規則來定義要監視的檔案。 若要定義規則,或查看具有現有規則的計算機上變更的檔案,請移至檔案 完整性監視管理頁面。 (無相關政策)
嚴重性:高
客體證明擴充功能應該安裝在支援的Linux虛擬機擴展集上
描述:在支援的Linux虛擬機擴展集上安裝客體證明擴充功能,以允許 適用於雲端的 Microsoft Defender 主動證明及監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用受信任啟動的Linux虛擬機擴展集。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
客體證明擴充功能應該安裝在支援的Linux虛擬機上
描述:在支援的Linux虛擬機上安裝客體證明擴充功能,以允許 適用於雲端的 Microsoft Defender主動證明及監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用受信任啟動的Linux虛擬機。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
客體證明擴充功能應該安裝在支援的 Windows 虛擬機擴展集上
描述:在支援的虛擬機擴展集上安裝客體證明擴充功能,以允許 適用於雲端的 Microsoft Defender 主動證明及監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評估僅適用於已啟用受信任啟動的虛擬機擴展集。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
客體證明擴充功能應該安裝在支援的 Windows 虛擬機上
描述:在支持的虛擬機上安裝客體證明擴充功能,以允許 適用於雲端的 Microsoft Defender 主動證明並監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
應在電腦上安裝來賓設定延伸模組
描述:若要確保機器內客體設定的安全設定,請安裝客體設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝之後,應該啟用客體內部原則,例如 Windows 惡意探索防護。 (相關原則: 虛擬機應具有客體設定擴充功能。
嚴重性:中
(預覽)主機和 VM 網路應在 Azure 本機系統上受到保護
描述:保護 Azure 本機主機網路和虛擬機網路連線上的數據。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure)。
嚴重性:低
在虛擬機上安裝 Endpoint Protection 解決方案
描述:在您的虛擬機上安裝 Endpoint Protection 解決方案,以保護它們免於威脅和弱點。 (相關原則: 在 Azure 資訊安全中心 中監視遺漏的 Endpoint Protection)。
嚴重性:高
Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost
描述:根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密 或 EncryptionAtHost 來加密所有這些數據。 請流覽 受控磁碟加密選項 概觀,以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資訊,請瀏覽 瞭解 Azure 機器組態。 (相關原則: [預覽]:Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost)。
取代較舊的建議 虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流。 建議可讓您稽核 VM 加密合規性。
嚴重性:高
Linux 虛擬機應強制執行核心模組簽章驗證
描述:為了協助緩解核心模式中惡意或未經授權的程式代碼執行,請在支援的Linux虛擬機上強制執行核心模組簽章驗證。 核心模組簽章驗證可確保只允許受信任的核心模組執行。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 (無相關政策)
嚴重性:低
Linux 虛擬機應該只使用已簽署且受信任的開機組件
描述:啟用安全開機后,所有OS開機組件(開機載入器、核心、核心驅動程式)都必須由受信任的發行者簽署。 適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。 若要保護您的機器免於潛在的惡意元件,請將它們新增至您的allowlist或移除已識別的元件。 (無相關政策)
嚴重性:低
Linux 虛擬機應該使用安全開機
描述:若要防止安裝惡意代碼型 Rootkit 和開機套件,請在支援的 Linux 虛擬機上啟用安全開機。 安全開機可確保只允許執行已簽署的作業系統和驅動程式。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 (無相關政策)
嚴重性:低
Log Analytics 代理程式應該安裝在已啟用 Linux 的 Azure Arc 機器上
描述:適用於雲端的 Defender 使用Log Analytics代理程式(也稱為 OMS)從 Azure Arc 機器收集安全性事件。 若要在所有 Azure Arc 機器上部署代理程式,請遵循補救步驟。 (無相關政策)
嚴重性:高
隨著使用 AMA 和 MMA 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月
Log Analytics 代理程式應該安裝於虛擬機器擴展集上
描述:適用於雲端的 Defender 從您的 Azure 虛擬機 (VM) 收集數據,以監視安全性弱點和威脅。 數據是使用 Log Analytics 代理程式收集的,先前稱為 Microsoft Monitoring Agent (MMA),它會從電腦讀取各種安全性相關組態和事件記錄,並將數據複製到您的工作區進行分析。 如果您的 VM 是由 Azure 受控服務使用,例如 Azure Kubernetes Service 或 Azure Service Fabric,您也必須遵循該程式。 您無法為 Azure 虛擬機擴展集設定代理程式的自動布建。 若要在虛擬機擴展集上部署代理程式(包括 Azure Kubernetes Service 和 Azure Service Fabric 等 Azure 受控服務所使用的代理程式),請遵循補救步驟中的程式。 (相關原則: Log Analytics 代理程式應該安裝在虛擬機擴展集上,以 Azure 資訊安全中心 監視)。
隨著使用 AMA 和 MMA 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月
嚴重性:高
Log Analytics 代理程式應該安裝於虛擬機器上
描述:適用於雲端的 Defender 從您的 Azure 虛擬機 (VM) 收集數據,以監視安全性弱點和威脅。 數據是使用 Log Analytics 代理程式收集的,先前稱為 Microsoft Monitoring Agent (MMA),它會從電腦讀取各種安全性相關組態和事件記錄,並將數據複製到 Log Analytics 工作區進行分析。 如果您的 VM 是由 Azure 受控服務使用,例如 Azure Kubernetes Service 或 Azure Service Fabric,也需要此代理程式。 建議您設定 自動布建 來自動部署代理程式。 如果您選擇不使用自動布建,請使用補救步驟中的指示,手動將代理程式部署至 VM。 (相關原則: Log Analytics 代理程式應該安裝在虛擬機上,以進行 Azure 資訊安全中心 監視)。
隨著使用 AMA 和 MMA 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月
嚴重性:高
Log Analytics 代理程式應該安裝於 Windows 型已啟用 Azure Arc 的機器上
描述:適用於雲端的 Defender 使用Log Analytics代理程式(也稱為 MMA)從 Azure Arc 機器收集安全性事件。 若要在所有 Azure Arc 機器上部署代理程式,請遵循補救步驟。 (無相關政策)
嚴重性:高
隨著使用 AMA 和 MMA 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月
應該已安全地設定機器
描述:補救機器上安全性設定中的弱點,以防止攻擊。 (相關原則: 應補救機器上安全性設定中的弱點。
此建議可協助您改善伺服器安全性狀態。 適用於雲端的 Defender 藉由提供由 Microsoft Defender 弱點管理 提供的安全性基準,來增強因特網安全性中心 (CIS) 基準。 深入了解。
嚴重性:低
計算機應重新啟動以套用安全性設定更新
描述:若要套用安全性設定更新並防範弱點,請重新啟動計算機。 此評量僅適用於已安裝 Azure 監視器代理程式的 Linux 虛擬機器。 (無相關政策)
嚴重性:低
機器應該有弱點評估解決方案
描述:適用於雲端的 Defender 定期檢查連線的計算機,以確保它們正在執行弱點評估工具。 使用此建議來部署弱點評估解決方案。 (相關原則: 應在虛擬機上啟用弱點評估解決方案。
嚴重性:中
機器應該已解決發現的弱點
描述:解決虛擬機上弱點評估解決方案的結果。 (相關原則: 應在虛擬機上啟用弱點評估解決方案。
嚴重性:低
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠
描述:適用於雲端的 Defender 識別出網路安全組中管理埠的一些過於寬鬆的輸入規則。 啟用 Just-In-Time 訪問控制,以保護您的 VM 免於遭受以因特網為基礎的暴力密碼破解攻擊。 深入了解 瞭解 Just-In-Time (JIT) VM 存取。 (相關原則: 應使用 Just-In-Time 網路存取控制來保護虛擬機的管理埠。
嚴重性:高
應啟用適用於伺服器的 defender Microsoft
描述:適用於伺服器的 Microsoft Defender 為您的伺服器工作負載提供即時威脅防護,併產生強化建議,以及可疑活動的警示。 您可以使用這項資訊來快速補救安全性問題,並改善伺服器的安全性。
補救此建議會導致保護伺服器的費用。 如果您沒有此訂用帳戶中的任何伺服器,則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何伺服器,這些伺服器將會自動受到保護,且費用會從該時間開始。 若要深入瞭解,請參閱 適用於伺服器的 Microsoft Defender 簡介。 (相關原則: 應啟用適用於伺服器的 Azure Defender。
嚴重性:高
應該在工作區上啟用適用於伺服器的Defender Microsoft
描述:適用於伺服器的 Microsoft Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。 在訂用帳戶上啟用此 Defender 方案,但未在您的工作區上啟用,您需支付適用於伺服器的 Microsoft Defender 完整功能,但缺少部分權益。 當您在工作區上啟用適用於伺服器的 Microsoft Defender 時,向該工作區回報的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費,即使這些計算機是在未啟用 Defender 方案的訂用帳戶中也一樣。 除非您也針對訂用帳戶上的伺服器啟用 Microsoft Defender,否則這些機器將無法利用 Azure 資源的 Just-In-Time VM 存取、調適型應用程控和網路偵測。 若要深入瞭解,請參閱 適用於伺服器的 Microsoft Defender 簡介。 (無相關政策)
嚴重性:中
應在支援的 Windows 虛擬機上啟用安全開機
描述:在支援的 Windows 虛擬機上啟用安全開機,以減少對開機鏈的惡意和未經授權的變更。 啟用之後,將只允許受信任的開機載入器、核心和核心驅動程序執行。 此評量僅適用於啟用信任啟動的 Windows 虛擬機。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign
描述:Service Fabric 針對使用主要叢集憑證的節點對節點通訊提供三種保護層級(None、Sign 和 EncryptAndSign)。 設定保護層級,以確保所有節點對節點訊息都經過加密,並以數位方式簽署。 (相關原則: Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign。
嚴重性:高
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證
描述:僅透過 Service Fabric 中的 Azure Active Directory 執行客戶端驗證(相關原則: Service Fabric 叢集只應使用 Azure Active Directory 進行客戶端驗證)。
嚴重性:高
應在虛擬機器擴展集上安裝系統更新
描述:安裝遺漏的系統安全性和重大更新,以保護您的 Windows 和 Linux 虛擬機擴展集。 (相關原則: 應安裝虛擬機擴展集上的系統更新。
隨著使用 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft 監視代理程式 #MMA) 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月。 這些建議會 由新的建議取代。
嚴重性:高
您應在機器上安裝系統更新
描述:安裝遺漏的系統安全性和重大更新,以保護 Windows 和 Linux 虛擬機和電腦的安全(相關原則: 應該在您的電腦上安裝系統更新)。
隨著使用 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft 監視代理程式 #MMA) 已逐步淘汰在適用於伺服器的 Defender 中,將會移除依賴這些代理程式的建議,如下所示。 相反地,適用於伺服器的 Defender 功能會使用 適用於端點的 Microsoft Defender 代理程式或無代理程序掃描,而不需要依賴 MMA 或 AMA。
預計淘汰:2024 年 7 月。 這些建議會 由新的建議取代。
嚴重性:高
應在您的機器上安裝系統更新 (由更新中心提供)
描述:您的電腦遺失系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 (無相關政策)
嚴重性:高
虛擬機器和虛擬機器擴展集應啟用主機上的加密
描述:在主機使用加密來取得虛擬機和虛擬機擴展集數據的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 若要深入瞭解,請參閱使用 Azure 入口網站 在主機上使用加密啟用端對端加密。 (相關原則:虛擬機器和虛擬機器擴展集應啟用主機上的加密)。
嚴重性:中
虛擬機器應遷移到新的 Azure Resource Manager 資源
描述:虛擬機(傳統版)已被取代,且這些 VM 應該移轉至 Azure Resource Manager。 因為 Azure Resource Manager 現在具有完整的 IaaS 功能和其他進階功能,所以我們已在 2020 年 2 月 28 日淘汰透過 Azure Service Manager (ASM) 執行的 IaaS 虛擬機器 (VM) 管理。 此功能將於 2023 年 3 月 1 日完全淘汰。
若要檢視所有受影響的傳統 VM,請務必選取 [目錄 + 訂用帳戶] 索引標籤下的所有 Azure 訂用帳戶。
此工具和移轉的可用資源和資訊: 虛擬機(傳統)淘汰概觀、移轉的逐步程式和可用Microsoft資源。移轉至 Azure Resource Manager 移轉工具的詳細數據。使用 PowerShell 移轉至 Azure Resource Manager 移轉工具。 (相關原則: 虛擬機應該移轉至新的 Azure Resource Manager 資源。
嚴重性:高
虛擬機客體證明狀態應狀況良好
描述:客體證明是藉由將信任的記錄檔 (TCGLog) 傳送至證明伺服器來執行。 伺服器會使用這些記錄來判斷開機元件是否值得信任。 此評估旨在偵測開機鏈結的危害,這可能是 或 rootkit
感染的結果bootkit
。
此評量僅適用於已安裝客體證明延伸模組的信任啟動已啟用虛擬機。
(無相關政策)
嚴重性:中
應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組
描述:客體設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入瞭解 (相關原則: 客體設定擴充功能應部署至具有系統指派受控識別的 Azure 虛擬機。
嚴重性:中
應安全地設定虛擬機擴展集
描述:在虛擬機擴展集上,補救弱點以防止攻擊。 (相關原則: 應補救虛擬機擴展集上安全性設定中的弱點。
嚴重性:高
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程
描述:根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時不會加密數據。 如需 Azure 中不同磁碟加密技術的比較,請參閱 受控磁碟加密選項概觀。 使用 Azure 磁碟加密 來加密所有這些數據。 如果下列事項,請忽略此建議:
您使用的是主機加密功能,或 受控磁碟 上的伺服器端加密符合您的安全性需求。 深入瞭解 Azure 磁碟記憶體的伺服器端加密。
(相關原則: 應在虛擬機器上套用磁碟加密)
嚴重性:高
應在支持的虛擬機上啟用 vTPM
描述:在支援的虛擬機上啟用虛擬 TPM 裝置,以協助測量開機和其他需要 TPM 的 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。
- 信任的啟動需要建立新的虛擬機。
- 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
深入瞭解 Azure 虛擬機的受信任啟動。 (無相關政策)
嚴重性:低
應補救您 Linux 機器上安全性設定的弱點 (由來賓設定提供)
描述:補救 Linux 機器上安全性設定中的弱點,以保護它們免於遭受攻擊。 (相關原則: Linux 機器應符合 Azure 安全性基準的需求。
嚴重性:低
應補救您的 Windows 機器上安全性設定的弱點 (由來賓設定提供)
描述:補救 Windows 機器上安全性設定中的弱點,以防止攻擊。 (無相關政策)
嚴重性:低
應在機器上啟用 Windows Defender 惡意探索防護
描述:Windows Defender 惡意探索防護會使用 Azure 原則 客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 (相關原則: 稽核未啟用 Windows Defender 惡意探索防護的 Windows 機器。
嚴重性:中
Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost
描述:根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密 或 EncryptionAtHost 來加密所有這些數據。 請流覽 受控磁碟加密選項 概觀,以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資訊,請瀏覽 瞭解 Azure 機器組態。 (相關原則: [預覽]:Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost)。
取代較舊的建議虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流。 建議可讓您稽核 VM 加密合規性。
嚴重性:高
Windows 網頁伺服器應設定為使用安全通訊協定
描述:為了保護透過因特網通訊的資訊隱私權,您的網頁伺服器應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性(TLS)。 TLS 會使用安全性憑證來保護透過網路的通訊,以加密電腦之間的連線。 (相關原則: 稽核未使用安全通訊協定的 Windows 網頁伺服器。
嚴重性:高
AWS 計算建議
由系統管理員管理的 Amazon EC2 實例在修補程式安裝之後,應具有符合規範的修補程式合規性狀態
描述:此控件會檢查 Amazon EC2 Systems Manager 修補程式合規性的合規性狀態是否符合規範,或是在實例上安裝修補程式之後NON_COMPLIANT。 它只會檢查 AWS Systems Manager Patch Manager 所管理的實例。 它不會檢查修補程式是否在PCI DSS需求 '6.2' 規定的30天限制內套用。 它也不會驗證是否已將套用的修補程式分類為安全性修補程式。 您應該使用適當的基準設定來建立修補群組,並確保系統管理員中的修補群組是由這些修補程式群組所管理。 如需修補程式群組的詳細資訊,請參閱 AWS Systems Manager 使用者指南。
嚴重性:中
Amazon EFS 應設定為使用 AWS KMS 加密待用檔案數據
描述:此控件會檢查 Amazon Elastic File System 是否已設定為使用 AWS KMS 加密檔案數據。 在下列情況下,檢查失敗:*“Encrypted” 在 DescribeFileSystems 回應中設定為 “false”。 DescribeFileSystems 回應中的 “KmsKeyId” 密鑰不符合 efs-encrypted-check 的 KmsKeyId 參數。 請注意,此控件不會針對 efs-encrypted-check 使用 “KmsKeyId” 參數。 它只會檢查 「Encrypted」 的值。 若要為 Amazon EFS 中的敏感資料新增一層安全性,您應該建立加密的文件系統。 Amazon EFS 支援待用文件系統的加密。 建立 Amazon EFS 文件系統時,您可以啟用待用數據的加密。 若要深入瞭解 Amazon EFS 加密,請參閱 Amazon Elastic File System 使用者指南中的 Amazon EFS 中的數據加密。
嚴重性:中
Amazon EFS 磁碟區應該位於備份計劃中
描述:此控件會檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否已新增至 AWS 備份中的備份計劃。 如果備份計劃中未包含 Amazon EFS 檔案系統,控件就會失敗。 在備份計劃中加入 EFS 文件系統,可協助您保護資料免於刪除和資料遺失。
嚴重性:中
應啟用應用程式負載平衡器刪除保護
描述:此控件會檢查應用程式負載平衡器是否已啟用刪除保護。 如果未設定刪除保護,控件就會失敗。 啟用刪除保護以保護應用程式負載平衡器免於刪除。
嚴重性:中
與負載平衡器相關聯的自動調整群組應該使用健康情況檢查
描述:與負載平衡器相關聯的自動調整群組會使用彈性負載平衡健康情況檢查。 PCI DSS 不需要負載平衡或高可用性組態。 AWS 最佳做法建議這麼做。
嚴重性:低
AWS 帳戶應已啟用 Azure Arc 自動布建
描述:如需適用於伺服器的 Microsoft Defender 安全性內容的完整可見度,EC2 實例應連線到 Azure Arc。為了確保所有符合資格的 EC2 實例都會自動接收 Azure Arc,請在 AWS 帳戶層級啟用從 適用於雲端的 Defender 自動布建。 深入瞭解適用於伺服器的 Azure Arc 和 Microsoft Defender。
嚴重性:高
CloudFront 散發套件應已設定原始故障轉移
描述:此控件會檢查 Amazon CloudFront 散發套件是否已設定為具有兩個或更多來源的來源群組。 CloudFront 原始故障轉移可能會增加可用性。 如果主要來源無法使用,或傳回特定的 HTTP 回應狀態代碼,來源故障轉移會自動將流量重新導向至次要來源。
嚴重性:中
CodeBuild GitHub 或 Bitbucket 來源存放庫 URL 應該使用 OAuth
描述:此控件會檢查 GitHub 或 Bitbucket 來源存放庫 URL 是否包含個人存取令牌或使用者名稱和密碼。 驗證認證不應該以純文本儲存或傳輸,或出現在存放庫 URL 中。 您應該使用 OAuth 來授與存取 GitHub 或 Bitbucket 存放庫的授權,而不是個人存取令牌或使用者名稱和密碼。 使用個人存取令牌或使用者名稱和密碼,可能會將您的認證公開至非預期的數據暴露和未經授權的存取。
嚴重性:高
CodeBuild 專案環境變數不應包含認證
描述:此控制項會檢查專案是否包含環境變數 AWS_ACCESS_KEY_ID
和 AWS_SECRET_ACCESS_KEY
。
驗證認證 AWS_ACCESS_KEY_ID
和 AWS_SECRET_ACCESS_KEY
不應該以純文本儲存,因為這可能會造成非預期的數據暴露和未經授權的存取。
嚴重性:高
動態資料庫加速器 (DAX) 叢集應該在待用時加密
描述:此控件會檢查 DAX 叢集是否在待用時加密。 加密待用數據可降低使用者未向 AWS 驗證之磁碟上所儲存數據的風險。 加密會新增另一組訪問控制,以限制未經授權的使用者存取數據的能力。 例如,需要 API 許可權才能解密數據,才能讀取數據。
嚴重性:中
DynamoDB 資料表應該會自動隨需求調整容量
描述:此控件會檢查 Amazon DynamoDB 數據表是否可以視需要調整其讀取和寫入容量。 如果數據表使用隨選容量模式或已設定自動調整的布建模式,則此控件會通過。 使用需求調整容量可避免節流例外狀況,這有助於維護應用程式的可用性。
嚴重性:中
EC2 實例應該連線到 Azure Arc
描述:將您的 EC2 實例連線到 Azure Arc,以便完整檢視 Microsoft Defender for Servers 安全性內容。 深入瞭解 Azure Arc,以及如何在混合式雲端環境中Microsoft適用於伺服器的 Defender。
嚴重性:高
EC2 實例應該由 AWS 系統管理員管理
描述:在實例上安裝修補程序之後,Amazon EC2 Systems Manager 修補程式合規性的狀態為「符合規範」或「NON_COMPLIANT」。 只會檢查 AWS Systems Manager Patch Manager 所管理的實例。 不會檢查PCI DSS需求 '6' 在30天限制內套用的修補程式。
嚴重性:中
應該解決 EC2s 上的 EDR 設定問題
描述:若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別組態問題。 目前,這項建議僅適用於已啟用 適用於端點的 Microsoft Defender的資源。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:高
EDR 解決方案應該安裝於 EC2s 上
描述:若要保護EC2,請安裝端點偵測和回應 (EDR) 解決方案。 EDR 有助於防止、偵測、調查及回應進階威脅。 使用適用於伺服器的 Microsoft Defender 部署適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」,則未安裝支援的 EDR 解決方案。 如果您已安裝無法透過此建議探索的 EDR 解決方案,您可以豁免。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:高
由系統管理員管理的實例應具有符合規範的關聯合規性狀態
描述:此控件會檢查在實例上執行關聯之後,AWS 系統管理員關聯合規性的狀態是否符合規範或NON_COMPLIANT。 如果關聯合規性狀態符合規範,控件就會通過。 狀態管理員關聯是指派給受控實例的組態。 組態會定義您想要在實例上維護的狀態。 例如,關聯可以指定必須在實例上安裝並執行防病毒軟體,或必須關閉特定埠。 建立一或多個狀態管理員關聯之後,合規性狀態資訊就會立即可供您在控制台中使用,或回應 AWS CLI 命令或對應的 Systems Manager API 作業。 對於關聯,「設定」合規性會顯示符合規範或不符合規範的狀態,以及指派給關聯之嚴重性層級,例如「重大」或「中」。 若要深入瞭解 State Manager 關聯合規性,請參閱 AWS 系統管理員使用者指南中的關於狀態管理員關聯合規性 。 您必須設定系統管理員關聯的範圍內 EC2 實例。 您也必須設定修補程式廠商安全性評等的修補程式基準,並設定自動核准日期以符合PCI DSS 3.2.1 需求 6.2。 如需如何 建立關聯的詳細資訊指引,請參閱 AWS 系統管理員使用者指南中的建立關聯。 如需在系統管理員中使用修補的詳細資訊,請參閱 AWS Systems Manager 使用者指南中的 AWS Systems Manager Patch Manager 。
嚴重性:低
Lambda 函式應該已設定寄不出的信件佇列
描述:此控件會檢查 Lambda 函式是否已設定成寄不出的信件佇列。 如果未使用寄不出的信件佇列來設定 Lambda 函式,控件就會失敗。 作為失敗目的地的替代方案,您可以使用寄不出的信件佇列來設定函式,以儲存捨棄的事件以供進一步處理。 寄不出的信件佇列的作用與失敗目的地相同。 當事件失敗所有處理嘗試或到期時,不會進行處理時,就會使用它。 寄不出的信件佇列可讓您回顧 Lambda 函式的錯誤或失敗要求,以偵錯或識別不尋常的行為。 從安全性觀點來看,請務必瞭解您的函式失敗的原因,並確保您的函式不會因此卸除數據或危害數據安全性。 例如,如果您的函式無法與基礎資源通訊,這可能是網路其他地方拒絕服務 (DoS) 攻擊的徵兆。
嚴重性:中
Lambda 函式應該使用支援的運行時間
描述:此控件會檢查運行時間的 Lambda 函式設定是否符合針對每個語言所支援運行時間所設定的預期值。 此控件會檢查下列運行時間:nodejs14.x、nodejs12.x、nodejs10.x、python3.8、python3.7、python3.6、ruby2.7、ruby2.5、java11、java8.al2、go1.x、dotnetcore3.1、dotnetcore2.1 Lambda 運行時間是以受維護和安全性更新之作業系統、程式設計語言和軟體連結庫的組合所建置。 當安全性更新不再支援運行時間元件時,Lambda 會取代運行時間。 即使您無法建立使用已取代運行時間的函式,函式仍可供處理調用事件。 請確定您的 Lambda 函式是最新的,且不會使用過時的運行時間環境。 若要深入瞭解此控件檢查支援語言的支持運行時間,請參閱 AWS Lambda 開發人員指南中的 AWS Lambda 運行 時間。
嚴重性:中
應使用 Just-In-Time 網路存取控制來保護 EC2 實例的管理埠
描述:適用於雲端的 Microsoft Defender 識別出您網路中管理埠的一些過於寬鬆的輸入規則。 啟用 Just-In-Time 訪問控制,以保護您的實例免受以因特網為基礎的暴力密碼破解攻擊。 深入了解。
嚴重性:高
應移除未使用的EC2安全組
描述:安全組應該附加至 Amazon EC2 實例或 ENI。 狀況良好的尋找可能表示有未使用的 Amazon EC2 安全組。
嚴重性:低
GCP 計算建議
計算引擎 VM 應該使用容器優化的 OS
描述:此建議會針對索引鍵/值組 'imageType': 'COS' 評估節點集區的 config 屬性。
嚴重性:低
應該解決 GCP 虛擬機器上的 EDR 設定問題
描述:若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別組態問題。 目前,這項建議僅適用於已啟用 適用於端點的 Microsoft Defender的資源。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:高
EDR 解決方案應該安裝於 GCP 虛擬機器上
描述:若要保護虛擬機,請安裝端點偵測和回應 (EDR) 解決方案。 EDR 有助於防止、偵測、調查及回應進階威脅。 使用適用於伺服器的 Microsoft Defender 部署適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」,則未安裝支援的 EDR 解決方案。 如果您已安裝無法透過此建議探索的 EDR 解決方案,您可以豁免。
如果您有適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,則可以使用此無代理程式端點建議。 深入瞭解 無代理程式端點保護建議。
- 這些新的無代理程式端點建議支援 Azure 和多雲端電腦。 不支援內部部署伺服器。
- 這些新的無代理程式端點建議會取代應該安裝在您機器上的現有建議 端點保護(預覽版) ,而 端點保護健康情況問題應該在您的機器上解決 (預覽) 。
- 這些較舊的建議會使用 MMA/AMA 代理程式,而且將會取代為代理程式,因為代理程式已 逐步淘汰於適用於伺服器的 Defender 中。
嚴重性:高
確定 VM 實例已啟用「封鎖全專案 SSH 金鑰」
描述:建議使用實例特定的 SSH 金鑰,而不是使用通用/共用的全專案 SSH 金鑰來存取實例。 全專案 SSH 金鑰會儲存在計算/Project-meta-data 中。 全專案 SSH 金鑰可用來登入專案內的所有實例。 使用全專案 SSH 金鑰可簡化 SSH 金鑰管理,但如果遭到入侵,就會造成可能會影響專案內所有實例的安全性風險。 如果 SSH 金鑰遭到入侵,建議使用實例特定的 SSH 金鑰,以限制受攻擊面。
嚴重性:中
確定已啟用受防護 VM 的情況下啟動計算實例
描述:若要防範進階威脅,並確保 VM 上的開機載入器和韌體已簽署且未取樣,建議您在已啟用受防護 VM 的情況下啟動計算實例。
受防護的 VM 是 Google Cloud Platform 上的 VM,由一組安全性控制強化,可協助防禦 rootkits
和 bootkits
。
受防護的 VM 提供可驗證的計算引擎 VM 實例完整性,因此您可以確信您的實例尚未受到開機或核心層級惡意代碼或 rootkit 入侵。
受防護的 VM 可驗證完整性是透過使用安全開機、已啟用虛擬信任的平臺模組 (vTPM) 測量開機和完整性監視來達成。
受防護的 VM 實例會執行使用 Google 證書頒發機構單位簽署和驗證的韌體,確保實例的韌體未經修改,並建立安全開機的信任根目錄。
完整性監視可協助您了解並決定 VM 實例的狀態,而受防護的 VM vTPM 可藉由執行建立已知良好開機基準所需的測量,稱為完整性原則基準來啟用測量開機。
完整性原則基準可用來與後續 VM 開機的度量進行比較,以判斷是否有任何變更。
安全開機可協助確保系統只會藉由驗證所有開機組件的數位簽名來執行正宗的軟體,並在簽章驗證失敗時停止開機程式。
嚴重性:高
確定 VM 實例未啟用 [啟用連線到序列埠]
描述:與序列埠互動通常稱為序列控制台,這類似於使用終端機視窗,在該輸入和輸出完全處於文字模式,而且沒有圖形介面或滑鼠支援。 如果您在實例上啟用互動式序列控制台,用戶端就可以嘗試從任何IP位址連線到該實例。 因此,應該停用互動式序列控制台支援。 虛擬機實例有四個虛擬序列埠。 與序列埠互動的方式類似於使用終端機視窗,在該輸入和輸出完全處於文字模式,而且沒有圖形化介面或滑鼠支援。 實例的操作系統、BIOS 和其他系統層級實體通常會將輸出寫入至序列埠,而且可以接受命令或提示的解答等輸入。 通常,這些系統層級實體會使用第一個序列埠(埠 1)和序列埠 1,通常稱為序列控制台。 互動式序列主控台不支援IP型存取限制,例如IP允許清單。 如果您在實例上啟用互動式序列控制台,用戶端就可以嘗試從任何IP位址連線到該實例。 這可讓任何人連線到該實例,如果他們知道正確的 SSH 金鑰、使用者名稱、專案標識碼、區域和實例名稱。 因此,應該停用互動式序列控制台支援。
嚴重性:中
確定 Cloud SQL PostgreSQL 實例的 'log_duration' 資料庫旗標已設定為 'on'
描述:啟用log_hostname設定會導致記錄每個已完成語句的持續時間。 這不會記錄查詢的文字,因此與log_min_duration_statement旗標的行為不同。 在工作階段啟動之後,無法變更此參數。 監視執行查詢所花費的時間對於識別任何資源擷取查詢及評估伺服器效能而言非常重要。 您可以採取負載平衡和使用優化查詢等進一步步驟,以確保伺服器的效能和穩定性。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_executor_stats' 資料庫旗標已設定為 'off'
描述:P ostgreSQL 執行程式負責執行PostgreSQL規劃工具所移交的計劃。 執行程式會以遞歸方式處理計劃,以擷取所需的數據列集。 “log_executor_stats” 旗標可控制在每個查詢的 PostgreSQL 記錄中包含 PostgreSQL 執行程式效能統計數據。 「log_executor_stats」旗標可啟用粗略分析方法來記錄PostgreSQL執行程式效能統計數據,即使對疑難解答很有用,它仍可能會大幅增加記錄數目,並增加效能額外負荷。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_min_error_statement' 資料庫旗標已設定為 'Error' 或更嚴格
描述:「log_min_error_statement」旗標會定義視為錯誤語句的最低訊息嚴重性層級。 錯誤語句的訊息會與 SQL 語句一起記錄。 有效值包括 “DEBUG5”、“DEBUG4”、“DEBUG3”、“DEBUG2”、“DEBUG1”、“INFO”、“NOTICE”、“WARNING”、“ERROR”、“LOG”、“FATAL” 和 “PANIC”。每個嚴重性層級都包含上述的後續層級。 確定已設定 ERROR 或 stricter 的值。 稽核有助於針對作業問題進行疑難解答,也允許鑑識分析。 如果 「log_min_error_statement」 未設定為正確的值,訊息可能不會適當地分類為錯誤訊息。 將一般記錄檔訊息視為錯誤訊息會難以找到實際錯誤,並只考慮更嚴格的嚴重性層級,因為錯誤訊息可能會略過實際錯誤來記錄其 SQL 語句。 “log_min_error_statement” 旗標應設定為 “ERROR” 或更嚴格。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_parser_stats' 資料庫旗標已設定為 'off'
描述:P ostgreSQL 規劃工具/優化器負責剖析和驗證伺服器所接收之每個查詢的語法。 如果語法正確,則會建置「剖析樹狀結構」,否則會產生錯誤。 “log_parser_stats” 旗標可控制在每個查詢的 PostgreSQL 記錄中包含剖析器效能統計數據。 「log_parser_stats」旗標可啟用記錄剖析器效能統計數據的粗略分析方法,即使對疑難解答很有用,也可能大幅增加記錄數目,並增加效能額外負荷。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_planner_stats' 資料庫旗標已設定為 'off'
描述:可以多種方式執行相同的 SQL 查詢,但仍會產生不同的結果。 PostgreSQL 規劃工具/優化器負責為每個查詢建立最佳執行計劃。 「log_planner_stats」旗標可控制在每個查詢的PostgreSQL記錄中包含PostgreSQL規劃工具效能統計數據。 「log_planner_stats」旗標可啟用記錄 PostgreSQL 規劃工具效能統計數據的粗略分析方法,即使對疑難解答很有用,也可能大幅增加記錄數目,而且會有效能額外負荷。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_statement_stats' 資料庫旗標已設定為 'off'
描述:「log_statement_stats」旗標可控制在每個查詢的 PostgreSQL 記錄中包含 SQL 查詢的端對端效能統計數據。 這無法與其他模組統計數據一起啟用(log_parser_stats、log_planner_stats、log_executor_stats)。 “log_statement_stats” 旗標可讓粗略分析方法記錄 SQL 查詢的端對端效能統計數據。 這很適合用於疑難解答,但可能會大幅增加記錄數目,而且會有效能額外負荷。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定計算實例沒有公用IP位址
描述:計算實例不應設定為具有外部IP位址。
若要減少受攻擊面,計算實例不應該有公用IP位址。 相反地,實例應該設定在負載平衡器後方,以將實例暴露在因特網上的可能性降到最低。
GKE 所建立的實例應該排除,因為其中有些實例具有外部IP位址,而且無法藉由編輯實例設定來變更。
這些 VM 的名稱 gke-
開頭為 ,且標示為 goog-gke-node
。
嚴重性:高
確定實例未設定為使用預設服務帳戶
描述:建議您將實例設定為不使用預設計算引擎服務帳戶,因為它在專案上具有編輯器角色。
默認的計算引擎服務帳戶具有專案的編輯器角色,可讓您讀取和寫入大多數 Google 雲端服務。
若要防範 VM 遭到入侵的許可權提升,並防止攻擊者取得您所有專案的存取權,建議您不要使用預設的計算引擎服務帳戶。
相反地,您應該建立新的服務帳戶,並只指派實例所需的許可權。
預設的計算引擎服務帳戶名為 [PROJECT_NUMBER]- compute@developer.gserviceaccount.com
。
應該排除 GKE 所建立的 VM。 這些 VM 的名稱 gke-
開頭為 ,且標示為 goog-gke-node
。
嚴重性:高
確定實例未設定為使用預設服務帳戶,且具有所有雲端 API 的完整存取權
描述:若要支援最低許可權的原則,並防止潛在的許可權提升,建議您不要將實例指派給預設服務帳戶「計算引擎默認服務帳戶」,並具有「允許所有雲端 API 的完整存取權」。Google Compute Engine 除了選擇性地建立、管理及使用使用者管理的自定義服務帳戶之外,還提供預設服務帳戶「計算引擎默認服務帳戶」,讓實例存取必要的雲端服務。
「專案編輯器」角色會指派給「計算引擎預設服務帳戶」,因此,除了計費之外,此服務帳戶幾乎具有所有雲端服務的所有功能。 不過,當指派給實例的「計算引擎默認服務帳戶」時,它可以在三個範圍內運作。
- 允許預設存取:只允許執行實例所需的最低存取權(最低許可權)。
- 允許所有雲端 API 的完整存取:允許所有雲端 API/服務的完整存取權(太多存取權)。
- 設定每個 API 的存取權:允許實例系統管理員只選擇執行實例預期之特定商務功能所需的 API。
當實例以「計算引擎預設服務帳戶」設定為「允許存取所有雲端 API」的範圍時,根據指派給使用者存取實例的 IAM 角色,它可能會允許使用者執行該使用者不應該執行的雲端作業/API 呼叫,導致許可權提升成功。
應該排除 GKE 所建立的 VM。 這些 VM 的名稱 gke-
開頭為 ,且標示為 goog-gke-node
。
嚴重性:中
確定實例上未啟用IP轉送
描述:除非封包的來源IP位址符合實例的IP位址,否則計算引擎實例無法轉送封包。 同樣地,GCP 不會傳遞目的地 IP 位址與接收封包之實例的 IP 位址不同的封包。 不過,如果您想要使用 實例來協助路由封包,則需要這兩項功能。 應該停用數據封包轉送,以防止數據遺失或資訊洩漏。 除非封包的來源IP位址符合實例的IP位址,否則計算引擎實例無法轉送封包。 同樣地,GCP 不會傳遞目的地 IP 位址與接收封包之實例的 IP 位址不同的封包。 不過,如果您想要使用 實例來協助路由封包,則需要這兩項功能。 若要啟用此來源和目的地 IP 檢查,請停用 canIpForward 欄位,讓實例能夠傳送和接收具有非相符目的地或來源 IP 的封包。
嚴重性:中
確定 Cloud SQL PostgreSQL 實例的 'log_checkpoints' 資料庫旗標已設定為 'on'
描述:確定 Cloud SQL PostgreSQL 實例的 log_checkpoints 資料庫旗標已設定為 開啟。 啟用log_checkpoints會導致檢查點和重新啟動點記錄在伺服器記錄檔中。 記錄訊息中包含一些統計數據,包括寫入的緩衝區數目,以及寫入它們所花費的時間。 此參數只能在 postgresql.conf 檔案或伺服器命令行上設定。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_lock_waits' 資料庫旗標已設定為 'on'
描述:啟用 PostgreSQL 實例的「log_lock_waits」旗標,會針對任何需要比分配的「deadlock_timeout」時間更長的時間取得鎖定的會話等候,建立記錄檔。 死結逾時會定義在檢查任何條件之前等待鎖定的時間。 死結逾時的頻繁執行可能表示基礎問題。 藉由啟用log_lock_waits旗標來記錄這類鎖定等候,可用來識別因鎖定延遲而效能不佳,或者,如果特製的 SQL 正嘗試透過保留鎖定過多的時間來耗盡資源。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_min_duration_statement' 資料庫旗標已設定為 '-1'
描述:「log_min_duration_statement」 旗標會以毫秒為單位定義語句的運行時間下限,其中記錄語句的總持續時間。 請確定已停用 「log_min_duration_statement」 也就是已設定 -1 的值。 記錄 SQL 語句可能包含不應記錄在記錄中的敏感性資訊。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
請確定已適當地設定 Cloud SQL PostgreSQL 實例的 「log_min_messages」資料庫旗標
描述:「log_min_error_statement」旗標會定義視為錯誤語句的最低訊息嚴重性層級。 錯誤語句的訊息會與 SQL 語句一起記錄。 有效值包括 “DEBUG5”、“DEBUG4”、“DEBUG3”、“DEBUG2”、“DEBUG1”、“INFO”、“NOTICE”、“WARNING”、“ERROR”、“LOG”、“FATAL” 和 “PANIC”。每個嚴重性層級都包含上述的後續層級。 若要有效地關閉記錄失敗語句,請將此參數設定為 PANIC。 錯誤會被視為最佳做法設定。 只有根據組織的記錄原則進行變更。 稽核有助於針對作業問題進行疑難解答,也允許鑑識分析。 如果 「log_min_error_statement」 未設定為正確的值,訊息可能不會適當地分類為錯誤訊息。 將一般記錄訊息視為錯誤訊息會使得難以找到實際錯誤,同時只考慮更嚴格的嚴重性層級,因為錯誤訊息可能會略過實際錯誤來記錄其 SQL 語句。 「log_min_error_statement」旗標應根據組織的記錄原則來設定。 這項建議適用於PostgreSQL資料庫實例。
嚴重性:低
確定 Cloud SQL PostgreSQL 實例的 'log_temp_files' 資料庫旗標已設定為 '0'
描述:P ostgreSQL 可以在這些作業超過「work_mem」時,建立動作的暫存盤,例如排序、哈希和暫存查詢結果。“log_temp_files” 旗標會控制刪除記錄名稱和檔案大小。 將 「log_temp_files」 設定為 0 會導致記錄所有暫存盤資訊,而正值只會記錄大小大於或等於指定 KB 數目的檔案。 值 “-1” 會停用暫存盤信息記錄。 如果未記錄所有暫存盤,可能較難找出潛在的效能問題,可能是因為應用程式程式代碼撰寫不佳或刻意的資源耗盡嘗試所造成。
嚴重性:低
確定重要 VM 的 VM 磁碟會使用客戶提供的加密金鑰加密
描述:客戶提供的加密金鑰 (CSEK) 是 Google 雲端記憶體和 Google 計算引擎中的一項功能。 如果您提供自己的加密金鑰,Google 會使用金鑰來保護用來加密和解密數據之 Google 產生的金鑰。 根據預設,Google Compute Engine 會加密待用所有數據。 計算引擎會為您處理和管理此加密,而不需要您進行任何其他動作。 不過,如果您想要自行控制和管理此加密,您可以提供自己的加密密鑰。 根據預設,Google Compute Engine 會加密待用所有數據。 計算引擎會為您處理和管理此加密,而不需要您進行任何其他動作。 不過,如果您想要自行控制和管理此加密,您可以提供自己的加密密鑰。 如果您提供自己的加密金鑰,計算引擎會使用金鑰來保護用來加密和解密資料之 Google 產生的金鑰。 只有可以提供正確金鑰的使用者可以使用客戶提供的加密金鑰所保護的資源。 Google 不會將金鑰儲存在其伺服器上,除非您提供金鑰,否則無法存取受保護的數據。 這也表示,如果您忘記或遺失密鑰,Google 就無法復原密鑰,也無法復原使用遺失密鑰加密的任何數據。 至少業務關鍵 VM 應該使用 CSEK 加密的 VM 磁碟。
嚴重性:中
GCP 專案應已啟用 Azure Arc 自動布建
描述:如需伺服器Microsoft Defender 中安全性內容的完整可見度,GCP VM 實例應該連線到 Azure Arc。為了確保所有合格的 VM 實例都會自動接收 Azure Arc,請在 GCP 專案層級啟用從 適用於雲端的 Defender 自動布建。 深入瞭解適用於伺服器的 Azure Arc 和 Microsoft Defender。
嚴重性:高
GCP VM 實例應該連線到 Azure Arc
描述:將您的 GCP 虛擬機器 連線到 Azure Arc,以便完整檢視 Microsoft Defender for Servers 安全性內容。 深入瞭解 Azure Arc,以及如何在混合式雲端環境中Microsoft適用於伺服器的 Defender。
嚴重性:高
GCP VM 實例應該已安裝作業系統設定代理程式
描述:若要使用 Azure Arc 自動布建來接收完整的適用於伺服器的 Defender 功能,GCP VM 應該已啟用作業系統設定代理程式。
嚴重性:高
應啟用 GKE 叢集的自動修復功能
描述:此建議會針對索引鍵/值組 'key': 'autoRepair,' 'value': true,評估節點集區的管理屬性。
嚴重性:中
應啟用 GKE 叢集的自動升級功能
描述:此建議會針對索引鍵/值組 'key': 'autoUpgrade,' 'value': true,評估節點集區的管理屬性。
嚴重性:高
應啟用 GKE 叢集的監視
描述:此建議會評估叢集的 monitoringService 屬性是否包含雲端監視應該用來寫入計量的位置。
嚴重性:中