數據安全性建議

發行項
08/07/2024

本文列出您可能會在適用於雲端的 Microsoft Defender 中看到的所有數據安全性建議。

您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

若要瞭解您可以採取以回應這些建議的動作，請參閱補救適用於雲端的 Defender 中的建議。

提示

如果建議描述顯示 [沒有相關原則]，通常是因為該建議相依於不同的建議。

描述：GitHub 會在偵測到影響存放庫的程式代碼相依性弱點時傳送 Dependabot 警示。弱點是專案程序代碼中可能會遭到惡意探索的問題，以損害專案的機密性、完整性或可用性，或使用其程序代碼的其他專案。弱點的類型、嚴重性和攻擊方法會有所不同。當程式代碼相依於有安全性弱點的套件時，此易受攻擊的相依性可能會導致一系列問題。（無相關政策）

嚴重性：中

GitHub 存放庫應該已啟用秘密掃描

描述：GitHub 會掃描存放庫是否有已知類型的秘密，以防止意外認可至存放庫的秘密遭到詐騙。秘密掃描會在 GitHub 存放庫中所有分支上掃描整個 Git 歷程記錄，以取得任何秘密。秘密的範例包括服務提供者可以簽發的令牌和私鑰來進行驗證。如果秘密簽入存放庫，任何具有存放庫讀取許可權的人都可以使用秘密來存取具有這些許可權的外部服務。秘密應該儲存在專案的存放庫外部的專用安全位置。（無相關政策）

嚴重性：高

應啟用適用於 Azure SQL 資料庫伺服器的 Microsoft Defender

描述：Microsoft適用於 SQL 的 Defender 是提供進階 SQL 安全性功能的整合套件。它包含顯示和緩和潛在資料庫弱點的功能、偵測可能表示資料庫威脅的異常活動，以及探索和分類敏感數據。

此方案的保護會依 [Defender 方案] 頁面上所示收費。如果您沒有此訂用帳戶中的任何 Azure SQL 資料庫伺服器，則不會向您收費。如果您稍後在此訂用帳戶上建立 Azure SQL 資料庫伺服器，系統會自動加以保護，並開始收費。瞭解每個區域的定價詳細數據。

深入了解適用於 SQL 的 Microsoft Defender 簡介。（相關原則：應啟用適用於 Azure SQL 資料庫伺服器的 Azure Defender）。

嚴重性：高

應啟用適用於 DNS 的 defender Microsoft

描述：Microsoft適用於 DNS 的 Defender 會持續監視來自 Azure 資源的所有 DNS 查詢，為您的雲端資源提供額外的保護層。適用於 DNS 的 Defender 會針對 DNS 層的可疑活動發出警示。若要深入瞭解，請參閱適用於 DNS Microsoft Defender 的簡介。啟用此 Defender 方案會產生費用。瞭解適用於雲端的 Defender 定價頁面上每個區域的定價詳細數據：適用於雲端的 Defender 定價。（無相關政策）

嚴重性：高

應啟用適用於開放原始碼關係資料庫的 Microsoft Defender

描述：Microsoft適用於開放原始碼關係資料庫的 Defender 會偵測異常活動，指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。深入瞭解適用於開放原始碼關係資料庫的 Microsoft Defender 簡介。

描述：在公開的 Web 應用程式前部署 Azure Web 應用程式防火牆（WAF），以進一步檢查連入流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式，使其免於遭受常見惡意探索和弱點的攻擊，例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。您也可以透過自訂規則，來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。（相關原則：應為 Azure Front Door Service 啟用 Web 應用程式防火牆（WAF？service）

S3 貯體應已啟用伺服器端加密

描述：啟用伺服器端加密來保護 S3 貯體中的數據。加密數據可防止在數據外泄時存取敏感數據。

嚴重性：中

設定自動輪替的秘密管理員秘密應該會順利輪替

描述：此控件會根據輪替排程，檢查 AWS 秘密管理員秘密是否順利輪替。如果 RotationOccurringAsScheduled 為 false，控件就會失敗。控件不會評估未設定輪替的秘密。秘密管理員可協助您改善組織的安全性狀態。秘密包括資料庫認證、密碼和第三方 API 金鑰。您可以使用秘密管理員集中儲存秘密、自動加密秘密、控制秘密的存取，以及安全地自動輪替秘密。秘密管理員可以輪替秘密。您可以使用輪替，將長期秘密取代為短期秘密。輪替您的秘密會限制未經授權的使用者可以使用遭入侵秘密的時間長度。基於這個理由，您應該經常輪替秘密。除了設定秘密自動輪替之外，您也應該確定這些秘密會根據輪替排程順利輪替。若要深入瞭解輪替，請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密。

嚴重性：中

秘密管理員秘密應在指定的天數內輪替

描述：此控件會檢查您的秘密是否已在90天內至少輪替一次。輪替秘密可協助您降低在 AWS 帳戶中未經授權使用秘密的風險。範例包括資料庫認證、密碼、第三方 API 金鑰，甚至是任意文字。如果您長時間不變更秘密，秘密更有可能遭到入侵。隨著更多使用者存取秘密，可能會讓某人誤判並洩露給未經授權的實體。秘密可以透過記錄和快取數據洩漏。其可共用以進行偵錯，且在偵錯完成後不會變更或撤銷。基於所有這些原因，秘密應該經常輪替。您可以在 AWS 秘密管理員中設定秘密來自動輪替。使用自動輪替，您可以將長期秘密取代為短期秘密，大幅降低入侵的風險。安全性中樞建議您啟用秘密管理員秘密的輪替。若要深入瞭解輪替，請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密。

嚴重性：中

描述：此控件會檢查 SNS 主題是否使用 AWS KMS 加密待用。加密待用數據可降低使用者未向 AWS 驗證之磁碟上所儲存數據的風險。它也會新增另一組訪問控制，以限制未經授權的使用者存取數據的能力。例如，需要 API 許可權才能解密數據，才能讀取數據。 SNS 主題應以待用加密，以增加一層安全性。如需詳細資訊，請參閱 Amazon Simple Notification Service 開發人員指南中的待用加密。

嚴重性：中

所有 VPN 流量記錄都應該啟用

描述：[API 流量記錄] 可讓您查看通過 HTTP 的網路流量，並可用來偵測安全性事件期間的異常流量或深入解析。

嚴重性：中

GCP 數據建議

請確定 Cloud SQL Server 實例的 '3625 （追蹤旗標）' 資料庫旗標已設定為 'off'

描述：建議將 Cloud SQL Server 實例的 “3625 （追蹤旗標）” 資料庫旗標設定為 “off”。追蹤旗標經常用來診斷效能問題，或偵錯預存程式或複雜的計算機系統，但也可能建議 Microsoft 支援服務來解決對特定工作負載造成負面影響的行為。按照指示使用時，生產環境完全支援所有記錄的追蹤旗標，以及 Microsoft 支援服務所提供的建議。「3625（追蹤記錄檔）」藉由使用「******」遮罩某些錯誤訊息的參數，限制傳回給非系統管理員固定伺服器角色成員的使用者所傳回的資訊量。這樣做有助於避免洩漏機密資訊。因此，建議停用此旗標。此建議適用於 SQL Server 資料庫實例。

嚴重性：中

確定雲端 SQL SQL Server 實例的「外部腳本已啟用」資料庫旗標已設定為 'off'

描述：建議將 Cloud SQL Server 實例的「外部腳本已啟用」資料庫旗標設定為關閉。「啟用外部文稿」可讓您執行具有特定遠端語言延伸模組的腳本。依預設，此屬性為 OFF。安裝 Advanced Analytics Services 時，安裝程式可以選擇性地將此屬性設定為 true。因為「啟用外部腳本」功能可讓 SQL 外部的腳本，例如 R 連結庫中的檔案執行，這可能會對系統的安全性造成負面影響，因此應該停用此功能。此建議適用於 SQL Server 資料庫實例。

嚴重性：高

確定 Cloud SQL SQL Server 實例的 [遠端存取] 資料庫旗標已設定為 [關閉]

描述：建議將 Cloud SQL Server 實例的「遠端訪問」資料庫旗標設定為「關閉」。[遠端存取] 選項會控制從 SQL Server 實體執行所在的本機或遠端伺服器執行預存程式。這個選項的預設值為 1。這會授與權限以從遠端伺服器執行本機預存程序，或從本機伺服器執行遠端預存程序。若要防止從遠端伺服器執行本機預存程式，或從遠端預存程式在本機伺服器上執行，則必須停用此功能。 [遠端存取] 選項會控制遠端伺服器或本機伺服器上的遠端預存程式執行本機預存程式。透過將查詢處理卸除至目標，可能會濫用「遠端訪問」功能，以對遠端伺服器啟動拒絕服務（DoS）攻擊，因此應該停用此功能。此建議適用於 SQL Server 資料庫實例。

嚴重性：高

確定 Cloud SQL Mysql 實例的 'skip_show_database' 資料庫旗標已設定為 'on'

描述：建議將 Cloud SQL Mysql 實例的「skip_show_database」資料庫旗標設定為「開啟」。'skip_show_database' 資料庫旗標可防止人員沒有 SHOW DATABASES 許可權時使用 SHOW DATABASES 語句。如果您擔心用戶能夠看到屬於其他用戶的資料庫，這可以改善安全性。其效果取決於 SHOW DATABASES 許可權：如果變數值為 ON，則 SHOW DATABASES 語句只允許具有 SHOW DATABASES 許可權的使用者，而語句會顯示所有資料庫名稱。如果值為 OFF，則所有用戶都允許 SHOW DATABASES，但只會顯示使用者具有 SHOW DATABASES 或其他許可權的資料庫名稱。此建議適用於 Mysql 資料庫實例。

嚴重性：低

確定已為所有 BigQuery 資料集指定預設客戶管理的加密金鑰（CMEK）

描述：BigQuery 預設會使用 Google 受控密碼編譯密鑰來使用信封加密來加密待用的數據。數據會使用數據加密金鑰進行加密，而數據加密金鑰本身會使用金鑰加密金鑰進一步加密。這是無縫的，不需要使用者的任何其他輸入。不過，如果您想要擁有更大的控制權，客戶管理的加密密鑰（CMEK）可用來作為 BigQuery 資料集的加密金鑰管理解決方案。根據預設，BigQuery 會使用 Google 受控密碼編譯密鑰來採用信封加密來加密待用的數據。這是無縫的，不需要使用者的任何其他輸入。為了更充分地控制加密，客戶管理的加密密鑰（CMEK）可用來作為 BigQuery 數據集的加密金鑰管理解決方案。為數據集設定預設客戶管理的加密金鑰（CMEK）可確保如果未提供其他資料表，未來建立的任何資料表都會使用指定的 CMEK。

Google 不會將金鑰儲存在其伺服器上，除非您提供金鑰，否則無法存取受保護的數據。

這也表示，如果您忘記或遺失密鑰，Google 就無法復原密鑰，也無法復原使用遺失密鑰加密的任何數據。

嚴重性：中

確定所有 BigQuery 資料表都使用客戶管理的加密金鑰加密（CMEK）

描述：BigQuery 預設會使用 Google 受控密碼編譯密鑰來使用信封加密來加密待用的數據。數據會使用數據加密金鑰進行加密，而數據加密金鑰本身會使用金鑰加密金鑰進一步加密。這是無縫的，不需要使用者的任何其他輸入。不過，如果您想要擁有更大的控制權，客戶管理的加密密鑰（CMEK）可用來作為 BigQuery 資料集的加密金鑰管理解決方案。如果使用 CMEK，CMEK 會用來加密資料加密金鑰，而不是使用 Google 管理的加密金鑰。根據預設，BigQuery 會使用 Google 受控密碼編譯密鑰來採用信封加密來加密待用的數據。這是無縫的，不需要使用者的任何其他輸入。為了更充分掌控加密，客戶管理的加密密鑰（CMEK）可用來作為 BigQuery 數據表的加密金鑰管理解決方案。 CMEK 是用來加密資料加密金鑰，而不是使用 Google 管理的加密金鑰。 BigQuery 會自動儲存數據表和 CMEK 關聯，並自動完成加密/解密。在 BigQuery 數據集上套用預設客戶管理的金鑰可確保未來建立的所有新數據表都會使用 CMEK 加密，但需要更新現有的數據表，才能個別使用 CMEK。

描述：建議在雲端記憶體貯體上啟用統一貯體層級存取。建議您使用統一貯體層級存取來統一，並簡化您授與雲端記憶體資源的存取權的方式。雲端記憶體提供兩個系統，可授與使用者存取貯體和對象的許可權：雲端身分識別和存取管理（雲端 IAM）和存取控制清單（ACL）。
這些系統會以平行方式運作 - 為了讓使用者存取雲端記憶體資源，只有其中一個系統需要授與用戶許可權。雲端 IAM 會在整個 Google Cloud 中使用，並可讓您在貯體和專案層級授與各種許可權。 ACL 只能由雲端記憶體使用，而且具有有限的許可權選項，但可讓您根據每個物件授與許可權。

描述：建議針對 SQL 實例組態變更建立計量篩選和警示。監視 SQL 實例組態變更的變更可能會縮短在 SQL Server 上偵測和更正錯誤設定所需的時間。以下是一些可能會影響 SQL 實例安全性狀態的可設定選項：

啟用自動備份和高可用性：設定錯誤可能會對商務持續性、災害復原和高可用性造成負面影響
授權網路：設定錯誤可能會增加未受信任網路的風險

嚴重性：低

確定每個服務帳戶只有 GCP 管理的服務帳戶金鑰

描述：使用者管理的服務帳戶不應該有使用者管理的密鑰。任何有權存取金鑰的人員都可以透過服務帳戶存取資源。雲端平台服務會使用 GCP 管理的金鑰，例如應用程式引擎和計算引擎。無法下載這些金鑰。谷歌將保留金鑰，並自動輪替它們大約每周。使用者管理的金鑰是由使用者建立、可下載及管理。他們從創造期滿10年。針對使用者管理的金鑰，用戶必須取得金鑰管理活動的擁有權，其中包括：

金鑰儲存體
金鑰散發
金鑰撤銷
金鑰輪替
未經授權的使用者密鑰保護
金鑰修復

即使有密鑰擁有者預防措施，金鑰也可以透過不太理想的常見開發做法來洩漏，例如將密鑰簽入原始程式碼或將它們留在下載目錄中，或不小心將它們留在支援部落格/頻道。建議防止使用者管理的服務帳戶密鑰。

嚴重性：低

確定已適當地設定 Cloud SQL SQL Server 實例的「用戶連線」資料庫旗標

描述：建議根據組織定義的值，為 Cloud SQL Server 實例設定「用戶連線」資料庫旗標。 [用戶連線] 選項會指定 SQL Server 實例上允許的同時使用者連線數目上限。允許的實際用戶連線數目也取決於您所使用的 SQL Server 版本，以及應用程式或應用程式和硬體的限制。 SQL Server 最多允許 32,767 筆使用者連線。因為使用者連線是動態的（自我設定）選項，SQL Server 會視需要自動調整用戶連線數目上限，最多允許的最大值。例如，如果只有 10 個使用者登入，就配置 10 個使用者連線物件。在大部分情況下，您不需要變更此選項的值。預設值為 0，表示允許最大量 (32,767) 的使用者連接數。此建議適用於 SQL Server 資料庫實例。

嚴重性：低

確定未設定 Cloud SQL Server 實例的「用戶選項」資料庫旗標

描述：建議不要設定 Cloud SQL Server 實例的「用戶選項」資料庫旗標。 [使用者選項] 選項會指定所有使用者的全域預設值。會為使用者工作階段的持續時間建立預設查詢處理選項的清單。用戶選項設定可讓您變更 SET 選項的預設值（如果伺服器的預設設定不適用）。使用者可以使用 SET 陳述式來覆寫這些預設值。您可以動態設定 user options 以供新的登入使用。變更使用者選項的設定之後，新的登入會話會使用新的設定;目前的登入會話不會受到影響。此建議適用於 SQL Server 資料庫實例。

嚴重性：低

共用方式為

數據安全性建議

Azure 數據建議

AWS 數據建議