數據安全性建議
本文列出您可能會在 適用於雲端的 Microsoft Defender 中看到的所有數據安全性建議。
您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。
若要瞭解您可以採取以回應這些建議的動作,請參閱補救 適用於雲端的 Defender 中的建議。
提示
如果建議描述顯示 [沒有相關原則],通常是因為該建議相依於不同的建議。
例如,應該補救端點保護健康情況失敗的建議取決於檢查是否已安裝 Endpoint Protection 解決方案的建議(應安裝 Endpoint Protection 解決方案)。 基礎建議 確實 有原則。 將原則限制為僅限基礎建議可簡化原則管理。
Azure 數據建議
Azure Cosmos DB 應停用公用網路存取
描述:停用公用網路存取可藉由確保您的 Cosmos DB 帳戶不會公開在公用因特網上來改善安全性。 建立私人端點可限制您 Cosmos DB 帳戶的曝光。 深入了解。 (相關原則:Azure Cosmos DB 應停用公用網路存取)。
嚴重性:中
(必要時開啟)Azure Cosmos DB 帳戶應使用客戶管理的密鑰來加密待用數據
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,數據會以服務管理的密鑰進行待用加密,但客戶管理的密鑰 (CMK) 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 在 https://aka.ms/cosmosdb-cmk 深入了解 CMK 加密。 (相關原則: Azure Cosmos DB 帳戶應使用客戶自控密鑰來加密待用數據。
嚴重性:低
(必要時開啟)Azure 機器學習 工作區應使用客戶管理的金鑰加密 (CMK)
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 使用客戶管理的金鑰來管理 Azure 機器學習 工作區數據的待用加密(CMK)。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有 CMK 才能符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 在 https://aka.ms/azureml-workspaces-cmk 深入了解 CMK 加密。 (相關原則: Azure 機器學習 工作區應使用客戶管理的金鑰 (CMK) 加密。
嚴重性:低
Azure SQL Database 應執行 TLS 1.2 版或更新版本
描述:將 TLS 版本設定為 1.2 或更新版本,藉由確保您的 Azure SQL 資料庫 只能從使用 TLS 1.2 或更新版本的用戶端存取,藉此改善安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 (相關原則:Azure SQL Database 應執行 TLS 1.2 版或更新版本)。
嚴重性:中
Azure SQL 受控執行個體應停用公用網路存取
描述:停用 Azure SQL 受控執行個體 上的公用網路存取(公用端點)可藉由確保只能從虛擬網路內部或透過私人端點存取,以改善安全性。 深入了解公用網路存取。 (相關原則:Azure SQL 受控執行個體應停用公用網路存取)。
嚴重性:中
Cosmos DB 帳戶應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 當私人端點對應至Cosmos DB帳戶時,數據外泄風險會降低。 深入了解私人連結。 (相關原則:Cosmos DB 帳戶應該使用私人連結)。
嚴重性:中
(必要時開啟)MySQL 伺服器應該使用客戶管理的金鑰來加密待用數據
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設,數據會以服務管理的密鑰進行待用加密,但客戶管理的密鑰 (CMK) 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 (相關原則: 應該為 MySQL 伺服器啟用您自己的金鑰資料保護。
嚴重性:低
(必要時開啟)PostgreSQL 伺服器應使用客戶自控密鑰來加密待用數據
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,數據會以服務管理的密鑰進行待用加密,但客戶管理的密鑰 (CMK) 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 (相關原則: 應該為 PostgreSQL 伺服器啟用您自己的金鑰數據保護。
嚴重性:低
(必要時開啟)SQL 受控實例應該使用客戶管理的金鑰來加密待用數據
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 (相關原則: SQL 受控實例應使用客戶管理的金鑰來加密待用數據。
嚴重性:低
(必要時開啟)SQL 伺服器應使用客戶管理的金鑰來加密待用數據
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 (相關原則: SQL 伺服器應使用客戶管理的金鑰來加密待用數據。
嚴重性:低
(必要時開啟)儲存體帳戶應使用客戶管理的金鑰 (CMK) 進行加密
描述:預設不會評估使用客戶自控密鑰加密待用數據的建議,但可用於適用案例。 數據會使用平臺管理的密鑰自動加密,因此只有在合規性或限制性原則需求強制時,才應套用客戶管理的密鑰。 若要啟用此建議,請流覽至適用範圍的安全策略,並更新 對應原則的 Effect 參數,以稽核或使用客戶管理的密鑰。 若要深入瞭解,請參閱 管理安全策略。 使用客戶自控金鑰 (CMK) 以更大的彈性保護您的記憶體帳戶。 當您指定 CMK 時,該金鑰會用來保護和控制加密資料的密鑰存取。 使用 CMK 可提供其他功能來控制金鑰加密金鑰的輪替,或以密碼編譯方式清除數據。 (相關原則: 儲存體帳戶應使用客戶管理的金鑰 (CMK) 進行加密。
嚴重性:低
應不允許記憶體帳戶公用存取
描述:Azure 儲存體 中容器和 Blob 的匿名公用讀取許可權是共用數據的便利方式,但可能會造成安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。
相關原則: 應不允許記憶體帳戶公用存取
嚴重性:中
所有進階威脅防護類型都應該在 SQL 受控實例進階數據安全性設定中啟用
描述:建議您在 SQL 受控實例上啟用所有進階威脅防護類型。 啟用所有類型可防範 SQL 插入、資料庫弱點,以及任何其他異常活動。 (無相關政策)
嚴重性:中
所有進階威脅防護類型都應該在 SQL Server 進階資料安全性設定中啟用
描述:建議您在 SQL 伺服器上啟用所有進階威脅防護類型。 啟用所有類型可防範 SQL 插入、資料庫弱點,以及任何其他異常活動。 (無相關政策)
嚴重性:中
API 管理服務應使用虛擬網路
描述:Azure 虛擬網絡 部署提供增強的安全性、隔離,並可讓您將 API 管理 服務放在可控制存取的非因特網路中。 接著,這些網路可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站和 API 閘道可以設定為可從網際網路存取,或只能在虛擬網路內存取。 (相關原則: API 管理 服務應該使用虛擬網路)。
嚴重性:中
應用程式設定應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 (相關原則: 應用程式組態 應該使用私人連結)。
嚴重性:中
SQL 伺服器的稽核保留期應設定為至少 90 天
描述:稽核稽核保留期間少於90天的SQL伺服器。 (相關原則: SQL 伺服器應設定為 90 天的稽核保留期或更新版本。
嚴重性:低
應啟用 SQL 伺服器上的稽核
描述:在您的 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的資料庫活動,並將其儲存在稽核記錄中。 (相關原則: 應啟用 SQL Server 上的稽核。
嚴重性:低
訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建
描述:若要監視安全性弱點和威脅,適用於雲端的 Microsoft Defender 從 Azure 虛擬機收集數據。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 (相關原則: 應該在您的訂用帳戶上啟用Log Analytics代理程式的自動布建。
嚴重性:低
Azure Cache for Redis 應位於虛擬網路內
描述:Azure 虛擬網絡 (VNet) 部署為您的 Azure Cache for Redis 以及子網、訪問控制原則和其他功能提供增強的安全性和隔離,以進一步限制存取。 當 Azure Cache for Redis 實例設定為 VNet 時,它無法公開尋址,而且只能從 VNet 內的虛擬機和應用程式存取。 (相關原則: Azure Cache for Redis 應該位於虛擬網路內。
嚴重性:中
適用於 MySQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員
描述:為您的 適用於 MySQL 的 Azure 資料庫 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可簡化資料庫使用者和其他 Microsoft 服務 的許可權管理和集中式身分識別管理(相關原則:應為 MySQL 伺服器布建 Azure Active Directory 系統管理員)。
嚴重性:中
適用於 PostgreSQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員
描述:為您的 適用於 PostgreSQL 的 Azure 資料庫 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別
(相關原則: 應為 PostgreSQL 伺服器布建 Azure Active Directory 系統管理員。
嚴重性:中
適用於 PostgreSQL 的 Azure 資料庫彈性伺服器,應該只啟用 Microsoft Entra 驗證
描述:停用本機驗證方法並要求Microsoft Entra 驗證可改善安全性,方法是確保 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器只能透過Microsoft Entra 身分識別來存取 (相關原則:Azure PostgreSQL 彈性伺服器應已啟用Microsoft僅限 Entra Authentication)。
嚴重性:中
Azure Cosmos DB 帳戶應具有防火牆規則
描述:應在 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權的來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 (相關原則: Azure Cosmos DB 帳戶應具有防火牆規則)。
嚴重性:中
Azure 事件方格網域應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至事件方格網域,而不是整個服務,您也會受到保護,免於數據外泄風險。 深入了解:https://aka.ms/privateendpoints。 (相關原則: Azure 事件方格 網域應該使用私人連結)。
嚴重性:中
Azure 事件方格主題應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的主題,而不是整個服務,您也會受到保護,免於數據外泄風險。 深入了解:https://aka.ms/privateendpoints。 (相關原則: Azure 事件方格 主題應使用私人連結)。
嚴重性:中
Azure Machine Learning 工作區應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure 機器學習 工作區,而不是整個服務,您也會受到保護,以免數據外泄風險。 深入了解:https://aka.ms/azureml-workspaces-privatelink。 (相關原則: Azure 機器學習 工作區應使用私人連結)。
嚴重性:中
Azure SignalR Service 應使用私人連結
描述:Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應到您的 SignalR 資源,而不是整個服務,您也會受到保護,免於數據外泄風險。 深入了解:https://aka.ms/asrs/privatelink。 (相關原則: Azure SignalR Service 應使用私人連結。
嚴重性:中
Azure Spring Cloud 應使用網路插入
描述:Azure Spring Cloud 實例應針對下列用途使用虛擬網路插入:1。 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊 (相關原則: Azure Spring Cloud 應該使用網路插入。
嚴重性:中
SQL Server 應該已布建 Azure Active Directory 系統管理員
描述:為您的 SQL Server 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可簡化資料庫使用者和其他 Microsoft 服務 的許可權管理和集中式身分識別管理。 (相關原則: 應為 SQL Server 布建 Azure Active Directory 系統管理員。
嚴重性:高
Azure Synapse 工作區驗證模式應為僅限 Azure Active Directory
描述:Azure Synapse 工作區驗證模式應為僅限 Azure Active Directory 的 Azure Active Directory 驗證方法,藉由確保 Synapse 工作區完全需要 Azure AD 身分識別進行驗證,來改善安全性。 深入了解。 (相關原則: Synapse 工作區應該只使用 Azure Active Directory 身分識別進行驗證。
嚴重性:中
程式代碼存放庫應該已解決程式代碼掃描結果
描述:適用於DevOps的Defender在程式代碼存放庫中發現弱點。 若要改善存放庫的安全性狀態,強烈建議您補救這些弱點。 (無相關政策)
嚴重性:中
程式代碼存放庫應該已解決 Dependabot 掃描結果
描述:適用於DevOps的Defender在程式代碼存放庫中發現弱點。 若要改善存放庫的安全性狀態,強烈建議您補救這些弱點。 (無相關政策)
嚴重性:中
程式代碼存放庫應具有基礎結構,因為程式代碼掃描結果已解決
描述:適用於DevOps的Defender在存放庫中發現基礎結構即程式代碼安全性設定問題。 範本檔案中偵測到下列問題。 若要改善相關雲端資源的安全性狀態,強烈建議您補救這些問題。 (無相關政策)
嚴重性:中
程式代碼存放庫應該已解決秘密掃描結果
描述:適用於DevOps的Defender已在程式代碼存放庫中找到秘密。 這應該立即補救,以避免發生安全性缺口。 在存放庫中發現的秘密可由敵人洩漏或探索,導致應用程式或服務遭到入侵。 針對 Azure DevOps,Microsoft Security DevOps CredScan 工具只會掃描其設定為執行所在的組建。 因此,結果可能不會反映存放庫中秘密的完整狀態。 (無相關政策)
嚴重性:高
認知服務帳戶應啟用數據加密
描述:此原則會稽核未使用數據加密的任何認知服務帳戶。 針對每個具有記憶體的帳戶,您應該使用客戶管理的或Microsoft受控密鑰來啟用數據加密。 (相關原則: 認知服務帳戶應啟用數據加密。
嚴重性:低
認知服務帳戶應使用客戶擁有的記憶體或啟用數據加密
描述:此原則會稽核未使用客戶擁有的記憶體和數據加密的任何認知服務帳戶。 針對具有記憶體的每個認知服務帳戶,請使用客戶擁有的記憶體或啟用數據加密。 與 Microsoft Cloud Security Benchmark 一致。 (相關原則: 認知服務帳戶應使用客戶擁有的記憶體或啟用數據加密。
嚴重性:低
應啟用 Azure Data Lake Store 中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應啟用 Azure Data Lake Store 中的診斷記錄。
嚴重性:低
應該啟用Data Lake Analytics中的診斷記錄
描述:啟用記錄並保留最多一年。 這可讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。 (相關原則: 應該啟用Data Lake Analytics中的診斷記錄。
嚴重性:低
應針對高嚴重性警示啟用電子郵件通知
描述:若要確保組織中相關人員在其中一個訂用帳戶中有潛在的安全性缺口時收到通知,請在 適用於雲端的 Defender 中啟用高嚴重性警示的電子郵件通知。 (相關原則: 應啟用高嚴重性警示的電子郵件通知。
嚴重性:低
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知
描述:為了確保訂用帳戶擁有者在其訂用帳戶中有潛在的安全性缺口時收到通知,請將電子郵件通知設定為訂用帳戶擁有者,以取得 適用於雲端的 Defender 中的高嚴重性警示。 (相關原則: 應啟用高嚴重性警示的訂用帳戶擁有者的電子郵件通知。
嚴重性:中
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線]
描述:適用於 MySQL 的 Azure 資料庫 支援使用安全套接字層 (SSL) 將 適用於 MySQL 的 Azure 資料庫 伺服器連線到用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 (相關原則: 應為 MySQL 資料庫伺服器啟用強制 SSL 連線。
嚴重性:中
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線]
描述:適用於 PostgreSQL 的 Azure 資料庫 支援使用安全套接字層將 適用於 PostgreSQL 的 Azure 資料庫 伺服器連線到用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 (相關原則: 應為 PostgreSQL 資料庫伺服器啟用強制 SSL 連線。
嚴重性:中
函式應用程式應已解決弱點結果
描述:函式的運行時間弱點掃描會掃描函式應用程式是否有安全性弱點,並公開詳細的結果。 解決弱點可以大幅改善無伺服器應用程式的安全性狀態,並保護它們免於遭受攻擊。 (無相關政策)
嚴重性:高
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份
描述:適用於 MariaDB 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體,其中數據不僅儲存在伺服器裝載所在的區域內,也會復寫到配對的區域,以在發生區域失敗時提供復原選項。 只有在建立伺服器時,才允許設定備份的異地備援記憶體。 (相關原則: 應針對 適用於 MariaDB 的 Azure 資料庫 啟用異地備援備份)。
嚴重性:低
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份
描述:適用於 MySQL 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體,其中數據不僅儲存在伺服器裝載所在的區域內,也會復寫到配對的區域,以在發生區域失敗時提供復原選項。 只有在建立伺服器時,才允許設定備份的異地備援記憶體。 (相關原則: 應針對 適用於 MySQL 的 Azure 資料庫 啟用異地備援備份)。
嚴重性:低
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份
描述:適用於 PostgreSQL 的 Azure 資料庫 可讓您選擇資料庫伺服器的備援選項。 它可以設定為異地備援備份記憶體,其中數據不僅儲存在伺服器裝載所在的區域內,也會復寫到配對的區域,以在發生區域失敗時提供復原選項。 只有在建立伺服器時,才允許設定備份的異地備援記憶體。 (相關原則: 應針對 適用於 PostgreSQL 的 Azure 資料庫 啟用異地備援備份)。
嚴重性:低
GitHub 存放庫應該已啟用程式代碼掃描
描述:GitHub 會使用程式代碼掃描來分析程序代碼,以尋找程式代碼中的安全性弱點和錯誤。 程式代碼掃描可用來尋找、分級和排定程式代碼中現有問題的修正程式。 程式代碼掃描也可以防止開發人員引入新的問題。 掃描可以排程特定天數和時間,或在存放庫中發生特定事件時觸發掃描,例如推送。 如果程式代碼掃描在程式代碼中發現潛在的弱點或錯誤,GitHub 會在存放庫中顯示警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題,以損害專案的機密性、完整性或可用性。 (無相關政策)
嚴重性:中
GitHub 存放庫應該已啟用 Dependabot 掃描
描述:GitHub 會在偵測到影響存放庫的程式代碼相依性弱點時傳送 Dependabot 警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題,以損害專案的機密性、完整性或可用性,或使用其程序代碼的其他專案。 弱點的類型、嚴重性和攻擊方法會有所不同。 當程式代碼相依於有安全性弱點的套件時,此易受攻擊的相依性可能會導致一系列問題。 (無相關政策)
嚴重性:中
GitHub 存放庫應該已啟用秘密掃描
描述:GitHub 會掃描存放庫是否有已知類型的秘密,以防止意外認可至存放庫的秘密遭到詐騙。 秘密掃描會在 GitHub 存放庫中所有分支上掃描整個 Git 歷程記錄,以取得任何秘密。 秘密的範例包括服務提供者可以簽發的令牌和私鑰來進行驗證。 如果秘密簽入存放庫,任何具有存放庫讀取許可權的人都可以使用秘密來存取具有這些許可權的外部服務。 秘密應該儲存在專案的存放庫外部的專用安全位置。 (無相關政策)
嚴重性:高
應啟用適用於 Azure SQL 資料庫 伺服器的 Microsoft Defender
描述:Microsoft適用於 SQL 的 Defender 是提供進階 SQL 安全性功能的整合套件。 它包含顯示和緩和潛在資料庫弱點的功能、偵測可能表示資料庫威脅的異常活動,以及探索和分類敏感數據。
此方案的保護會依 [Defender 方案] 頁面上所示收費。 如果您沒有此訂用帳戶中的任何 Azure SQL 資料庫 伺服器,則不會向您收費。 如果您稍後在此訂用帳戶上建立 Azure SQL 資料庫 伺服器,系統會自動加以保護,並開始收費。 瞭解 每個區域的定價詳細數據。
深入了解 適用於 SQL 的 Microsoft Defender 簡介。 (相關原則: 應啟用適用於 Azure SQL 資料庫 伺服器的 Azure Defender)。
嚴重性:高
應啟用適用於 DNS 的 defender Microsoft
描述:Microsoft適用於 DNS 的 Defender 會持續監視來自 Azure 資源的所有 DNS 查詢,為您的雲端資源提供額外的保護層。 適用於 DNS 的 Defender 會針對 DNS 層的可疑活動發出警示。 若要深入瞭解,請參閱 適用於 DNS Microsoft Defender 的簡介。 啟用此 Defender 方案會產生費用。 瞭解 適用於雲端的 Defender 定價頁面上每個區域的定價詳細數據:適用於雲端的 Defender 定價。 (無相關政策)
嚴重性:高
應啟用適用於開放原始碼關係資料庫的 Microsoft Defender
描述:Microsoft適用於開放原始碼關係資料庫的 Defender 會偵測異常活動,指出存取或惡意探索資料庫時發生異常且可能有害的嘗試。 深入瞭解 適用於開放原始碼關係資料庫的 Microsoft Defender 簡介。
啟用此方案會產生保護開放原始碼關係資料庫的費用。 如果您沒有此訂用帳戶中的任何開放原始碼關係資料庫,則不會產生任何費用。 如果您在未來在此訂用帳戶上建立任何開放原始碼關係資料庫,這些資料庫將會自動受到保護,而且費用會從該時間開始。 (無相關政策)
嚴重性:高
應啟用適用於 Resource Manager 的 Defender Microsoft
描述:Microsoft適用於 Resource Manager 的 Defender 會自動監視您組織中的資源管理作業。 適用於雲端的 Defender 偵測到有關可疑活動的威脅和警示。 深入瞭解 適用於 Resource Manager 的 Microsoft Defender 簡介。 啟用此 Defender 方案會產生費用。 瞭解 適用於雲端的 Defender 定價頁面上每個區域的定價詳細數據:適用於雲端的 Defender 定價。 (無相關政策)
嚴重性:高
應在工作區上啟用適用於 SQL 的 Microsoft Defender
描述:適用於伺服器的 Microsoft Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。 在訂用帳戶上啟用此 Defender 方案,但未在您的工作區上啟用,您需支付適用於伺服器的 Microsoft Defender 完整功能,但缺少部分權益。 當您在工作區上啟用適用於伺服器的 Microsoft Defender 時,向該工作區回報的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費,即使這些計算機是在未啟用 Defender 方案的訂用帳戶中也一樣。 除非您也針對訂用帳戶上的伺服器啟用 Microsoft Defender,否則這些機器將無法利用 Azure 資源的 Just-In-Time VM 存取、調適型應用程控和網路偵測。 若要深入瞭解,請參閱 適用於伺服器的 Microsoft Defender 簡介。 (無相關政策)
嚴重性:中
應啟用機器上適用於 SQL 伺服器的 Microsoft Defender
描述:Microsoft適用於 SQL 的 Defender 是提供進階 SQL 安全性功能的整合套件。 它包含顯示和緩和潛在資料庫弱點的功能、偵測可能表示資料庫威脅的異常活動,以及探索和分類敏感數據。
補救此建議會導致在機器上保護您的 SQL 伺服器產生費用。 如果您在此訂用帳戶的機器上沒有任何 SQL 伺服器,則不會產生任何費用。 如果您在未來在此訂用帳戶的計算機上建立任何 SQL 伺服器,這些伺服器將會自動受到保護,而且費用會從該時間開始。 深入瞭解Microsoft機器上適用於 SQL 伺服器的 Defender。 (相關原則: 應啟用適用於機器上的適用於 SQL 伺服器的 Azure Defender。
嚴重性:高
應針對未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Microsoft Defender
描述:Microsoft適用於 SQL 的 Defender 是提供進階 SQL 安全性功能的整合套件。 它浮出水面並減輕潛在的資料庫弱點,並偵測可能表示資料庫威脅的異常活動。 Microsoft適用於 SQL 的 Defender 計費,如每個區域的定價詳細數據所示。 (相關原則: 應在 SQL 伺服器上啟用進階資料安全性。
嚴重性:高
應針對未受保護的 SQL 受管理執行個體 啟用適用於 SQL 的 Microsoft Defender
描述:Microsoft適用於 SQL 的 Defender 是提供進階 SQL 安全性功能的整合套件。 它浮出水面並減輕潛在的資料庫弱點,並偵測可能表示資料庫威脅的異常活動。 Microsoft適用於 SQL 的 Defender 計費,如每個區域的定價詳細數據所示。 (相關原則: 應在 SQL 受管理執行個體 上啟用進階數據安全性)。
嚴重性:高
應啟用適用於儲存體的 Microsoft Defender
描述:Microsoft適用於記憶體的 Defender 偵測到存取或惡意探索記憶體帳戶的異常和潛在有害嘗試。
此方案的保護會依 [Defender 方案] 頁面上所示收費。 如果您沒有此訂用帳戶中的任何 Azure 儲存體 帳戶,則不會向您收費。 如果您稍後在此訂用帳戶上建立 Azure 儲存體 帳戶,系統會自動保護帳戶,並開始收費。 瞭解 每個區域的定價詳細數據。 若要深入瞭解,請參閱 適用於記憶體的 Microsoft Defender 簡介。 (相關原則: 應啟用適用於記憶體的 Azure Defender。
嚴重性:高
應啟用網路監看員
描述:網路監看員 是一項區域服務,可讓您在 Azure 的網路案例層級監視和診斷條件。 情節層級監視可讓您以端對端網路層級的觀點來診斷問題。 網路監看員所提供的網路診斷和視覺效果工具可協助您了解、診斷及取得 Azure 中網路的見解。 (相關原則: 應啟用 網路監看員)。
嚴重性:低
應對 Azure SQL Database 啟用私人端點連線
描述:私人端點聯機會啟用 Azure SQL 資料庫 的私人連線,以強制執行安全通訊。 (相關原則: 應啟用 Azure SQL 資料庫 上的私人端點連線。
嚴重性:中
MariaDB 伺服器應啟用私人端點
描述:私人端點聯機會啟用 適用於 MariaDB 的 Azure 資料庫 的私人連線,以強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 (相關原則: 應為 MariaDB 伺服器啟用私人端點。
嚴重性:中
MySQL 伺服器應啟用私人端點
描述:私人端點聯機會啟用 適用於 MySQL 的 Azure 資料庫 的私人連線,以強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 (相關原則: 應為 MySQL 伺服器啟用私人端點。
嚴重性:中
PostgreSQL 伺服器應啟用私人端點
描述:私人端點聯機會啟用 適用於 PostgreSQL 的 Azure 資料庫 的私人連線,以強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 (相關原則: 應該為 PostgreSQL 伺服器啟用私人端點。
嚴重性:中
應對 Azure SQL Database 停用公用網路存取
描述:停用公用網路存取屬性可確保 Azure SQL 資料庫 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 (相關原則: 應停用 Azure SQL 資料庫 上的公用網路存取。
嚴重性:中
應停用認知服務帳戶的公用網路存取
描述:此原則會稽核環境中已啟用公用網路存取權的任何認知服務帳戶。 應停用公用網路存取,只允許來自私人端點的連線。 (相關原則: 認知服務帳戶應停用公用網路存取。
嚴重性:中
應為 MariaDB 伺服器停用公用網路存取
描述:停用公用網路存取屬性以改善安全性,並確保只能從私人端點存取您的 適用於 MariaDB 的 Azure 資料庫。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 (相關原則: 應停用 MariaDB 伺服器的公用網路存取。
嚴重性:中
應為 MySQL 伺服器停用公用網路存取
描述:停用公用網路存取屬性以改善安全性,並確保只能從私人端點存取您的 適用於 MySQL 的 Azure 資料庫。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 (相關原則: MySQL 伺服器應停用公用網路存取。
嚴重性:中
應為 PostgreSQL 伺服器停用公用網路存取
描述:停用公用網路存取屬性以改善安全性,並確保只能從私人端點存取您的 適用於 PostgreSQL 的 Azure 資料庫。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 (相關原則: PostgreSQL 伺服器應停用公用網路存取。
嚴重性:中
Redis 快取應該只允許透過SSL存取
描述:僅透過 SSL 與 Redis 快取啟用連線。 使用安全連線可確保伺服器與服務之間的驗證,並保護傳輸中的數據不受網路層攻擊,例如中間人、竊聽和會話劫持。 (相關原則: 應該只啟用與 Azure Cache for Redis 的安全連線。
嚴重性:高
SQL 資料庫應已解決發現的弱點
描述:SQL 弱點評估會掃描您的資料庫是否有安全性弱點,並公開任何與最佳做法的偏差,例如設定錯誤、過度許可權和未受保護的敏感數據。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 深入瞭解 (相關原則: 應補救 SQL 資料庫上的弱點)。
嚴重性:高
SQL 受控實例應該已設定弱點評估
描述:弱點評估可以探索、追蹤及協助您補救潛在的資料庫弱點。 (相關原則: 弱點評估應在 SQL 受管理執行個體 上啟用)。
嚴重性:高
機器上的 SQL Server 應已解決發現的弱點
描述:SQL 弱點評估會掃描您的資料庫是否有安全性弱點,並公開任何與最佳做法的偏差,例如設定錯誤、過度許可權和未受保護的敏感數據。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 深入瞭解 (相關原則: 應補救計算機上 SQL Server 上的弱點)。
嚴重性:高
SQL Server 應該已布建 Azure Active Directory 系統管理員
描述:為您的 SQL Server 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可簡化許可權管理和集中式身分識別管理資料庫使用者和其他 Microsoft 服務。 (相關原則: 應為 SQL Server 布建 Azure Active Directory 系統管理員。
嚴重性:高
SQL Server 應該已設定弱點評估
描述:弱點評估可以探索、追蹤及協助您補救潛在的資料庫弱點。 (相關原則: 應在 SQL 伺服器上啟用弱點評估。
嚴重性:高
記憶體帳戶應使用私人連結連線
描述:私人鏈接會藉由提供記憶體帳戶的私人連線來強制執行安全通訊(相關原則: 記憶體帳戶應使用私人連結連線)。
嚴重性:中
儲存體帳戶應移轉至新的 Azure Resource Manager 資源
描述:若要受益於 Azure Resource Manager 中的新功能,您可以從傳統部署模型移轉現有的部署。 Resource Manager 可啟用安全性增強功能,例如:更強大的訪問控制 (RBAC)、更好的稽核、ARM 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證的支援,以及標籤和資源群組的支援,以方便安全性管理。 深入瞭解 (相關原則: 應將記憶體帳戶移轉至新的 Azure Resource Manager 資源。
嚴重性:低
儲存體帳戶應防止共用金鑰存取
描述:稽核 Azure Active Directory (Azure AD) 授權記憶體帳戶要求的需求。 根據預設,您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。 在這兩種類型的授權中,Azure AD 可提供優於共用金鑰的絕佳安全性且容易使用,因此 Microsoft 建議使用此方法。 (相關政策: 原則)
嚴重性:中
儲存體帳戶應使用虛擬網路規則來限制網路存取
描述:使用虛擬網路規則作為慣用方法,而不是以IP為基礎的篩選,保護您的記憶體帳戶免於潛在的威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 (相關原則: 記憶體帳戶應使用虛擬網路規則來限制網路存取。
嚴重性:中
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題
描述:若要確保組織中相關人員在其中一個訂用帳戶中有潛在的安全性缺口時收到通知,請設定安全性聯繫人以接收來自 適用於雲端的 Defender 的電子郵件通知。 (相關原則: 訂用帳戶應有安全性問題的聯絡人電子郵件位址)
嚴重性:低
應在 SQL 資料庫上啟用透明資料加密
描述:啟用透明數據加密以保護待用數據並符合合規性需求(相關原則:應啟用 SQL 資料庫上的 透明資料加密)。
嚴重性:低
VM 映像產生器範本應使用私人連結
描述:稽核未設定虛擬網路的 VM 映射產生器範本。 未設定虛擬網路時,會改為建立及使用公用IP,這可能會直接向因特網公開資源,並增加潛在的攻擊面。 (相關原則: VM 映像產生器範本應使用私人連結)。
嚴重性:中
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF)
描述:在公開的 Web 應用程式前面部署 Azure Web 應用程式防火牆 (WAF),以進一步檢查連入流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 (相關原則: Web 應用程式防火牆 (WAF) 應針對 應用程式閘道 啟用)。
嚴重性:低
應針對 Azure Front Door Service 啟用 Web 應用程式防火牆 (WAF)
描述:在公開的 Web 應用程式前部署 Azure Web 應用程式防火牆 (WAF),以進一步檢查連入流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 (相關原則: 應為 Azure Front Door Service 啟用 Web 應用程式防火牆 (WAF?service)
嚴重性:低
AWS 數據建議
Amazon Aurora 叢集應該已啟用回溯功能
描述:此控件會檢查 Amazon Aurora 叢集是否已啟用回溯。 備份可協助您更快速地從安全性事件復原。 它們也會強化系統的復原能力。 極光回溯可縮短將資料庫復原到某個時間點的時間。 不需要還原資料庫。 如需在極光中回溯的詳細資訊,請參閱 Amazon Aurora 使用者指南中的回溯極光 DB 叢集 。
嚴重性:中
Amazon EBS 快照集不應該公開還原
描述:除非明確允許,否則 Amazon EBS 快照集不應由所有人公開還原,以避免意外暴露數據。 此外,變更 Amazon EBS 設定的許可權應僅限於授權的 AWS 帳戶。
嚴重性:高
Amazon ECS 工作定義應具有安全的網路模式和用戶定義
描述:此控件會檢查具有主機網路模式的作用中 Amazon ECS 工作定義是否也具有特殊許可權或使用者容器定義。 如果工作定義具有主機網路模式和容器定義,privileged=false 或是空的,且 user=root 或是空的,則控件會失敗。 如果工作定義具有較高的許可權,這是因為客戶特別選擇加入該組態。 當工作定義已啟用主機網路功能,但客戶未選擇提高許可權時,此控件會檢查非預期的許可權提升。
嚴重性:高
Amazon Elasticsearch Service 網域應該加密節點之間傳送的數據
描述:此控件會檢查 Amazon ES 網域是否已啟用節點對節點加密。 HTTPS (TLS) 可用來協助防止潛在的攻擊者竊聽或使用中間人或類似攻擊來操縱網路流量。 只允許透過 HTTPS (TLS) 的加密連線。 啟用 Amazon ES 網域的節點對節點加密可確保在傳輸中加密叢集內部通訊。 此設定可能會有效能降低。 您應該先注意並測試效能取捨,再啟用此選項。
嚴重性:中
Amazon Elasticsearch Service 網域應該已啟用待用加密
描述:請務必啟用其餘 Amazon ES 網域的加密以保護敏感數據
嚴重性:中
Amazon RDS 資料庫應使用客戶管理的金鑰進行加密
描述:此檢查會識別以預設 KMS 金鑰加密的 RDS 資料庫,而不是使用客戶管理的金鑰。 作為主要作法,使用客戶管理的密鑰來加密 RDS 資料庫上的數據,並維護對敏感數據工作負載的密鑰和數據的控制。
嚴重性:中
Amazon RDS 實例應設定為自動備份設定
描述:此檢查會識別未設定自動備份設定的 RDS 實例。 如果已設定自動備份,RDS 會建立 DB 實例的記憶體磁碟區快照集,並備份整個 DB 實例,而不只是個別資料庫,以提供時間點復原。 自動備份會在指定的備份時段時間進行,並保留保留期間中所定義的有限時間。 建議您為重要的 RDS 伺服器設定自動備份,以協助數據還原程式。
嚴重性:中
Amazon Redshift 叢集應該已啟用稽核記錄
描述:此控件會檢查 Amazon Redshift 叢集是否已啟用稽核記錄。 Amazon Redshift 稽核記錄提供叢集中連線和用戶活動的其他資訊。 此數據可以在 Amazon S3 中儲存及保護,並有助於安全性稽核和調查。 如需詳細資訊,請參閱 Amazon Redshift 叢集管理指南中的資料庫稽核記錄。
嚴重性:中
Amazon Redshift 叢集應該已啟用自動快照集
描述:此控件會檢查 Amazon Redshift 叢集是否已啟用自動化快照集。 它也會檢查快照集保留期間是否大於或等於 7。 備份可協助您更快速地從安全性事件復原。 它們可強化系統的復原能力。 Amazon Redshift 預設會採用定期快照集。 此控件會檢查是否啟用自動快照集,並保留至少七天。 如需 Amazon Redshift 自動化快照集的詳細資訊,請參閱 Amazon Redshift 叢集管理指南中的自動化快照集。
嚴重性:中
Amazon Redshift 叢集應禁止公用存取
描述:建議您使用 Amazon Redshift 叢集,藉由評估叢集組態專案中的 [publiclyAccessible] 字段來避免公用存取。
嚴重性:高
Amazon Redshift 應該會自動升級至已啟用主要版本
描述:此控件會檢查 Amazon Redshift 叢集是否已啟用自動主要版本升級。 啟用自動主要版本升級可確保在維護期間安裝 Amazon Redshift 叢集的最新主要版本更新。 這些更新可能包含安全性修補程式和錯誤修正。 讓修補程式安裝保持最新狀態是保護系統的重要步驟。
嚴重性:中
Amazon SQS 佇列應該在待用時加密
描述:此控件會檢查 Amazon SQS 佇列是否在待用時加密。 伺服器端加密 (SSE) 可讓您在加密的佇列中傳輸敏感數據。 為了保護佇列中訊息的內容,SSE 會使用 AWS KMS 中管理的密鑰。 如需詳細資訊,請參閱 Amazon Simple Queue Service 開發人員指南中的待用 加密。
嚴重性:中
應針對重大叢集事件設定 RDS 事件通知訂用帳戶
描述:此控件會檢查 Amazon RDS 事件訂閱是否存在,且已啟用下列來源類型的通知:事件類別索引鍵/值組。 DBCluster:[維護和失敗]。 RDS 事件通知會使用 Amazon SNS,讓您知道 RDS 資源的可用性或設定變更。 這些通知允許快速回應。 如需 RDS 事件通知的詳細資訊,請參閱 Amazon RDS 使用者指南中的使用 Amazon RDS 事件通知 。
嚴重性:低
應針對重要資料庫實例事件設定 RDS 事件通知訂閱
描述:此控件會檢查 Amazon RDS 事件訂閱是否存在,並啟用下列來源類型的通知:事件類別索引鍵/值組。 DBInstance
:[維護、設定變更和失敗]。
RDS 事件通知會使用 Amazon SNS,讓您知道 RDS 資源的可用性或設定變更。 這些通知允許快速回應。
如需 RDS 事件通知的詳細資訊,請參閱 Amazon RDS 使用者指南中的使用 Amazon RDS 事件通知 。
嚴重性:低
應針對重要資料庫參數群組事件設定 RDS 事件通知訂閱
描述:此控件會檢查 Amazon RDS 事件訂閱是否存在,並啟用下列來源類型的通知:事件類別索引鍵/值組。 DBParameterGroup: [“configuration”,“change”]。 RDS 事件通知會使用 Amazon SNS,讓您知道 RDS 資源的可用性或設定變更。 這些通知允許快速回應。 如需 RDS 事件通知的詳細資訊,請參閱 Amazon RDS 使用者指南中的使用 Amazon RDS 事件通知 。
嚴重性:低
應針對重要資料庫安全組事件設定 RDS 事件通知訂用帳戶
描述:此控件會檢查 Amazon RDS 事件訂閱是否存在,並啟用下列來源類型的通知:事件類別索引鍵/值組。DBSecurityGroup:[設定、變更、失敗]。 RDS 事件通知會使用 Amazon SNS,讓您知道 RDS 資源的可用性或設定變更。 這些通知允許快速回應。 如需 RDS 事件通知的詳細資訊,請參閱 Amazon RDS 使用者指南中的使用 Amazon RDS 事件通知 。
嚴重性:低
應啟用 API 閘道 REST 和 WebSocket API 記錄
描述:此控件會檢查 Amazon API 閘道 REST 或 WebSocket API 的所有階段是否已啟用記錄。 如果未針對階段的所有方法啟用記錄,或記錄層級不是 ERROR 或 INFO,控件就會失敗。 API 閘道 REST 或 WebSocket API 階段應該已啟用相關的記錄。 API 閘道 REST 和 WebSocket API 執行記錄提供對 API 閘道 REST 和 WebSocket API 階段提出的要求詳細記錄。 這些階段包括 API 整合後端回應、Lambda 授權者回應,以及 AWS 整合端點的 requestId。
嚴重性:中
API 閘道 REST API 快取數據應該在待用時加密
描述:此控件會檢查已啟用快取之 API 閘道 REST API 階段中的所有方法是否已加密。 如果 API 閘道 REST API 階段中的任何方法設定為快取且快取未加密,控制件就會失敗。 加密待用數據可降低使用者未向 AWS 驗證之磁碟上所儲存數據的風險。 它會新增另一組訪問控制,以限制未經授權的使用者存取數據的能力。 例如,需要 API 許可權才能解密數據,才能讀取數據。 API 閘道 REST API 快取應以待用加密,以增加一層安全性。
嚴重性:中
API 閘道 REST API 階段應設定為使用 SSL 憑證進行後端驗證
描述:此控件會檢查 Amazon API 閘道 REST API 階段是否已設定 SSL 憑證。 後端系統使用這些憑證來驗證傳入要求是否來自 API 閘道。 API 閘道 REST API 階段應設定 SSL 憑證,以允許後端系統驗證來自 API 閘道的要求。
嚴重性:中
API 閘道 REST API 階段應已啟用 AWS X 光追蹤
描述:此控件會檢查 AWS X-Ray 作用中追蹤是否為 Amazon API 閘道 REST API 階段啟用。 X-Ray 主動追蹤可讓您更快速地響應基礎結構中的效能變更。 效能的變更可能會導致 API 的可用性不足。 X-Ray 主動追蹤提供即時計量,可透過您的 API 閘道 REST API 作業和連線服務流動的使用者要求。
嚴重性:低
API 閘道應該與 AWS WAF Web ACL 相關聯
描述:此控件會檢查 API 閘道階段是否使用 AWS WAF Web 存取控制清單(ACL)。 如果 AWS WAF Web ACL 未連結至 REST API 閘道階段,此控制件就會失敗。 AWS WAF 是 Web 應用程式防火牆,可協助保護 Web 應用程式和 API 免受攻擊。 它可讓您設定 ACL,這是一組規則,可根據您定義的可自定義 Web 安全性規則和條件來允許、封鎖或計算 Web 要求。 請確定您的 API 閘道階段與 AWS WAF Web ACL 相關聯,以協助防止惡意攻擊。
嚴重性:中
應啟用應用程式和傳統Load Balancer記錄
描述:此控件會檢查應用程式 Load Balancer 和傳統 Load Balancer 是否已啟用記錄。 如果 access_logs.s3.enabled
為 false,則控件會失敗。
彈性負載平衡提供存取記錄,可擷取傳送至負載平衡器之要求的詳細資訊。 每個記錄都包含資訊,例如收到要求的時間、用戶端的IP位址、延遲、要求路徑和伺服器回應。 您可以使用存取記錄來分析流量模式,並針對問題進行疑難解答。
若要深入瞭解,請參閱 傳統Load Balancer使用者指南中的傳統Load Balancer 存取記錄。
嚴重性:中
附加的 EBS 磁碟區應以待用加密
描述:此控件會檢查處於附加狀態的 EBS 磁碟區是否已加密。 若要通過這項檢查,EBS 磁碟區必須使用並加密。 如果未附加 EBS 磁碟區,則不會進行這項檢查。 若要在 EBS 磁碟區中新增敏感數據的安全性層,您應該啟用待用 EBS 加密。 Amazon EBS 加密為您的 EBS 資源提供簡單的加密解決方案,不需要您建置、維護及保護您自己的密鑰管理基礎結構。 它會在建立加密的磁碟區和快照集時,使用 AWS KMS 客戶主要金鑰 (CMK)。 若要深入瞭解 Amazon EBS 加密,請參閱 適用於 Linux 實例的 Amazon EC2 使用者指南中的 Amazon EBS 加密 。
嚴重性:中
AWS 資料移轉服務 複寫實例不應為公用
描述:若要保護您的復寫實例免於威脅。 私人復寫實例應該具有私人IP位址,您無法在複寫網路外部存取。 當來源和目標資料庫位於相同網路時,複寫實例應該具有私人IP位址,而且網路會使用 VPN、AWS Direct Connect 或 VPN 對等互連連線到復寫實例的 VPN。 您也應該確保 AWS DMS 實例設定的存取權僅限於只有授權的使用者。 若要這樣做,請限制使用者的 IAM 許可權,以修改 AWS DMS 設定和資源。
嚴重性:高
傳統Load Balancer接聽程式應設定為 HTTPS 或 TLS 終止
描述:此控件會檢查您的傳統 Load Balancer 接聽程式是否已使用 HTTPS 或 TLS 通訊協議來設定前端(用戶端對負載平衡器)連線。 如果傳統Load Balancer有接聽程式,則控件適用。 如果您的傳統 Load Balancer 未設定接聽程式,則控件不會報告任何結果。 如果傳統Load Balancer接聽程式是針對前端連線使用TLS或 HTTPS 設定,控件就會通過。 如果接聽程式未針對前端連線設定 TLS 或 HTTPS,控件就會失敗。 開始使用負載平衡器之前,您必須先新增一或多個接聽程式。 接聽程式是使用已設定的通訊協定和埠來檢查連線要求的程式。 接聽程式可以同時支援 HTTP 和 HTTPS/TLS 通訊協定。 您應該一律使用 HTTPS 或 TLS 接聽程式,讓負載平衡器在傳輸中執行加密和解密的工作。
嚴重性:中
傳統Load Balancer應該已啟用連線清空
描述:此控件會檢查傳統Load Balancer是否已啟用連線清空。 在傳統 Load Balancer 上啟用連線清空,可確保負載平衡器會停止將要求傳送至取消註冊或狀況不良的實例。 它會讓現有的連線保持開啟。 這適用於自動調整群組中的實例,以確保連線不會突然中斷。
嚴重性:中
CloudFront 散發套件應已啟用 AWS WAF
描述:此控件會檢查 CloudFront 散發套件是否與 AWS WAF 或 AWS WAFv2 Web ACL 相關聯。 如果散發與 Web ACL 沒有關聯,控制件就會失敗。 AWS WAF 是 Web 應用程式防火牆,可協助保護 Web 應用程式和 API 免受攻擊。 它可讓您根據您定義的可自定義 Web 安全性規則和條件,設定一組稱為 Web 存取控制清單(Web ACL)的規則,允許、封鎖或計算 Web 要求。 請確定您的 CloudFront 散發套件與 AWS WAF Web ACL 相關聯,以協助防止其遭受惡意攻擊。
嚴重性:中
CloudFront 散發套件應該已啟用記錄功能
描述:此控件會檢查是否在 CloudFront 散發套件上啟用伺服器存取記錄。 如果未針對散發啟用存取記錄,控件就會失敗。 CloudFront 存取記錄提供有關 CloudFront 所接收之每個使用者要求的詳細資訊。 每個記錄檔都包含收到要求的日期和時間、提出要求的查看器IP位址、要求的來源,以及來自查看器的要求埠號碼等資訊。 這些記錄適用於安全性與存取稽核和鑑識調查等應用程式。 如需如何分析存取記錄的詳細資訊,請參閱 Amazon Athena 使用者指南中的查詢 Amazon CloudFront 記錄。
嚴重性:中
CloudFront 散發套件應要求傳輸中的加密
描述:此控件會檢查 Amazon CloudFront 散發套件是否需要檢視者直接使用 HTTPS,還是使用重新導向。 如果 ViewerProtocolPolicy 設定為 defaultCacheBehavior 或 cacheBehaviors 的 allow-all,控件就會失敗。 HTTPS (TLS) 可用來協助防止潛在的攻擊者使用中間人或類似的攻擊來竊聽或操作網路流量。 只允許透過 HTTPS (TLS) 的加密連線。 加密傳輸中的數據可能會影響效能。 您應該使用這項功能來測試應用程式,以瞭解效能配置檔和 TLS 的影響。
嚴重性:中
CloudTrail 記錄應該使用 KMS CMK 加密待用記錄
描述:建議設定 CloudTrail 以使用 SSE-KMS。 將 CloudTrail 設定為使用 SSE-KMS 可提供更多記錄數據的機密性控制,因為指定的用戶必須具有對應記錄貯體上的 S3 讀取許可權,而且必須由 CMK 原則授與解密許可權。
嚴重性:中
與 Amazon Redshift 叢集的連線應該在傳輸中加密
描述:此控件會檢查與 Amazon Redshift 叢集的連線是否需要在傳輸中使用加密。 如果 Amazon Redshift 叢集參數require_SSL未設定為 1,檢查就會失敗。 TLS 可用來協助防止潛在的攻擊者使用中間人或類似的攻擊來竊聽或操作網路流量。 應該只允許透過 TLS 的加密連線。 加密傳輸中的數據可能會影響效能。 您應該使用這項功能來測試應用程式,以瞭解效能配置檔和 TLS 的影響。
嚴重性:中
應使用 TLS 1.2 加密 Elasticsearch 網域的連線
描述:此控件會檢查是否需要使用 TLS 1.2 連線到 Elasticsearch 網域。 如果 Elasticsearch 網域 TLSSecurityPolicy 不是 Policy-Min-TLS-1-2-2019-07,則檢查會失敗。 HTTPS (TLS) 可用來協助防止潛在的攻擊者使用中間人或類似的攻擊來竊聽或操作網路流量。 只允許透過 HTTPS (TLS) 的加密連線。 加密傳輸中的數據可能會影響效能。 您應該使用這項功能來測試應用程式,以瞭解效能配置檔和 TLS 的影響。 TLS 1.2 提供數個舊版 TLS 的安全性增強功能。
嚴重性:中
DynamoDB 資料表應該已啟用時間點復原
描述:此控件會檢查 Amazon DynamoDB 數據表是否已啟用時間點復原(PITR)。 備份可協助您更快速地從安全性事件復原。 它們也會強化系統的復原能力。 DynamoDB 時間點復原會將 DynamoDB 數據表的備份自動化。 這可減少從意外刪除或寫入作業復原的時間。 已啟用 PITR 的 DynamoDB 資料表可以還原到過去 35 天內的任何時間點。
嚴重性:中
應啟用 EBS 預設加密
描述:此控件會檢查 Amazon Elastic Block Store(Amazon EBS) 預設是否啟用帳戶層級加密。 如果未啟用帳戶層級加密,控件就會失敗。 針對您的帳戶啟用加密時,Amazon EBS 磁碟區和快照集復本會在待用時加密。 這會為您的數據新增另一層保護。 如需詳細資訊,請參閱 Linux 實例的 Amazon EC2 使用者指南中的預設 加密。
下列實例類型不支援加密:R1、C1 和 M1。
嚴重性:中
彈性 Beanstalk 環境應該已啟用增強的健康情況報告
描述:此控件會檢查是否已為您的 AWS Elastic Beanstalk 環境啟用增強的健康情況報告。 彈性的 Beanstalk 增強健康情況報告可讓您更快速地響應基礎結構健康情況的變更。 這些變更可能會導致應用程式的可用性不足。 彈性的 Beanstalk 增強健康情況報告提供狀態描述元,可測量已識別問題的嚴重性,並找出可能調查的原因。 Elastic Beanstalk 健康情況代理程式包含在支援的 Amazon Machine Images (AMIS)中,會評估環境 EC2 實例的記錄和計量。
嚴重性:低
應啟用彈性 Beanstalk 受控平臺更新
描述:此控件會檢查是否已針對 Elastic Beanstalk 環境啟用受控平臺更新。 啟用受控平臺更新可確保已安裝環境的最新可用平臺修正、更新和功能。 讓修補程式安裝保持最新狀態是保護系統的重要步驟。
嚴重性:高
彈性負載平衡器不應在90天內過期或過期 ACM 憑證。
描述:此檢查會識別使用 ACM 憑證在 90 天內過期或過期的彈性負載平衡器 (ELB)。 AWS 憑證管理員 (ACM) 是布建、管理及部署伺服器憑證的慣用工具。 使用 ACM。 您可以要求憑證,或將現有的 ACM 或外部憑證部署到 AWS 資源。 最佳做法是建議重新匯入過期/過期的憑證,同時保留原始憑證的 ELB 關聯。
嚴重性:高
應啟用 Elasticsearch 網域錯誤記錄至 CloudWatch Logs
描述:此控件會檢查 Elasticsearch 網域是否已設定為將錯誤記錄傳送至 CloudWatch 記錄。 您應該啟用 Elasticsearch 網域的錯誤記錄,並將這些記錄傳送至 CloudWatch 記錄,以取得保留和回應。 網域錯誤記錄可協助安全性和存取稽核,並可協助診斷可用性問題。
嚴重性:中
Elasticsearch 網域應至少設定三個專用主要節點
描述:此控件會檢查 Elasticsearch 網域是否已設定至少三個專用主要節點。 如果網域不使用專用主要節點,此控件就會失敗。 如果 Elasticsearch 網域有五個專用的主要節點,此控件就會通過。 不過,使用三個以上的主要節點可能不需要降低可用性風險,而且會產生更多成本。 Elasticsearch 網域至少需要三個專用主要節點,以提供高可用性和容錯。 專用主要節點資源在數據節點藍/綠部署期間可能會變得緊張,因為有更多的節點需要管理。 部署具有至少三個專用主要節點的 Elasticsearch 網域,可確保節點失敗時有足夠的主要節點資源容量和叢集作業。
嚴重性:中
Elasticsearch 網域應該至少有三個數據節點
描述:此控件會檢查 Elasticsearch 網域是否已設定至少三個數據節點,而 zoneAwarenessEnabled 是否為 true。 Elasticsearch 網域至少需要三個數據節點,以提供高可用性和容錯。 部署具有至少三個數據節點的 Elasticsearch 網域可確保節點失敗時的叢集作業。
嚴重性:中
Elasticsearch 網域應該已啟用稽核記錄
描述:此控件會檢查 Elasticsearch 網域是否已啟用稽核記錄。 如果 Elasticsearch 網域未啟用稽核記錄,此控件就會失敗。 稽核記錄具有高度自定義性。 它們可讓您追蹤 Elasticsearch 叢集上的用戶活動,包括驗證成功和失敗、OpenSearch 的要求、索引變更,以及傳入的搜尋查詢。
嚴重性:中
應針對 RDS DB 實例和叢集設定增強監視
描述:此控件會檢查是否已為您的 RDS DB 實例啟用增強監視。 在 Amazon RDS 中,增強式監視可讓您更快速地響應基礎結構中的效能變更。 這些效能變更可能會導致數據的可用性不足。 增強型監視提供 RDS DB 實例執行之作業系統的即時計量。 實例上已安裝代理程式。 代理程式可以比 Hypervisor 層更準確地取得計量。 當您想要查看 DB 實例上的不同進程或線程如何使用 CPU 時,增強的監視計量很有用。 如需詳細資訊,請參閱 Amazon RDS 使用者指南中的增強式監視。
嚴重性:低
確定已啟用客戶建立 CMK 的輪替
描述:AWS 金鑰管理服務 (KMS) 可讓客戶輪替支援密鑰,這是儲存在 KMS 內,並系結至客戶建立客戶主要密鑰 (CMK) 金鑰標識碼的金鑰數據。 這是用來執行加密和解密等密碼編譯作業的備份密鑰。 自動化金鑰輪替目前會保留所有先前的備份金鑰,以便以透明方式解密加密的數據。 建議啟用 CMK 金鑰輪替。 輪替加密金鑰有助於降低遭入侵金鑰的潛在影響,因為使用新密鑰加密的數據無法使用可能已公開的先前密鑰來存取。
嚴重性:中
確定 CloudTrail S3 貯體上已啟用 S3 貯體存取記錄
描述:S3 貯體存取記錄會產生包含存取記錄的記錄,確保針對對 S3 貯體提出的每個要求在 CloudTrail S3 貯體上啟用 S3 貯體存取記錄。 存取記錄檔記錄包含要求的詳細數據,例如要求類型、要求中所指定的資源,以及處理要求的時間和日期。 建議您在 CloudTrail S3 貯體上啟用貯體存取記錄。 藉由在目標 S3 貯體上啟用 S3 貯體記錄,就可以擷取所有可能會影響目標貯體內物件的事件。 設定要放在個別貯體中的記錄可讓您存取記錄資訊,這在安全性和事件回應工作流程中很有用。
嚴重性:低
確定用來儲存 CloudTrail 記錄的 S3 貯體無法公開存取
描述:CloudTrail 會記錄 AWS 帳戶中每個 API 呼叫的記錄。 這些記錄檔會儲存在 S3 貯體中。 建議將貯體原則或訪問控制清單(ACL)套用至 CloudTrail 記錄的 S3 貯體,以防止公用存取 CloudTrail 記錄。 允許公用存取 CloudTrail 記錄內容,可能有助於攻擊者找出受影響帳戶使用或設定中的弱點。
嚴重性:高
IAM 不應該有過期的 SSL/TLS 憑證
描述:此檢查會識別過期的 SSL/TLS 憑證。 若要在 AWS 中啟用網站或應用程式的 HTTPS 連線,您需要 SSL/TLS 伺服器證書。 您可以使用 ACM 或 IAM 來儲存及部署伺服器證書。 拿掉過期的 SSL/TLS 憑證可消除將無效憑證意外部署到 AWS Elastic Load Balancer (ELB) 等資源的風險,這可能會損害 ELB 背後的應用程式/網站的信譽。 如果 AWS IAM 中儲存了任何過期的 SSL/TLS 憑證,這項檢查會產生警示。 最佳做法是建議刪除過期的憑證。
嚴重性:高
匯入的 ACM 憑證應該在指定的時段後更新
描述:此控件會檢查您帳戶中的 ACM 憑證是否在 30 天內標示為到期日。 它會檢查 AWS 憑證管理員所提供的匯入憑證和憑證。 ACM 可以自動更新使用 DNS 驗證的憑證。 對於使用電子郵件驗證的憑證,您必須回應網域驗證電子郵件。 ACM 也不會自動更新您匯入的憑證。 您必須手動更新匯入的憑證。 如需 ACM 憑證受控更新的詳細資訊,請參閱 AWS 憑證管理員使用者指南中的 ACM 憑證 受控更新。
嚴重性:中
應調查帳戶中過度布建的身分識別,以減少許可權爬行索引 (PCI)
描述:應調查帳戶中過度布建的身分識別,以減少許可權爬行索引 (PCI) 並保護您的基礎結構。 藉由移除未使用的高風險許可權指派來減少PCI。 高PCI反映與身分識別相關聯的風險,其許可權超過其一般或必要使用量。
嚴重性:中
應啟用 RDS 自動次要版本升級
描述:此控件會檢查 RDS 資料庫實例是否已啟用自動次要版本升級。 啟用自動次要版本升級可確保已安裝關係資料庫管理系統 (RDBMS) 的最新次要版本更新。 這些升級可能包括安全性修補程式和錯誤修正。 讓修補程式安裝保持最新狀態是保護系統的重要步驟。
嚴重性:高
RDS 叢集快照集和資料庫快照集應該在待用時加密
描述:此控件會檢查 RDS DB 快照集是否已加密。 此控件適用於 RDS DB 實例。 不過,它也可以針對極光 DB 實例、Neptune DB 實例和 Amazon DocumentDB 叢集的快照集產生結果。 如果這些發現沒有用處,您可以隱藏這些結果。 加密待用數據可降低未經驗證的使用者存取儲存在磁碟上之數據的風險。 RDS 快照集中的數據應以待用加密,以增加一層安全性。
嚴重性:中
RDS 叢集應已啟用刪除保護
描述:此控件會檢查 RDS 叢集是否已啟用刪除保護。 此控件適用於 RDS DB 實例。 不過,它也可以針對極光 DB 實例、Neptune DB 實例和 Amazon DocumentDB 叢集產生結果。 如果這些發現沒有用處,您可以隱藏這些結果。 啟用叢集刪除保護是防止未經授權的實體意外刪除或刪除資料庫的另一層保護。 啟用刪除保護時,就無法刪除 RDS 叢集。 刪除要求成功之前,必須先停用刪除保護。
嚴重性:低
應針對多個 可用性區域 設定 RDS DB 叢集
描述:應針對儲存的多個數據設定 RDS DB 叢集。 部署至多個 可用性區域 可讓 可用性區域 自動化,以確保可用性區域可用性問題及定期 RDS 維護事件期間發生 ed 故障轉移的可用性。
嚴重性:中
RDS DB 叢集應設定為將標籤複製到快照集
描述:識別和清查IT資產是治理和安全性的重要層面。 您必須能夠看見所有 RDS DB 叢集,以便評估其安全性狀態,並針對潛在的弱點區域採取行動。 快照集應該以與其父 RDS 資料庫叢集相同的方式標記。 啟用此設定可確保快照集繼承其父資料庫叢集的標記。
嚴重性:低
RDS DB 實例應設定為將標籤複製到快照集
描述:此控件會檢查 RDS DB 實例是否已設定為在建立快照集時將所有標籤複製到快照集。 識別和清查 IT 資產是治理和安全性的重要層面。 您必須能夠看見所有 RDS DB 實例,以便評估其安全性狀態,並針對潛在弱點區域採取動作。 快照集應該以與其父 RDS 資料庫實例相同的方式標記。 啟用此設定可確保快照集繼承其父資料庫實例的標記。
嚴重性:低
RDS DB 實例應設定多個 可用性區域
描述:此控件會檢查 RDS DB 實例是否已啟用高可用性。 應針對多個 可用性區域 設定 RDS DB 實例(AZ)。 這可確保儲存的數據可用性。 如果可用性區域可用性和一般 RDS 維護期間發生問題,多 AZ 部署可允許自動故障轉移。
嚴重性:中
RDS DB 實例應該已啟用刪除保護
描述:此控件會檢查使用其中一個所列資料庫引擎的 RDS DB 實例是否已啟用刪除保護。 啟用實例刪除保護是防止未經授權的實體意外刪除或刪除資料庫的另一層保護。 啟用刪除保護時,就無法刪除 RDS DB 實例。 刪除要求成功之前,必須先停用刪除保護。
嚴重性:低
RDS DB 實例應該已啟用待用加密
描述:此控件會檢查您的 Amazon RDS DB 實例是否已啟用記憶體加密。 此控件適用於 RDS DB 實例。 不過,它也可以針對極光 DB 實例、Neptune DB 實例和 Amazon DocumentDB 叢集產生結果。 如果這些發現沒有用處,您可以隱藏這些結果。 若要為 RDS DB 實例中的敏感數據新增一層安全性,您應該將 RDS DB 實例設定為待用加密。 若要加密您的 RDS DB 實例和待用快照集,請為您的 RDS DB 實例啟用加密選項。 待用加密的數據包括資料庫實例的基礎記憶體、其自動備份、讀取複本和快照集。 RDS 加密的 DB 實例會使用開放式標準 AES-256 加密演算法,在裝載 RDS DB 實例的伺服器上加密您的數據。 加密數據之後,Amazon RDS 會以透明方式處理數據的存取和解密驗證,對效能的影響最小。 您不需要修改資料庫用戶端應用程式以使用加密。 Amazon RDS 加密目前適用於所有資料庫引擎和儲存類型。 Amazon RDS 加密適用於大多數 DB 實例類別。 若要瞭解不支援 Amazon RDS 加密的 DB 實例類別,請參閱 Amazon RDS 使用者指南中的加密 Amazon RDS 資源。
嚴重性:中
RDS DB 實例應禁止公用存取
描述:建議您也藉由限制使用者的 IAM 許可權來修改 RDS 實例的設定和資源,以確保 RDS 實例設定的存取權僅限於授權的使用者。
嚴重性:高
RDS 快照集應禁止公用存取
描述:我們建議只允許授權的主體存取快照集並變更 Amazon RDS 組態。
嚴重性:高
拿掉未使用的秘密管理員秘密
描述:此控件會檢查您的秘密是否已在指定的天數記憶體取。 預設值是 90 天。 如果未在定義的天數記憶體取秘密,此控件就會失敗。 刪除未使用的秘密與輪替秘密一樣重要。 未使用的秘密可能會遭到其前使用者濫用,他們不再需要存取這些秘密。 此外,隨著更多用戶獲得秘密的存取權,有人可能誤判並洩露給未經授權的實體,這會增加濫用的風險。 刪除未使用的秘密有助於撤銷不再需要秘密的使用者的秘密存取權。 它也有助於降低使用秘密管理員的成本。 因此,請務必定期刪除未使用的秘密。
嚴重性:中
S3 貯體應已啟用跨區域複寫
描述:啟用 S3 跨區域複寫可確保在不同不同區域中提供多個版本的數據。 這可讓您保護您的 S3 貯體免受 DDoS 攻擊和數據損毀事件。
嚴重性:低
S3 貯體應已啟用伺服器端加密
描述:啟用伺服器端加密來保護 S3 貯體中的數據。 加密數據可防止在數據外泄時存取敏感數據。
嚴重性:中
設定自動輪替的秘密管理員秘密應該會順利輪替
描述:此控件會根據輪替排程,檢查 AWS 秘密管理員秘密是否順利輪替。 如果 RotationOccurringAsScheduled 為 false,控件就會失敗。 控件不會評估未設定輪替的秘密。 秘密管理員可協助您改善組織的安全性狀態。 秘密包括資料庫認證、密碼和第三方 API 金鑰。 您可以使用秘密管理員集中儲存秘密、自動加密秘密、控制秘密的存取,以及安全地自動輪替秘密。 秘密管理員可以輪替秘密。 您可以使用輪替,將長期秘密取代為短期秘密。 輪替您的秘密會限制未經授權的使用者可以使用遭入侵秘密的時間長度。 基於這個理由,您應該經常輪替秘密。 除了設定秘密自動輪替之外,您也應該確定這些秘密會根據輪替排程順利輪替。 若要深入瞭解輪替,請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密 。
嚴重性:中
秘密管理員秘密應在指定的天數內輪替
描述:此控件會檢查您的秘密是否已在90天內至少輪替一次。 輪替秘密可協助您降低在 AWS 帳戶中未經授權使用秘密的風險。 範例包括資料庫認證、密碼、第三方 API 金鑰,甚至是任意文字。 如果您長時間不變更秘密,秘密更有可能遭到入侵。 隨著更多使用者存取秘密,可能會讓某人誤判並洩露給未經授權的實體。 秘密可以透過記錄和快取數據洩漏。 其可共用以進行偵錯,且在偵錯完成後不會變更或撤銷。 基於所有這些原因,秘密應該經常輪替。 您可以在 AWS 秘密管理員中設定秘密來自動輪替。 使用自動輪替,您可以將長期秘密取代為短期秘密,大幅降低入侵的風險。 安全性中樞建議您啟用秘密管理員秘密的輪替。 若要深入瞭解輪替,請參閱 AWS 秘密管理員使用者指南中的輪替 AWS 秘密管理員秘密 。
嚴重性:中
SNS 主題應使用 AWS KMS 加密待用
描述:此控件會檢查 SNS 主題是否使用 AWS KMS 加密待用。 加密待用數據可降低使用者未向 AWS 驗證之磁碟上所儲存數據的風險。 它也會新增另一組訪問控制,以限制未經授權的使用者存取數據的能力。 例如,需要 API 許可權才能解密數據,才能讀取數據。 SNS 主題應 以待用加密 ,以增加一層安全性。 如需詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南中的待用加密。
嚴重性:中
所有 VPN 流量記錄都應該啟用
描述:[API 流量記錄] 可讓您查看通過 HTTP 的網路流量,並可用來偵測安全性事件期間的異常流量或深入解析。
嚴重性:中
GCP 數據建議
請確定 Cloud SQL Server 實例的 '3625 (追蹤旗標)' 資料庫旗標已設定為 'off'
描述:建議將 Cloud SQL Server 實例的 “3625 (追蹤旗標)” 資料庫旗標設定為 “off”。追蹤旗標經常用來診斷效能問題,或偵錯預存程式或複雜的計算機系統,但也可能需要 Microsoft 支援服務 來解決對特定工作負載造成負面影響的行為。 按照指示使用時,生產環境完全支援所有記錄的追蹤旗標,以及 Microsoft 支援服務所提供的建議。 「3625(追蹤記錄檔)」藉由使用 「******」遮罩某些錯誤訊息的參數,限制傳回給非系統管理員固定伺服器角色成員的使用者所傳回的資訊量。 這樣做有助於避免洩漏機密資訊。 因此,建議停用此旗標。 此建議適用於 SQL Server 資料庫實例。
嚴重性:中
確定雲端 SQL SQL Server 實例的 「外部腳本已啟用」資料庫旗標已設定為 'off'
描述:建議將 Cloud SQL Server 實例的「外部腳本已啟用」資料庫旗標設定為關閉。 「啟用外部文稿」可讓您執行具有特定遠端語言延伸模組的腳本。 依預設,此屬性為 OFF。 安裝 Advanced Analytics Services 時,安裝程式可以選擇性地將此屬性設定為 true。 因為「啟用外部腳本」功能可讓 SQL 外部的腳本,例如 R 連結庫中的檔案執行,這可能會對系統的安全性造成負面影響,因此應該停用此功能。 此建議適用於 SQL Server 資料庫實例。
嚴重性:高
確定 Cloud SQL SQL Server 實例的 [遠端存取] 資料庫旗標已設定為 [關閉]
描述:建議將 Cloud SQL Server 實例的「遠端訪問」資料庫旗標設定為「關閉」。[遠端存取] 選項會控制從 SQL Server 實體執行所在的本機或遠端伺服器執行預存程式。 這個選項的預設值為 1。 這會授與權限以從遠端伺服器執行本機預存程序,或從本機伺服器執行遠端預存程序。 若要防止從遠端伺服器執行本機預存程式,或從遠端預存程式在本機伺服器上執行,則必須停用此功能。 [遠端存取] 選項會控制遠端伺服器或本機伺服器上的遠端預存程式執行本機預存程式。 透過將查詢處理卸除至目標,可能會濫用「遠端訪問」功能,以對遠端伺服器啟動拒絕服務(DoS)攻擊,因此應該停用此功能。 此建議適用於 SQL Server 資料庫實例。
嚴重性:高
確定 Cloud SQL Mysql 實例的 'skip_show_database' 資料庫旗標已設定為 'on'
描述:建議將 Cloud SQL Mysql 實例的「skip_show_database」資料庫旗標設定為「開啟」。'skip_show_database' 資料庫旗標可防止人員沒有 SHOW DATABASES 許可權時使用 SHOW DATABASES 語句。 如果您擔心用戶能夠看到屬於其他用戶的資料庫,這可以改善安全性。 其效果取決於 SHOW DATABASES 許可權:如果變數值為 ON,則 SHOW DATABASES 語句只允許具有 SHOW DATABASES 許可權的使用者,而 語句會顯示所有資料庫名稱。 如果值為 OFF,則所有用戶都允許 SHOW DATABASES,但只會顯示使用者具有 SHOW DATABASES 或其他許可權的資料庫名稱。 此建議適用於 Mysql 資料庫實例。
嚴重性:低
確定已為所有 BigQuery 資料集指定預設客戶管理的加密金鑰 (CMEK)
描述:BigQuery 預設會使用 Google 受控密碼編譯密鑰來使用信封加密來加密待用的數據。 數據會使用數據加密金鑰進行加密,而數據加密金鑰本身會使用金鑰加密金鑰進一步加密。 這是無縫的,不需要使用者的任何其他輸入。 不過,如果您想要擁有更大的控制權,客戶管理的加密密鑰 (CMEK) 可用來作為 BigQuery 資料集的加密金鑰管理解決方案。 根據預設,BigQuery 會使用 Google 受控密碼編譯密鑰來採用信封加密來加密待用的數據。 這是無縫的,不需要使用者的任何其他輸入。 為了更充分地控制加密,客戶管理的加密密鑰 (CMEK) 可用來作為 BigQuery 數據集的加密金鑰管理解決方案。 為數據集設定預設客戶管理的加密金鑰 (CMEK)可確保如果未提供其他資料表,未來建立的任何資料表都會使用指定的 CMEK。
Google 不會將金鑰儲存在其伺服器上,除非您提供金鑰,否則無法存取受保護的數據。
這也表示,如果您忘記或遺失密鑰,Google 就無法復原密鑰,也無法復原使用遺失密鑰加密的任何數據。
嚴重性:中
確定所有 BigQuery 資料表都使用客戶管理的加密金鑰加密 (CMEK)
描述:BigQuery 預設會使用 Google 受控密碼編譯密鑰來使用信封加密來加密待用的數據。 數據會使用數據加密金鑰進行加密,而數據加密金鑰本身會使用金鑰加密金鑰進一步加密。 這是無縫的,不需要使用者的任何其他輸入。 不過,如果您想要擁有更大的控制權,客戶管理的加密密鑰 (CMEK) 可用來作為 BigQuery 資料集的加密金鑰管理解決方案。 如果使用 CMEK,CMEK 會用來加密資料加密金鑰,而不是使用 Google 管理的加密金鑰。 根據預設,BigQuery 會使用 Google 受控密碼編譯密鑰來採用信封加密來加密待用的數據。 這是無縫的,不需要使用者的任何其他輸入。 為了更充分掌控加密,客戶管理的加密密鑰 (CMEK) 可用來作為 BigQuery 數據表的加密金鑰管理解決方案。 CMEK 是用來加密資料加密金鑰,而不是使用 Google 管理的加密金鑰。 BigQuery 會自動儲存數據表和 CMEK 關聯,並自動完成加密/解密。 在 BigQuery 數據集上套用預設客戶管理的金鑰可確保未來建立的所有新數據表都會使用 CMEK 加密,但需要更新現有的數據表,才能個別使用 CMEK。
Google 不會將金鑰儲存在其伺服器上,除非您提供金鑰,否則無法存取受保護的數據。 這也表示,如果您忘記或遺失密鑰,Google 就無法復原密鑰,也無法復原使用遺失密鑰加密的任何數據。
嚴重性:中
確定無法匿名或公開存取 BigQuery 數據集
描述:建議 BigQuery 數據集上的 IAM 原則不允許匿名和/或公用存取。 授與allUsers或allAuthenticatedUsers的許可權可讓任何人存取數據集。 如果敏感數據儲存在數據集中,就可能不想要這類存取。 因此,請確定不允許匿名和/或公用存取數據集。
嚴重性:高
確定雲端 SQL 資料庫實例已設定為自動備份
描述:建議將所有 SQL 資料庫實例設定為啟用自動備份。 備份可讓您還原雲端 SQL 實例,以復原遺失的數據,或從該實例的問題中復原。 您必須針對任何包含應保護數據而免於遺失或損毀的實例設定自動備份。 此建議適用於 SQL Server、PostgreSql、MySql 第 1 代和 MySql 第 2 代實例。
嚴重性:高
確定雲端 SQL 資料庫實例未開放給世界
描述:資料庫伺服器應該只接受來自受信任網路/IP(s) 的連線,並限制來自世界的存取。 若要將資料庫伺服器實例上的受攻擊面降到最低,應核准只有受信任的/已知和必要的IP才能連線到該實例。 授權的網路不應該將IP/networks 設定為0.0.0.0.0.0/0,這會允許從世界上任何地方存取實例。 請注意,授權的網路僅適用於具有公用IP的實例。
嚴重性:高
確定雲端 SQL 資料庫實例沒有公用 IP
描述:建議將第二代 Sql 實例設定為使用私人 IP,而不是公用 IP。 若要降低組織的受攻擊面,雲端 SQL 資料庫不應該有公用 IP。 私人IP為您的應用程式提供改善的網路安全性和較低的延遲。
嚴重性:高
確定雲端記憶體貯體無法匿名或可公開存取
描述:建議 Cloud Storage 貯體上的 IAM 原則不允許匿名或公用存取。 允許匿名或公用存取權授與任何人存取貯體內容的許可權。 如果您要儲存任何敏感數據,就可能不需要這類存取。 因此,請確定不允許匿名或公用存取貯體。
嚴重性:高
確定雲端記憶體貯體已啟用統一貯體層級存取
描述:建議在雲端記憶體貯體上啟用統一貯體層級存取。
建議您使用統一貯體層級存取來統一,並簡化您授與雲端記憶體資源的存取權的方式。
雲端記憶體提供兩個系統,可授與使用者存取貯體和對象的許可權:雲端身分識別和存取管理(雲端 IAM)和 存取控制 清單(ACL)。
這些系統會以平行方式運作 - 為了讓使用者存取雲端記憶體資源,只有其中一個系統需要授與用戶許可權。
雲端 IAM 會在整個 Google Cloud 中使用,並可讓您在貯體和專案層級授與各種許可權。
ACL 只能由雲端記憶體使用,而且具有有限的許可權選項,但可讓您根據每個物件授與許可權。
為了支援統一許可權系統,雲端記憶體具有統一貯體層級存取權。 使用這項功能會停用所有雲端記憶體資源的 ACL:雲端記憶體資源的存取權,然後會透過 Cloud IAM 獨佔授與。 啟用統一貯體層級存取可確保如果記憶體貯體無法公開存取,則貯體中沒有任何物件可公開存取。
嚴重性:中
確定計算實例已啟用機密運算
描述:Google Cloud 會加密待用和傳輸中的數據,但客戶數據必須解密才能進行處理。 機密運算是一項突破性的技術,會在處理數據時加密使用中的數據。 機密運算環境會將數據加密在記憶體中,以及中央處理單位 (CPU) 以外的其他地方。 機密 VM 會利用 AMD EPYC CPU 的安全加密虛擬化 (SEV) 功能。 客戶數據會在使用、編製索引、查詢或定型時保持加密。 加密金鑰會在硬體、每個 VM 中產生,且不可匯出。 由於效能和安全性的內建硬體優化,機密運算工作負載不會大幅降低效能。 機密運算可讓客戶在處理期間加密的機密程式代碼和其他數據。 Google 無法存取加密金鑰。 機密 VM 可協助緩解與 Google 基礎結構相依性或 Google 測試人員存取客戶數據相關風險的擔憂。
嚴重性:高
確定記錄貯體上的保留原則是使用貯體鎖定來設定
描述:在記錄貯體上啟用保留原則,可保護儲存在雲端記憶體貯體中的記錄遭到覆寫或意外刪除。 建議您設定保留原則,並在作為記錄接收的所有記憶體貯體上設定貯體鎖定。 您可以建立一或多個包含記錄篩選和目的地的接收來匯出記錄。 當 Stackdriver 記錄收到新的記錄專案時,會與每個接收進行比較。 如果記錄專案符合接收的篩選條件,則會將記錄項目的複本寫入目的地。 接收可以設定為導出記憶體貯體中的記錄。 建議設定這些雲端記憶體貯體的數據保留原則,並鎖定數據保留原則;因此,永久防止減少或移除原則。 如此一來,如果攻擊者或想要涵蓋其追蹤的惡意內部人員入侵系統,則活動記錄絕對會保留供鑑識和安全性調查使用。
嚴重性:低
確定雲端 SQL 資料庫實例需要所有連入連線才能使用 SSL
描述:建議強制執行 SQL 資料庫實例的所有連入連線,以使用 SSL。 成功截獲的 SQL 資料庫連接(MITM):可以顯示敏感數據,例如認證、資料庫查詢、查詢輸出等。為了安全起因,建議您在連線到實例時一律使用 SSL 加密。 這項建議適用於 Postgresql、MySql 第 1 代和 MySql 第 2 代實例。
嚴重性:高
確定 SQL Server 實例上 Cloud SQL 的「自主資料庫驗證」資料庫旗標已設定為 'off'
描述:建議在 SQL Server 實例上設定 Cloud SQL 的「自主資料庫驗證」資料庫旗標設定為「關閉」。自主資料庫包含定義資料庫所需的所有資料庫設定和元數據,而且不會與安裝資料庫之 資料庫引擎 實例的組態相依性。 使用者可以連接至資料庫,而不需要在資料庫引擎層級驗證登入。 將資料庫與資料庫引擎隔離,可讓您輕鬆地將資料庫移至另一個 SQL Server 執行個體。 自主資料庫具有一些 SQL Server 資料庫引擎系統管理員應該了解並降低的獨特威脅。 大部分的威脅都與 USER WITH PASSWORD 驗證程式有關,其會將驗證界限從 資料庫引擎 層級移至資料庫層級,因此建議停用此旗標。 此建議適用於 SQL Server 資料庫實例。
嚴重性:中
確定 Cloud SQL SQL Server 實例的 「跨資料庫擁有權鏈結」資料庫旗標已設定為 'off'
描述:建議將 Cloud SQL Server 實例的「跨資料庫擁有權鏈結」資料庫旗標設定為「關閉」。使用 「跨資料庫擁有權」來進行鏈結選項,為Microsoft SQL Server 實例設定跨資料庫擁有權鏈結。 此伺服器選項可讓您控制資料庫層級的跨資料庫擁有權鏈結,或允許所有資料庫的跨資料庫擁有權鏈結。 除非 SQL Server 實例裝載的所有資料庫都必須參與跨資料庫擁有權鏈結,否則不建議啟用「跨資料庫擁有權」,而且您知道此設定的安全性影響。 此建議適用於 SQL Server 資料庫實例。
嚴重性:中
確定 Cloud SQL Mysql 實例的 'local_infile' 資料庫旗標已設定為 'off'
描述:建議將 Cloud SQL MySQL 實例的 local_infile 資料庫旗標設定為關閉。
local_infile旗標可控制LOAD DATA語句的伺服器端LOCAL功能。 視local_infile設定而定,伺服器會拒絕或允許用戶端上已啟用LOCAL的用戶端載入本機數據。
若要明確地讓伺服器拒絕 LOAD DATA LOCAL 語句(不論用戶端程式和連結庫在建置時間或運行時間設定的方式為何),請從停用local_infile開始 mysqld
。 您也可以在運行時間設定local_infile。
由於與local_infile旗標相關聯的安全性問題,建議停用它。 此建議適用於 MySQL 資料庫實例。
嚴重性:中
確定雲端記憶體 IAM 許可權變更的記錄計量篩選和警示存在
描述:建議針對雲端記憶體貯體 IAM 變更建立計量篩選和警示。 監視雲端記憶體貯體許可權的變更,可能會縮短偵測和更正貯體內敏感性雲端記憶體貯體和物件許可權所需的時間。
嚴重性:低
確定 SQL 實例組態變更的記錄計量篩選和警示存在
描述:建議針對 SQL 實例組態變更建立計量篩選和警示。 監視 SQL 實例組態變更的變更可能會縮短在 SQL Server 上偵測和更正錯誤設定所需的時間。 以下是一些可能會影響 SQL 實例安全性狀態的可設定選項:
- 啟用自動備份和高可用性:設定錯誤可能會對商務持續性、災害復原和高可用性造成負面影響
- 授權網路:設定錯誤可能會增加未受信任網路的風險
嚴重性:低
確定每個服務帳戶只有 GCP 管理的服務帳戶金鑰
描述:使用者管理的服務帳戶不應該有使用者管理的密鑰。 任何有權存取金鑰的人員都可以透過服務帳戶存取資源。 雲端平台服務會使用 GCP 管理的金鑰,例如應用程式引擎和計算引擎。 無法下載這些金鑰。 谷歌將保留金鑰,並自動輪替它們大約每周。 使用者管理的金鑰是由使用者建立、可下載及管理。 他們從創造期滿10年。 針對使用者管理的金鑰,用戶必須取得金鑰管理活動的擁有權,其中包括:
- 金鑰儲存體
- 金鑰散發
- 金鑰撤銷
- 金鑰輪替
- 未經授權的使用者密鑰保護
- 金鑰修復
即使有密鑰擁有者預防措施,金鑰也可以透過不太理想的常見開發做法來洩漏,例如將密鑰簽入原始程式碼或將它們留在下載目錄中,或不小心將它們留在支援部落格/頻道。 建議防止使用者管理的服務帳戶密鑰。
嚴重性:低
確定已適當地設定 Cloud SQL SQL Server 實例的「用戶連線」資料庫旗標
描述:建議根據組織定義的值,為 Cloud SQL Server 實例設定「用戶連線」資料庫旗標。 [用戶連線] 選項會指定 SQL Server 實例上允許的同時使用者連線數目上限。 允許的實際用戶連線數目也取決於您所使用的 SQL Server 版本,以及應用程式或應用程式和硬體的限制。 SQL Server 最多允許 32,767 筆使用者連線。 因為使用者連線是動態的 (自我設定) 選項,SQL Server 會視需要自動調整用戶連線數目上限,最多允許的最大值。 例如,如果只有 10 個使用者登入,就配置 10 個使用者連線物件。 在大部分情況下,您不需要變更此選項的值。 預設值為 0,表示允許最大量 (32,767) 的使用者連接數。 此建議適用於 SQL Server 資料庫實例。
嚴重性:低
確定未設定 Cloud SQL Server 實例的 「用戶選項」資料庫旗標
描述:建議不要設定 Cloud SQL Server 實例的「用戶選項」資料庫旗標。 [使用者選項] 選項會指定所有使用者的全域預設值。 會為使用者工作階段的持續時間建立預設查詢處理選項的清單。 用戶選項設定可讓您變更 SET 選項的預設值(如果伺服器的預設設定不適用)。 使用者可以使用 SET 陳述式來覆寫這些預設值。 您可以動態設定 user options 以供新的登入使用。 變更使用者選項的設定之後,新的登入會話會使用新的設定;目前的登入會話不會受到影響。 此建議適用於 SQL Server 資料庫實例。
嚴重性:低
應啟用 GKE 叢集的記錄
描述:此建議會評估叢集的loggingService屬性是否包含 Cloud Logging 應該用來寫入記錄的位置。
嚴重性:高
應在設定接收的記憶體貯體上啟用物件版本設定
描述:此建議會評估貯體版本設定屬性中的已啟用字段是否設定為 true。
嚴重性:高
應調查專案中過度布建的身分識別,以減少許可權爬行索引 (PCI)
描述:應調查專案中過度布建的身分識別,以減少許可權爬行索引 (PCI) 並保護您的基礎結構。 藉由移除未使用的高風險許可權指派來減少PCI。 高PCI反映與身分識別相關聯的風險,其許可權超過其一般或必要使用量。
嚴重性:中
具有密碼編譯密鑰的項目不應該有擁有者許可權的使用者
描述:此建議會針對主體指派的角色/擁有者,評估專案元數據中的IAM允許原則。
嚴重性:中
不應該公開存取做為記錄接收的記憶體貯體
描述:此建議會針對主體 allUsers 或 allAuthenticatedUsers 評估貯體 IAM 原則,以授與公用存取權。
嚴重性:高