Doporučení k zabezpečení výpočetních prostředků

Tento článek obsahuje seznam všech doporučení pro zabezpečení výpočetních prostředků s více cloudy, která se můžou zobrazit v programu Microsoft Defender for Cloud.

Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Tip

Pokud popis doporučení neobsahuje žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení.

Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je nainstalované řešení ochrany koncového bodu (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení zásadu. Omezení zásad jenom na základní doporučení zjednodušuje správu zásad.

Doporučení k výpočtům Azure

Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center).

Popis: V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu.

Závažnost: Nízká

Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému.

Popis: Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode.

Závažnost: Nízká

Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

Popis: Povolte ovládací prvky aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás, když se spustí jiné aplikace. To pomáhá posílit zabezpečení počítačů proti malwaru. Pro zjednodušení procesu konfigurace a údržby pravidel používá Defender for Cloud strojové učení k analýze aplikací spuštěných na každém počítači a návrh seznamu známých bezpečných aplikací. (Související zásady: Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené).

Závažnost: Vysoká

Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.

Popis: Monitorování změn chování ve skupinách počítačů nakonfigurovaných pro auditování pomocí Defenderu pro adaptivní řízení aplikací v cloudu Defender for Cloud používá strojové učení k analýze spuštěných procesů na vašich počítačích a návrh seznamu známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. (Související zásady: Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat).

Závažnost: Vysoká

Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.

Popis: I když samotný SSH poskytuje šifrované připojení, použití hesel s SSH stále ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace najdete v podrobných krocích: Vytvoření a správa klíčů SSH pro ověřování na virtuálním počítači s Linuxem v Azure. (Související zásady: Auditujte počítače s Linuxem, které pro ověřování nepoužívají klíč SSH).

Závažnost: Střední

Proměnné účtu Automation by měly být šifrované.

Popis: Při ukládání citlivých dat je důležité povolit šifrování prostředků proměnných účtů Automation. (Související zásady: Proměnné účtu Automation by měly být šifrované).

Závažnost: Vysoká

Pro virtuální počítače by měla být povolená služba Azure Backup.

Popis: Chraňte data na virtuálních počítačích Azure pomocí služby Azure Backup. Azure Backup je nákladově efektivní řešení ochrany dat nativní pro Azure. Vytvoří body obnovení, které jsou uložené v geograficky redundantních trezorech obnovení. Při obnovení z bodu obnovení můžete obnovit celý virtuální počítač nebo určité soubory. (Související zásady: Pro virtuální počítače by měla být povolená služba Azure Backup).

Závažnost: Nízká

(Preview) Servery Azure Stack HCI by měly splňovat požadavky na zabezpečené jádro.

Popis: Ujistěte se, že všechny servery Azure Stack HCI splňují požadavky na zabezpečené jádro. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Nízká

(Preview) Servery Azure Stack HCI by měly mít konzistentně vynucené zásady řízení aplikací.

Popis: Minimálně na všech serverech Azure Stack HCI použijte základní zásadu Microsoft WDAC v režimu vynucení. Použité zásady řízení aplikací v programu Windows Defender (WDAC) musí být konzistentní na serverech ve stejném clusteru. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Vysoká

(Preview) Systémy Azure Stack HCI by měly mít šifrované svazky.

Popis: K šifrování operačního systému a datových svazků v systémech Azure Stack HCI použijte BitLocker. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Vysoká

Hostitelé kontejnerů by měli být bezpečně nakonfigurovaní.

Popis: Opravte ohrožení zabezpečení v nastavení konfigurace zabezpečení na počítačích s nainstalovaným Dockerem, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru.

Závažnost: Vysoká

Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené.

Závažnost: Nízká

Diagnostické protokoly v účtech Batch by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly v účtech Batch by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve službě Event Hubs by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Event Hubs by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly v Logic Apps by měly být povolené.

Popis: Pokud chcete zajistit, abyste mohli znovu vytvořit záznamy aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě, povolte protokolování. Pokud se vaše diagnostické protokoly neodesílají do pracovního prostoru služby Log Analytics, účtu služby Azure Storage nebo do služby Azure Event Hubs, ujistěte se, že jste nakonfigurovali nastavení diagnostiky pro odesílání metrik platformy a protokolů platformy do příslušných cílů. Další informace najdete v části Vytvoření nastavení diagnostiky pro odesílání protokolů platformy a metrik do různých cílů. (Související zásady: Diagnostické protokoly v Logic Apps by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve službě Service Bus by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Service Bus by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené).

Závažnost: Vysoká

Problémy s konfigurací EDR by se měly vyřešit na virtuálních počítačích.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR). V současné době se toto doporučení týká jenom prostředků s povoleným programem Microsoft Defender for Endpoint.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Nízká

Řešení EDR by mělo být nainstalované na virtuálních počítačích.

Popis: Instalace řešení Detekce a reakce koncových bodů (EDR) na virtuálních počítačích je důležitá pro ochranu před pokročilými hrozbami. EDR pomáhají předcházet těmto hrozbám, zjišťovat je, zkoumat je a reagovat na ně. Microsoft Defender pro servery je možné použít k nasazení programu Microsoft Defender for Endpoint.

  • Pokud je prostředek klasifikován jako "Není v pořádku", znamená to, že neexistuje podporované řešení EDR.
  • Pokud je řešení EDR nainstalované, ale není zjistitelné v tomto doporučení, může být vyloučeno.
  • Bez řešení EDR jsou virtuální počítače ohroženy pokročilými hrozbami.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Vysoká

Měly by se vyřešit problémy se stavem služby Endpoint Protection ve škálovacích sadách virtuálních počítačů.

Popis: Ve škálovacích sadách virtuálních počítačů opravte chyby stavu služby Endpoint Protection, abyste je ochránili před hrozbami a ohroženími zabezpečení. (Související zásady: Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů).

Závažnost: Nízká

Ochrana koncových bodů by měla být nainstalovaná ve škálovacích sadách virtuálních počítačů.

Popis: Nainstalujte do škálovacích sad virtuálních počítačů řešení endpoint Protection, abyste je ochránili před hrozbami a ohroženími zabezpečení. (Související zásady: Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů).

Závažnost: Vysoká

Na počítačích by se mělo povolit monitorování integrity souborů.

Popis: Defender for Cloud identifikoval počítače, u které chybí řešení pro monitorování integrity souborů. Pokud chcete monitorovat změny důležitých souborů, klíčů registru a dalších informací na vašich serverech, povolte monitorování integrity souborů. Pokud je povolené řešení pro monitorování integrity souborů, vytvořte pravidla shromažďování dat, která definují soubory, které se mají monitorovat. Pokud chcete definovat pravidla nebo zobrazit soubory změněné na počítačích s existujícími pravidly, přejděte na stránku správy monitorování integrity souborů. (Žádné související zásady)

Závažnost: Vysoká

Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem.

Popis: Nainstalujte rozšíření Ověření identity hosta do podporovaných škálovacích sad virtuálních počítačů s Linuxem, které umožní programu Microsoft Defender for Cloud proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady linuxových virtuálních počítačů s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem.

Popis: Nainstalujte rozšíření ověření identity hosta na podporovaných virtuálních počítačích s Linuxem, aby mohl Microsoft Defender for Cloud aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s Linuxem s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Windows.

Popis: Nainstalujte rozšíření Ověření identity hosta do podporovaných škálovacích sad virtuálních počítačů, které umožňují microsoft Defenderu pro cloud proaktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady virtuálních počítačů s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows.

Popis: Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby mohl Microsoft Defender for Cloud aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření konfigurace hosta by mělo být nainstalované na počítačích.

Popis: Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostech k dispozici, jako je ochrana Windows Exploit Guard, by měly být povolené. (Související zásady: Virtuální počítače by měly mít rozšíření Konfigurace hosta).

Závažnost: Střední

(Preview) Sítě hostitelů a virtuálních počítačů by měly být chráněné v systémech Azure Stack HCI.

Popis: Ochrana dat v síti hostitele Azure Stack HCI a připojení k síti virtuálních počítačů. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Nízká

Instalace řešení endpoint Protection na virtuální počítače

Popis: Nainstalujte na virtuální počítače řešení ochrany koncových bodů, abyste je ochránili před hrozbami a ohroženími zabezpečení. (Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center)

Závažnost: Vysoká

Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Pokud chcete porovnat nabídky šifrování, navštivte přehled možností šifrování spravovaných disků. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete v tématu Principy konfigurace počítače Azure. (Související zásady: [Preview]: Virtuální počítače s Linuxem by měly povolit Službu Azure Disk Encryption nebo EncryptionAtHost.

Nahrazuje starší doporučené virtuální počítače, které by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Doporučení umožňuje auditovat dodržování předpisů šifrování virtuálních počítačů.

Závažnost: Vysoká

Virtuální počítače s Linuxem by měly vynutit ověření podpisu modulu jádra.

Popis: Pokud chcete zmírnit riziko proti spuštění škodlivého nebo neoprávněného kódu v režimu jádra, vynucujte na podporovaných virtuálních počítačích s Linuxem ověření podpisu modulu jádra. Ověření podpisu modulu jádra zajišťuje, že bude možné spouštět pouze důvěryhodné moduly jádra. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty.

Popis: Při povoleném zabezpečeném spouštění musí být všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. (Žádné související zásady)

Závažnost: Nízká

Virtuální počítače s Linuxem by měly používat zabezpečené spouštění

Popis: Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Linuxem.

Popis: Defender pro cloud používá agenta Log Analytics (označovaného také jako OMS) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete nasadit agenta na všech počítačích Azure Arc, postupujte podle pokynů k nápravě. (Žádné související zásady)

Závažnost: Vysoká

Vzhledem k tomu, že použití AMA a MMA je v programu Defender for Servers postupné, doporučení, která spoléhají na tyto agenty, jako je tento, budou odebrána. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024

Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů.

Popis: Defender for Cloud shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, dříve označovaného jako Agent Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí související se zabezpečením z počítače a kopíruje data do vašeho pracovního prostoru pro účely analýzy. Pokud vaše virtuální počítače používají spravovanou službu Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric, musíte postupovat podle tohoto postupu. Automatické zřizování agenta pro škálovací sady virtuálních počítačů Azure nejde nakonfigurovat. Pokud chcete nasadit agenta do škálovacích sad virtuálních počítačů (včetně těch, které používají spravované služby Azure, jako je Azure Kubernetes Service a Azure Service Fabric), postupujte podle pokynů v nápravě. (Související zásady: Agent Log Analytics by se měl nainstalovat do škálovacích sad virtuálních počítačů pro monitorování služby Azure Security Center).

Vzhledem k tomu, že použití AMA a MMA je v programu Defender for Servers postupné, doporučení, která spoléhají na tyto agenty, jako je tento, budou odebrána. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024

Závažnost: Vysoká

Agent Log Analytics by měl být nainstalovaný na virtuálních počítačích.

Popis: Defender for Cloud shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, který se dříve označuje jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Tento agent se vyžaduje také v případě, že vaše virtuální počítače používají spravovaná služba Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric. Doporučujeme nakonfigurovat automatické zřizování pro automatické nasazení agenta. Pokud se rozhodnete nepoužívat automatické zřizování, nasaďte agenta do virtuálních počítačů ručně podle pokynů v postupu nápravy. (Související zásady: Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center).

Vzhledem k tomu, že použití AMA a MMA je v programu Defender for Servers postupné, doporučení, která spoléhají na tyto agenty, jako je tento, budou odebrána. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024

Závažnost: Vysoká

Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Windows.

Popis: Defender pro cloud používá agenta Log Analytics (označovaného také jako MMA) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete nasadit agenta na všech počítačích Azure Arc, postupujte podle pokynů k nápravě. (Žádné související zásady)

Závažnost: Vysoká

Vzhledem k tomu, že použití AMA a MMA je v programu Defender for Servers postupné, doporučení, která spoléhají na tyto agenty, jako je tento, budou odebrána. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024

Počítače by měly být bezpečně nakonfigurované.

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.

Toto doporučení vám pomůže zlepšit stav zabezpečení serveru. Defender for Cloud vylepšuje srovnávací testy Center for Internet Security (CIS) tím, že poskytuje standardní hodnoty zabezpečení, které využívají Microsoft Defender Správa zranitelností. Další informace.

Závažnost: Nízká

Počítače by se měly restartovat, aby se použily aktualizace konfigurace zabezpečení.

Popis: Pokud chcete použít aktualizace konfigurace zabezpečení a chránit před ohroženími zabezpečení, restartujte počítače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Počítače by měly mít řešení posouzení ohrožení zabezpečení

Popis: Defender for Cloud pravidelně kontroluje připojené počítače, aby zajistil, že používají nástroje pro posouzení ohrožení zabezpečení. Toto doporučení použijte k nasazení řešení posouzení ohrožení zabezpečení. (Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

Závažnost: Střední

Počítače by měly mít vyřešené zjištění ohrožení zabezpečení.

Popis: Vyřešte zjištění z řešení posouzení ohrožení zabezpečení na virtuálních počítačích. (Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

Závažnost: Nízká

Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

Popis: Defender for Cloud identifikoval některá příliš trvalá příchozí pravidla pro porty pro správu ve skupině zabezpečení sítě. Povolte řízení přístupu za běhu a chraňte virtuální počítač před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům podle potřeby (JIT). (Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu).

Závažnost: Vysoká

Měl by být povolený Program Microsoft Defender pro servery.

Popis: Microsoft Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tyto informace můžete použít k rychlé nápravě problémů se zabezpečením a zlepšení zabezpečení serverů.

Náprava tohoto doporučení způsobí, že se vám budou účtovat poplatky za ochranu serverů. Pokud v tomto předplatném nemáte žádné servery, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte nějaké servery, budou automaticky chráněny a poplatky začnou v tuto chvíli. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Související zásady: Měl by být povolený Azure Defender pro servery).

Závažnost: Vysoká

V pracovních prostorech by měl být povolený Microsoft Defender for Servers.

Popis: Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu jsou vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Žádné související zásady)

Závažnost: Střední

Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění.

Popis: Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení se můžou spouštět jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí jenom pro virtuální počítače s Windows s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.

Popis: Service Fabric poskytuje tři úrovně ochrany (None, Sign a EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy typu node-to-node jsou šifrované a digitálně podepsané. (Související zásady: Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.

Závažnost: Vysoká

Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.

Popis: Ověřování klientů provádíte pouze přes Azure Active Directory v Service Fabric (související zásady: Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů).

Závažnost: Vysoká

Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat.

Popis: Nainstalujte chybějící zabezpečení systému a důležité aktualizace pro zabezpečení škálovacích sad virtuálních počítačů s Windows a Linuxem. (Související zásady: Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat).

Při použití agenta Azure Monitoru (AMA) a agenta Log Analytics (označovaného také jako Agent Microsoft Monitoring Agent (MMA) se v programu Defender for Servers postupně odeberou doporučení, která spoléhají na tyto agenty, jako je tato. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024. Tato doporučení se nahrazují novými.

Závažnost: Vysoká

Na počítačích by se měly nainstalovat aktualizace systému.

Popis: Nainstalujte chybějící zabezpečení systému a důležité aktualizace pro zabezpečení virtuálních počítačů a počítačů s Windows a Linuxem (související zásady: Aktualizace systému by se měly nainstalovat na vaše počítače).

Při použití agenta Azure Monitoru (AMA) a agenta Log Analytics (označovaného také jako Agent Microsoft Monitoring Agent (MMA) se v programu Defender for Servers postupně odeberou doporučení, která spoléhají na tyto agenty, jako je tato. Funkce Defenderu pro servery místo toho budou používat agenta Microsoft Defenderu for Endpoint nebo kontrolu bez agenta bez agenta bez závislostí na MMA nebo AMA.

Odhadované vyřazení: červenec 2024. Tato doporučení se nahrazují novými.

Závažnost: Vysoká

Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center).

Popis: V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. (Žádné související zásady)

Závažnost: Vysoká

Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli.

Popis: Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete v části Použití webu Azure Portal k povolení kompletního šifrování pomocí šifrování na hostiteli. (Související zásady: Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli).

Závažnost: Střední

Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru.

Popis: Virtuální počítače (Classic) jsou zastaralé a tyto virtuální počítače by se měly migrovat do Azure Resource Manageru. Vzhledem k tomu, že Azure Resource Manager má teď úplné funkce IaaS a další pokroky, přestali jsme spravovat virtuální počítače IaaS prostřednictvím Azure Service Manageru (ASM) 28. února 2020. Tato funkce bude plně vyřazena 1. března 2023.

Pokud chcete zobrazit všechny ovlivněné klasické virtuální počítače, nezapomeňte vybrat všechna předplatná Azure na kartě Adresáře a předplatná.

Dostupné prostředky a informace o tomto nástroji a migraci: Přehled vyřazení virtuálních počítačů (Classic) a podrobný postup migrace a dostupných prostředků MicrosoftuPodrobnosti o migraci do nástroje pro migraci Azure Resource ManageruMigrace do nástroje pro migraci Azure Resource Manageru pomocí PowerShellu (Související zásady: Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru).

Závažnost: Vysoká

Stav ověření identity hosta virtuálních počítačů by měl být v pořádku.

Popis: Ověření hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být důsledkem bootkit infekce.rootkit Toto posouzení platí jenom pro virtuální počítače s povolenou službou Trusted Launch, které mají nainstalované rozšíření Ověření identity hosta. (Žádné související zásady)

Závažnost: Střední

Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.

Popis: Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace (Související zásady: Rozšíření konfigurace hosta by se mělo nasadit na virtuální počítače Azure se spravovanou identitou přiřazenou systémem).

Závažnost: Střední

Škálovací sady virtuálních počítačů by měly být bezpečně nakonfigurované.

Popis: Ve škálovacích sadách virtuálních počítačů opravte ohrožení zabezpečení, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů.

Závažnost: Vysoká

Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. Porovnání různých technologií šifrování disků v Azure najdete v přehledu možností šifrování pro spravované disky. Pomocí služby Azure Disk Encryption zašifrujte všechna tato data. Pokud toto doporučení ignorujte, pokud:

Používáte funkci šifrování na hostiteli nebo šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v šifrování azure Disk Storage na straně serveru.

(Související zásady: Na virtuálních počítačích by se mělo použít šifrování disků.

Závažnost: Vysoká

Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích.

Popis: Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

  • Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
  • U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.

Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Chyby zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem by se měly napravit (s využitím konfigurace hosta).

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem, abyste je ochránili před útoky. (Související zásady: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure.

Závažnost: Nízká

Chyby zabezpečení v konfiguraci zabezpečení na počítačích s Windows by se měly napravit (s využitím konfigurace hosta).

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Windows, abyste je ochránili před útoky. (Žádné související zásady)

Závažnost: Nízká

Ochrana Exploit Guard v programu Windows Defender by měla být povolená na počítačích.

Popis: Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). (Související zásady: Auditujte počítače s Windows, na kterých není povolená ochrana Exploit Guard v programu Windows Defender).

Závažnost: Střední

Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Pokud chcete porovnat nabídky šifrování, navštivte přehled možností šifrování spravovaných disků. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete v tématu Principy konfigurace počítače Azure. (Související zásady: [Preview]: Virtuální počítače s Windows by měly povolit Službu Azure Disk Encryption nebo EncryptionAtHost.

Nahrazuje starší doporučené virtuální počítače, které by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Doporučení umožňuje auditovat dodržování předpisů šifrování virtuálních počítačů.

Závažnost: Vysoká

Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.

Popis: K ochraně soukromí informací předávaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. (Související zásady: Auditujte webové servery Windows, které nepoužívají zabezpečené komunikační protokoly).

Závažnost: Vysoká

Doporučení pro AWS Compute

Instance Amazon EC2 spravované nástrojem Systems Manager by měly mít po instalaci opravy stav dodržování předpisů vyhovující předpisům

Popis: Tento ovládací prvek zkontroluje, jestli je stav dodržování předpisů opravy Amazon EC2 Systems Manager kompatibilní nebo NON_COMPLIANT po instalaci opravy v instanci. Kontroluje pouze instance spravované správcem oprav AWS Systems Manager. Nekontroluje, jestli byla oprava použita v rámci limitu 30 dnů předepsaného požadavkem PCI DSS 6.2. Neověřuje také, jestli byly použité opravy klasifikovány jako opravy zabezpečení. Měli byste vytvořit skupiny oprav s odpovídajícím nastavením směrného plánu a zajistit, aby systémy v oboru byly spravovány těmito skupinami oprav v nástroji Systems Manager. Další informace o skupinách oprav naleznete v uživatelské příručce AWS Systems Manager.

Závažnost: Střední

Amazon EFS by měl být nakonfigurovaný tak, aby šifroval neaktivní uložená data souborů pomocí služby AWS KMS.

Popis: Tento ovládací prvek zkontroluje, jestli je Amazon Elastic File System nakonfigurovaný tak, aby šifroval data souborů pomocí služby AWS KMS. Kontrola selže v následujících případech: *"Encrypted" je v odpovědi DescribeFileSystems nastavena na hodnotu false. Klíč KmsKeyId v odpovědi DescribeFileSystems neodpovídá parametru KmsKeyId pro efs-encrypted-check. Všimněte si, že tento ovládací prvek nepoužívá parametr KmsKeyId pro efs-encrypted-check. Zkontroluje jenom hodnotu Encrypted (Šifrované). Pro přidanou vrstvu zabezpečení citlivých dat v Amazon EFS byste měli vytvořit šifrované systémy souborů. Amazon EFS podporuje šifrování neaktivních uložených systémů souborů. Šifrování neaktivních uložených dat můžete povolit při vytváření systému souborů Amazon EFS. Další informace o šifrování Amazon EFS najdete v tématu Šifrování dat v Amazon EFS v uživatelské příručce systému souborů Amazon Elastic File System.

Závažnost: Střední

Svazky Amazon EFS by měly být v plánech zálohování.

Popis: Tento ovládací prvek zkontroluje, jestli jsou systémy souborů Amazon Elastic File System (Amazon EFS) přidány do plánů zálohování v AWS Backup. Tento ovládací prvek selže, pokud systémy souborů Amazon EFS nejsou součástí plánů zálohování. Zahrnutí systémů souborů EFS do plánů zálohování pomáhá chránit vaše data před odstraněním a ztrátou dat.

Závažnost: Střední

Měla by být povolena ochrana před odstraněním nástroje pro vyrovnávání zatížení aplikace.

Popis: Tento ovládací prvek zkontroluje, jestli má nástroj pro vyrovnávání zatížení aplikace povolenou ochranu před odstraněním. Pokud není nakonfigurovaná ochrana proti odstranění, ovládací prvek selže. Povolte ochranu před odstraněním a chraňte nástroj pro vyrovnávání zatížení aplikace před odstraněním.

Závažnost: Střední

Skupiny automatického škálování přidružené k nástroji pro vyrovnávání zatížení by měly používat kontroly stavu.

Popis: Skupiny automatického škálování přidružené k nástroji pro vyrovnávání zatížení používají kontroly stavu elastického vyrovnávání zatížení. PCI DSS nevyžaduje vyrovnávání zatížení ani konfigurace s vysokou dostupností. Doporučuje se to osvědčenými postupy AWS.

Závažnost: Nízká

Účty AWS by měly mít povolené automatické zřizování Azure Arc.

Popis: Pro zajištění úplné viditelnosti obsahu zabezpečení z programu Microsoft Defender pro servery by měly být instance EC2 připojené ke službě Azure Arc. Pokud chcete zajistit, aby všechny oprávněné instance EC2 automaticky přijímaly Azure Arc, povolte automatické zřizování z defenderu pro cloud na úrovni účtu AWS. Přečtěte si další informace o Službě Azure Arc a Programu Microsoft Defender for Servers.

Závažnost: Vysoká

Distribuce CloudFront by měly mít nakonfigurované převzetí služeb při selhání původu.

Popis: Tento ovládací prvek zkontroluje, zda je distribuce Amazon CloudFront nakonfigurována se skupinou původu, která má dva nebo více zdrojů. Převzetí služeb při selhání zdroje cloudfront může zvýšit dostupnost. Převzetí služeb při selhání zdroje automaticky přesměruje provoz do sekundárního původu, pokud primární zdroj není dostupný nebo pokud vrátí konkrétní stavové kódy odpovědi HTTP.

Závažnost: Střední

Adresy URL zdrojového úložiště CodeBuild na GitHubu nebo Bitbucketu by měly používat OAuth.

Popis: Tento ovládací prvek zkontroluje, jestli adresa URL zdrojového úložiště GitHub nebo Bitbucket obsahuje tokeny pat nebo uživatelské jméno a heslo. Přihlašovací údaje pro ověřování by se nikdy neměly ukládat ani přenášet ve formátu prostého textu nebo by se neměly zobrazovat v adrese URL úložiště. Místo osobních přístupových tokenů nebo uživatelského jména a hesla byste měli použít OAuth k udělení autorizace pro přístup k úložištím GitHub nebo Bitbucket. Použití osobních přístupových tokenů nebo uživatelského jména a hesla by mohlo vystavit vaše přihlašovací údaje nezamýšleným odhalením dat a neoprávněnému přístupu.

Závažnost: Vysoká

Proměnné prostředí projektu CodeBuild by neměly obsahovat přihlašovací údaje.

Popis: Tento ovládací prvek zkontroluje, zda projekt obsahuje proměnné AWS_ACCESS_KEY_ID prostředí a AWS_SECRET_ACCESS_KEY. Přihlašovací údaje pro AWS_ACCESS_KEY_ID ověřování a AWS_SECRET_ACCESS_KEY nikdy by neměly být uložené ve formátu prostého textu, protože by to mohlo vést k neúmyslnému vystavení dat a neoprávněnému přístupu.

Závažnost: Vysoká

Clustery akcelerátoru DynamoDB (DAX) by měly být zašifrované v klidovém stavu.

Popis: Tento ovládací prvek zkontroluje, jestli je neaktivní uložený cluster DAX šifrovaný. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Šifrování přidá další sadu řízení přístupu, která omezí schopnost neoprávněných uživatelů přistupovat k datům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením.

Závažnost: Střední

Tabulky DynamoDB by měly automaticky škálovat kapacitu s poptávkou.

Popis: Tento ovládací prvek zkontroluje, zda může tabulka Amazon DynamoDB škálovat kapacitu čtení a zápisu podle potřeby. Tento ovládací prvek se předá, pokud tabulka používá buď režim kapacity na vyžádání, nebo zřízený režim s nakonfigurovaným automatickým škálováním. Škálování kapacity s poptávkou zabraňuje výjimkám omezování, které pomáhá udržovat dostupnost vašich aplikací.

Závažnost: Střední

Instance EC2 by měly být připojené ke službě Azure Arc.

Popis: Připojte instance EC2 ke službě Azure Arc, abyste měli úplný přehled o obsahu zabezpečení Microsoft Defenderu for Servers. Přečtěte si další informace o službě Azure Arc a o programu Microsoft Defender for Servers v hybridním cloudovém prostředí.

Závažnost: Vysoká

Instance EC2 by měly být spravovány správcem systémů AWS.

Popis: Stav dodržování předpisů opravy Amazon EC2 Systems Manager je "KOMPATIBILNÍ" nebo "NON_COMPLIANT" po instalaci opravy v instanci. Zkontrolují se pouze instance spravované správcem oprav AWS Systems Manageru. Opravy použité během 30denního limitu předepsaného požadavkem PCI DSS 6 se nekontrolují.

Závažnost: Střední

Problémy s konfigurací EDR by se měly vyřešit na EC2s.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR). V současné době se toto doporučení týká jenom prostředků s povoleným programem Microsoft Defender for Endpoint.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Vysoká

Řešení EDR by mělo být nainstalováno v EC2s.

Popis: Pokud chcete chránit EC2s, nainstalujte řešení detekce a odezvy koncových bodů (EDR). EDR pomáhají předcházet pokročilým hrozbám, zjišťovat je, zkoumat je a reagovat na ně. K nasazení programu Microsoft Defender for Endpoint použijte Microsoft Defender for Servers. Pokud je prostředek klasifikován jako "Není v pořádku", nemá nainstalované podporované řešení EDR. Pokud máte nainstalované řešení EDR, které není v tomto doporučení zjistitelné, můžete ho vyloučit.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Vysoká

Instance spravované správcem systémů by měly mít stav dodržování předpisů přidružení vyhovující předpisům

Popis: Tento ovládací prvek zkontroluje, jestli je stav dodržování předpisů přidružení AWS Systems Manager kompatibilní nebo NON_COMPLIANT po spuštění přidružení v instanci. Ovládací prvek projde, pokud je stav dodržování předpisů přidružení kompatibilní. Přidružení Správce stavů je konfigurace, která je přiřazená vašim spravovaným instancím. Konfigurace definuje stav, který chcete udržovat ve vašich instancích. Přidružení může například určit, že antivirový software musí být nainstalován a spuštěn ve vašich instancích nebo že některé porty musí být uzavřeny. Po vytvoření jednoho nebo více přidružení Správce stavů jsou informace o stavu dodržování předpisů okamžitě dostupné v konzole nebo v reakci na příkazy rozhraní příkazového řádku AWS nebo odpovídající operace rozhraní API nástroje Systems Manager. U přidružení zobrazuje stav Dodržování předpisů v souladu s předpisy nebo nedodržování předpisů a úroveň závažnosti přiřazenou k přidružení, například Kritické nebo Střední. Další informace o dodržování předpisů přidružení Správce stavů najdete v části Dodržování předpisů přidružení Správce stavů v uživatelské příručce pro AWS Systems Manager. Instance EC2 v oboru musíte nakonfigurovat pro přidružení správce systémů. Musíte také nakonfigurovat směrný plán oprav pro hodnocení zabezpečení dodavatele oprav a nastavit datum automatického použití tak, aby splňovalo požadavek PCI DSS 3.2.1 6.2. Další pokyny k vytvoření přidružení najdete v části Vytvoření přidružení v uživatelské příručce AWS Systems Manager. Další informace o práci s opravami v nástroji Systems Manager naleznete v části AWS Systems Manager Patch Manager Manager v uživatelské příručce AWS Systems Manager.

Závažnost: Nízká

Funkce lambda by měly mít nakonfigurovanou frontu nedoručených zpráv.

Popis: Tento ovládací prvek zkontroluje, jestli je funkce Lambda nakonfigurovaná s frontou nedoručených zpráv. Pokud není funkce Lambda nakonfigurovaná s frontou nedoručených zpráv, ovládací prvek selže. Jako alternativu k cíli při selhání můžete funkci nakonfigurovat s frontou nedoručených zpráv, která ukládá zahozené události pro další zpracování. Fronta nedoručených zpráv funguje stejně jako cíl selhání. Používá se, když událost selže všechny pokusy o zpracování nebo vyprší bez zpracování. Fronta nedoručených zpráv umožňuje podívat se na chyby nebo neúspěšné požadavky na funkci Lambda za účelem ladění nebo identifikace neobvyklého chování. Z hlediska zabezpečení je důležité pochopit, proč vaše funkce selhala, a zajistit, aby vaše funkce v důsledku toho nezahazovala data ani neohrožovala zabezpečení dat. Pokud například vaše funkce nemůže komunikovat s podkladovým prostředkem, může to být příznak útoku doS (DoS) jinde v síti.

Závažnost: Střední

Funkce lambda by měly používat podporované moduly runtime.

Popis: Tento ovládací prvek kontroluje, zda nastavení funkce Lambda pro moduly runtime odpovídají očekávaným hodnotám nastaveným pro podporované moduly runtime pro každý jazyk. Tento ovládací prvek kontroluje následující moduly runtime: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda runtimes jsou postaveny na kombinaci operačního systému, programovacího jazyka a softwarových knihoven, které podléhají údržbě a aktualizacím zabezpečení. Pokud už komponenta runtime není podporována pro aktualizace zabezpečení, lambda zastaralá modul runtime. I když nemůžete vytvářet funkce, které používají zastaralý modul runtime, je tato funkce stále k dispozici pro zpracování událostí vyvolání. Ujistěte se, že jsou funkce Lambda aktuální a nepoužívají za provozu za běhu. Další informace o podporovaných modulech runtime, které tento ovládací prvek kontroluje pro podporované jazyky, najdete v tématu Moduly runtime AWS Lambda v příručce pro vývojáře AWS Lambda.

Závažnost: Střední

Porty pro správu instancí EC2 by měly být chráněné pomocí řízení přístupu k síti za běhu

Popis: Microsoft Defender for Cloud identifikoval některá přílišná příchozí pravidla pro porty pro správu ve vaší síti. Povolte řízení přístupu za běhu a chraňte své instance před internetovými útoky hrubou silou. Další informace.

Závažnost: Vysoká

Nepoužité skupiny zabezpečení EC2 by se měly odebrat.

Popis: Skupiny zabezpečení by měly být připojené k instancím Amazon EC2 nebo k rozhraní ENI. Nalezení v pořádku může znamenat, že existují nepoužívané skupiny zabezpečení Amazon EC2.

Závažnost: Nízká

Doporučení pro GCP Compute

Virtuální počítače výpočetního stroje by měly používat operační systém optimalizovaný pro kontejnery.

Popis: Toto doporučení vyhodnotí vlastnost konfigurace fondu uzlů pro dvojici klíč-hodnota imageType: COS.

Závažnost: Nízká

Problémy s konfigurací EDR by se měly vyřešit na virtuálních počítačích GCP.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR). V současné době se toto doporučení týká jenom prostředků s povoleným programem Microsoft Defender for Endpoint.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Vysoká

Řešení EDR by mělo být nainstalované na virtuálních počítačích GCP

Popis: Pokud chcete chránit virtuální počítače, nainstalujte řešení detekce koncových bodů a reakce (EDR). EDR pomáhají předcházet pokročilým hrozbám, zjišťovat je, zkoumat je a reagovat na ně. K nasazení programu Microsoft Defender for Endpoint použijte Microsoft Defender for Servers. Pokud je prostředek klasifikován jako "Není v pořádku", nemá nainstalované podporované řešení EDR. Pokud máte nainstalované řešení EDR, které není v tomto doporučení zjistitelné, můžete ho vyloučit.

Toto doporučení koncového bodu bez agenta je k dispozici, pokud máte Program Defender for Servers Plan 2 nebo plán CSPM v programu Defender. Přečtěte si další informace o doporučeních pro ochranu koncových bodů bez agentů.

Závažnost: Vysoká

Ujistěte se, že je pro instance virtuálních počítačů povolené blokování klíčů SSH pro celý projekt.

Popis: Pro přístup k instancím se doporučuje místo použití běžných nebo sdílených klíčů SSH pro přístup k instancím použít konkrétní klíče SSH pro konkrétní instance. Klíče SSH pro celý projekt jsou uložené ve výpočetních prostředcích nebo meta-datech projektu. Pomocí klíčů SSH pro celý projekt se můžete přihlásit ke všem instancím v rámci projektu. Použití klíčů SSH pro celý projekt usnadňuje správu klíčů SSH, ale v případě ohrožení zabezpečení představuje bezpečnostní riziko, které může ovlivnit všechny instance v rámci projektu. Doporučuje se použít klíče SSH specifické pro instanci, které můžou omezit prostor pro útoky, pokud dojde k ohrožení zabezpečení klíčů SSH.

Závažnost: Střední

Ujistěte se, že jsou spuštěné výpočetní instance s povoleným chráněným virtuálním počítačem.

Popis: Pokud chcete bránit před pokročilými hrozbami a zajistit, aby spouštěcí zavaděč a firmware na virtuálních počítačích byly podepsané a neotěžované, doporučuje se spustit výpočetní instance s povoleným stíněným virtuálním počítačem. Chráněné virtuální počítače jsou virtuální počítače na platformě Google Cloud Platform posílené sadou bezpečnostních prvků, které pomáhají bránit rootkits a bootkits. Stíněný virtuální počítač nabízí ověřitelnou integritu instancí virtuálních počítačů výpočetního modulu, takže můžete mít jistotu, že vaše instance nebyly ohroženy malwarem nebo rootkity na úrovni jádra nebo jejich spuštěním. Ověřitelná integrita chráněného virtuálního počítače se dosahuje pomocí zabezpečeného spouštění, modulu virtuální důvěryhodné platformy (vTPM) s podporou měřeného spouštění a monitorování integrity. Chráněné instance virtuálních počítačů spouštějí firmware, který je podepsaný a ověřený pomocí certifikační autority Společnosti Google, a zajišťuje, že firmware instance nenímodifikovaný a vytvoří kořen důvěryhodnosti zabezpečeného spouštění. Monitorování integrity pomáhá pochopit a rozhodovat se o stavu instancí virtuálních počítačů a stíněném virtuálním počítači vTPM umožňuje měřené spouštění provedením měření potřebných k vytvoření známého dobrého směrného plánu spouštění, označovaného jako směrný plán zásad integrity. Směrný plán zásad integrity se používá k porovnání s měřeními z následných spuštění virtuálních počítačů, abyste zjistili, jestli se něco změnilo. Zabezpečené spouštění pomáhá zajistit, aby systém spouštěl pouze autentický software tím, že ověří digitální podpis všech spouštěcích komponent a zastaví proces spouštění, pokud se ověření podpisu nezdaří.

Závažnost: Vysoká

Ujistěte se, že pro instanci virtuálního počítače není povolená možnost Povolit připojení k sériovým portům.

Popis: Interakce se sériovým portem se často označuje jako sériová konzola, která se podobá použití okna terminálu, v daném vstupu a výstupu je zcela v textovém režimu a není k dispozici žádné grafické rozhraní ani podpora myši. Pokud povolíte interaktivní sériovou konzolu v instanci, klienti se mohou pokusit připojit k této instanci z jakékoli IP adresy. Proto by měla být zakázána podpora interaktivní sériové konzoly. Instance virtuálního počítače má čtyři virtuální sériové porty. Interakce se sériovým portem se podobá použití okna terminálu, v daném vstupu a výstupu je zcela v textovém režimu a není k dispozici žádné grafické rozhraní ani podpora myši. Operační systém instance, SYSTÉM BIOS a další entity na úrovni systému často zapisují výstup do sériových portů a mohou přijímat vstupy, jako jsou příkazy nebo odpovědi na výzvy. Tyto entity na úrovni systému obvykle používají první sériový port (port 1) a sériový port 1 se často označuje jako sériová konzola. Interaktivní sériová konzola nepodporuje omezení přístupu na základě PROTOKOLU IP, jako jsou seznamy povolených IP adres. Pokud povolíte interaktivní sériovou konzolu v instanci, klienti se mohou pokusit připojit k této instanci z jakékoli IP adresy. To umožňuje každému připojit se k této instanci, pokud zná správný klíč SSH, uživatelské jméno, ID projektu, zónu a název instance. Proto by měla být zakázána podpora interaktivní sériové konzoly.

Závažnost: Střední

Ujistěte se, že příznak databáze log_duration pro instanci Cloud SQL PostgreSQL je nastavený na zapnuto.

Popis: Povolení nastavení log_hostname způsobí, že se protokoluje doba trvání každého dokončeného příkazu. Tento příkaz nezaprotokoluje text dotazu, a proto se chová jinak než příznak log_min_duration_statement. Tento parametr nelze po spuštění relace změnit. Monitorování doby potřebné ke spuštění dotazů může být zásadní při identifikaci jakýchkoli dotazů, které zabíhaly prostředky, a vyhodnocení výkonu serveru. Další kroky, jako je vyrovnávání zatížení a použití optimalizovaných dotazů, je možné provést k zajištění výkonu a stability serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_executor_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Exekutor PostgreSQL zodpovídá za provedení plánu předávané plánovačem PostgreSQL. Exekutor zpracuje plán rekurzivně za účelem extrakce požadované sady řádků. Příznak "log_executor_stats" řídí zahrnutí statistik výkonu exekutoru PostgreSQL do protokolů PostgreSQL pro každý dotaz. Příznak "log_executor_stats" umožňuje hrubou metodu profilace pro protokolování statistik výkonu exekutoru PostgreSQL, která může být užitečná pro řešení potíží, může výrazně zvýšit počet protokolů a mít režii na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že příznak databáze log_min_error_statement pro instanci Cloud SQL PostgreSQL je nastavený na Chyba nebo přísnější.

Popis: Příznak "log_min_error_statement" definuje minimální úroveň závažnosti zprávy, která je považována za chybovou zprávu. Zprávy pro chybové příkazy jsou protokolovány pomocí příkazu SQL. Mezi platné hodnoty patří DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL a PANIC. Každá úroveň závažnosti zahrnuje následující úrovně uvedené výše. Ujistěte se, že je nastavená hodnota ERROR nebo přísnější. Auditování pomáhá při řešení provozních problémů a umožňuje také forenzní analýzu. Pokud není hodnota log_min_error_statement nastavená na správnou hodnotu, zprávy se nemusí správně klasifikovat jako chybové zprávy. Zvažování obecných zpráv protokolu, protože chybové zprávy by mohly být obtížné najít skutečné chyby a zvážit pouze přísnější úrovně závažnosti, protože chybové zprávy můžou přeskočit skutečné chyby k protokolování jejich příkazů SQL. Příznak "log_min_error_statement" by měl být nastaven na hodnotu ERROR nebo přísnější. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_parser_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Plánovač/optimalizátor PostgreSQL zodpovídá za parsování a ověření syntaxe každého dotazu přijatého serverem. Pokud je syntaxe správná, vytvoří se "strom analýzy", jinak se vygeneruje chyba. Příznak "log_parser_stats" řídí zahrnutí statistik výkonu analyzátoru do protokolů PostgreSQL pro každý dotaz. Příznak "log_parser_stats" umožňuje hrubou metodu profilace pro statistiku výkonu analyzátoru protokolování, která může být užitečná pro řešení potíží, může výrazně zvýšit počet protokolů a mít režii na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_planner_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Stejný dotaz SQL lze spustit několika způsoby a přesto vytvořit různé výsledky. Plánovač/optimalizátor PostgreSQL zodpovídá za vytvoření optimálního plánu provádění pro každý dotaz. Příznak "log_planner_stats" řídí zahrnutí statistik výkonu Plánovače PostgreSQL do protokolů PostgreSQL pro každý dotaz. Příznak "log_planner_stats" umožňuje metodu hrubé profilace protokolování statistik výkonu Plánovače PostgreSQL, která může být užitečná pro řešení potíží, může výrazně zvýšit počet protokolů a mít režii na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_statement_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Příznak "log_statement_stats" řídí zahrnutí koncové statistiky výkonu dotazu SQL v protokolech PostgreSQL pro každý dotaz. To nejde povolit pomocí jiných statistik modulu (log_parser_stats, log_planner_stats, log_executor_stats). Příznak "log_statement_stats" umožňuje hrubou metodu profilace pro protokolování koncové až koncové statistiky výkonu dotazu SQL. To může být užitečné pro řešení potíží, ale může výrazně zvýšit počet protokolů a mít režijní náklady na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že výpočetní instance nemají veřejné IP adresy.

Popis: Výpočetní instance by neměly být nakonfigurované tak, aby měly externí IP adresy. Aby se snížil prostor pro útoky, výpočetní instance by neměly mít veřejné IP adresy. Místo toho by měly být instance nakonfigurované za nástroji pro vyrovnávání zatížení, aby se minimalizovala expozice instance internetu. Instance vytvořené GKE by měly být vyloučeny, protože některé z nich mají externí IP adresy a není možné je změnit úpravou nastavení instance. Tyto virtuální počítače mají názvy, které začínají gke- a jsou označené .goog-gke-node

Závažnost: Vysoká

Ujistěte se, že instance nejsou nakonfigurované tak, aby používaly výchozí účet služby.

Popis: Doporučujeme nakonfigurovat instanci tak, aby nepoužíla výchozí účet služby Výpočetní modul, protože má v projektu roli Editor. Výchozí účet služby Výpočetní modul má v projektu roli Editor, která umožňuje přístup pro čtení a zápis do většiny služeb Google Cloud Services. Pokud chcete bránit eskalaci oprávnění v případě ohrožení vašeho virtuálního počítače a zabránit útočníkovi v získání přístupu ke všem vašim projektům, doporučuje se nepoužívat výchozí účet služby Výpočetní modul. Místo toho byste měli vytvořit nový účet služby a přiřadit pouze oprávnění potřebná vaší instancí. Výchozí účet služby Výpočetní modul má název [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Virtuální počítače vytvořené GKE by měly být vyloučeny. Tyto virtuální počítače mají názvy, které začínají gke- a jsou označené .goog-gke-node

Závažnost: Vysoká

Ujistěte se, že instance nejsou nakonfigurované tak, aby používaly výchozí účet služby s úplným přístupem ke všem cloudovým rozhraním API.

Popis: Pro podporu principu nejnižších oprávnění a zabránění potenciální eskalaci oprávnění se doporučuje, aby instance nejsou přiřazené k výchozímu účtu služby "Výchozí účet služby Výpočetní modul" s oborem "Povolit úplný přístup ke všem cloudovým rozhraním API". Kromě možnosti vytvářet, spravovat a používat účty vlastních služeb spravovaných uživatelem poskytuje Google Compute Engine výchozí účet služby "Výchozí účet výpočetního modulu" pro instanci pro přístup k nezbytným cloudovým službám.

Role Editor projektu je přiřazená k výchozímu účtu služby Výpočetní modul, takže tento účet služby má téměř všechny funkce ve všech cloudových službách s výjimkou fakturace. Pokud je ale k instanci přiřazený výchozí účet služby Výpočetní modul, může fungovat ve třech oborech.

  • Povolit výchozí přístup: Povolí pouze minimální přístup potřebný ke spuštění instance (nejnižší oprávnění).
  • Povolit úplný přístup ke všem cloudovým rozhraním API: Povolte úplný přístup ke všem cloudovým rozhraním API/službám (příliš velký přístup).
  • Nastavit přístup pro každé rozhraní API: Umožňuje správci instance zvolit pouze ta rozhraní API, která jsou potřebná k provádění konkrétních obchodních funkcí očekávaných instancí.

Pokud je instance nakonfigurovaná s výchozím účtem služby Výpočetní modul s oborem Povolit úplný přístup ke všem cloudovým rozhraním API na základě rolí IAM přiřazených uživatelům přistupující k instanci, může uživateli umožnit provádět cloudové operace nebo volání rozhraní API, které by nemělo vést k úspěšné eskalaci oprávnění.

Virtuální počítače vytvořené GKE by měly být vyloučeny. Tyto virtuální počítače mají názvy, které začínají gke- a jsou označené .goog-gke-node

Závažnost: Střední

Ujistěte se, že u instancí není povolené předávání IP.

Popis: Instance výpočetního modulu nemůže předávat paket, pokud zdrojová IP adresa paketu neodpovídá IP adrese instance. Podobně GCP nedoručí paket, jehož cílová IP adresa se liší od IP adresy instance, která paket přijímá. Obě možnosti jsou však potřeba, pokud chcete použít instance k usnadnění směrování paketů. Předávání datových paketů by mělo být zakázáno, aby se zabránilo ztrátě dat nebo zpřístupnění informací. Instance výpočetního modulu nemůže předávat paket, pokud zdrojová IP adresa paketu neodpovídá IP adrese instance. Podobně GCP nedoručí paket, jehož cílová IP adresa se liší od IP adresy instance, která paket přijímá. Obě možnosti jsou však potřeba, pokud chcete použít instance k usnadnění směrování paketů. Pokud chcete povolit tuto kontrolu zdrojové a cílové IP adresy, zakažte pole canIpForward, které instanci umožňuje odesílat a přijímat pakety s nedosažením cíle nebo zdrojovými IP adresami.

Závažnost: Střední

Ujistěte se, že je příznak databáze log_checkpoints pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Ujistěte se, že je příznak log_checkpoints databáze pro instanci Cloud SQL PostgreSQL nastavený na zapnutou. Povolení log_checkpoints způsobí, že se do protokolu serveru zaprotokolují kontrolní body a body restartování. Některé statistiky jsou zahrnuty do zpráv protokolu, včetně počtu zapsaných vyrovnávacích pamětí a času stráveného jejich zápisem. Tento parametr lze nastavit pouze v souboru postgresql.conf nebo na příkazovém řádku serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_lock_waits pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení příznaku "log_lock_waits" pro instanci PostgreSQL vytvoří protokol pro všechny relace čekání, které trvá déle, než je přidělený čas "deadlock_timeout" získat zámek. Časový limit zablokování definuje dobu čekání na zámek před kontrolou jakýchkoli podmínek. Častým překročením časového limitu zablokování může být označení základního problému. Protokolování takových čekání na zámky povolením příznaku log_lock_waits lze použít k identifikaci nízkého výkonu z důvodu zpoždění uzamčení nebo v případě, že se speciálně vytvořený SQL pokouší o hladovění prostředků prostřednictvím blokování zámků po nadměrnou dobu. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_min_duration_statement pro instanci Cloud SQL PostgreSQL nastavený na -1.

Popis: Příznak "log_min_duration_statement" definuje minimální dobu provádění příkazu v milisekundách, kde je zaznamenána celková doba trvání příkazu. Ujistěte se log_min_duration_statement, že je hodnota -1 zakázaná, tzn. že je nastavená hodnota -1. Protokolování příkazů SQL může zahrnovat citlivé informace, které by se neměly zaznamenávat v protokolech. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je správně nastavený příznak databáze log_min_messages pro instanci Cloud SQL PostgreSQL.

Popis: Příznak "log_min_error_statement" definuje minimální úroveň závažnosti zprávy, která je považována za chybovou zprávu. Zprávy pro chybové příkazy jsou protokolovány pomocí příkazu SQL. Mezi platné hodnoty patří DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL a PANIC. Každá úroveň závažnosti zahrnuje následující úrovně uvedené výše. Chcete-li efektivně vypnout příkazy selhání protokolování, nastavte tento parametr na PANIC. CHYBA se považuje za nastavení osvědčených postupů. Změny by měly být provedeny pouze v souladu se zásadami protokolování organizace. Auditování pomáhá při řešení provozních problémů a umožňuje také forenzní analýzu. Pokud není hodnota log_min_error_statement nastavená na správnou hodnotu, zprávy se nemusí správně klasifikovat jako chybové zprávy. Vzhledem k tomu, že obecné zprávy protokolu jako chybové zprávy by bylo obtížné najít skutečné chyby, zatímco zvažování pouze přísnějších úrovní závažnosti, protože chybové zprávy můžou přeskočit skutečné chyby k protokolování jejich příkazů SQL. Příznak "log_min_error_statement" by měl být nastavený v souladu se zásadami protokolování organizace. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_temp_files pro instanci Cloud SQL PostgreSQL nastavený na hodnotu 0.

Popis: PostgreSQL může vytvořit dočasný soubor pro akce, jako je řazení, hashování a dočasné výsledky dotazů, pokud tyto operace překročí "work_mem". Příznak "log_temp_files" řídí názvy protokolování a velikost souboru při odstranění. Konfigurace "log_temp_files" na hodnotu 0 způsobí, že se zaprotokolují všechny dočasné informace o souborech, zatímco kladné hodnoty protokolují pouze soubory, jejichž velikost je větší nebo rovna zadanému počtu kilobajtů. Hodnota -1 zakáže protokolování informací o dočasném souboru. Pokud se všechny dočasné soubory nezaprotokolují, může být obtížnější identifikovat potenciální problémy s výkonem, které můžou být způsobené špatným kódováním aplikace nebo úmyslnými pokusy o hladovění prostředků.

Závažnost: Nízká

Ujistěte se, že jsou disky virtuálních počítačů pro důležité virtuální počítače šifrované pomocí šifrovacího klíče dodaného zákazníkem.

Popis: Šifrovací klíče zadané zákazníkem (CSEK) jsou funkce v google cloudovém úložišti a výpočetním stroji Google. Pokud zadáte vlastní šifrovací klíče, Google ho použije k ochraně klíčů generovaných Googlem, které slouží k šifrování a dešifrování dat. Google Compute Engine ve výchozím nastavení šifruje všechna neaktivní uložená data. Výpočetní modul zpracovává a spravuje toto šifrování za vás bez jakýchkoli dalších akcí na vaší straně. Pokud ale chcete toto šifrování řídit a spravovat sami, můžete zadat vlastní šifrovací klíče. Google Compute Engine ve výchozím nastavení šifruje všechna neaktivní uložená data. Výpočetní modul zpracovává a spravuje toto šifrování za vás bez jakýchkoli dalších akcí na vaší straně. Pokud ale chcete toto šifrování řídit a spravovat sami, můžete zadat vlastní šifrovací klíče. Pokud zadáte vlastní šifrovací klíče, výpočetní modul použije váš klíč k ochraně klíčů generovaných Googlem, které slouží k šifrování a dešifrování vašich dat. Prostředky chráněné šifrovacím klíčem zadaným zákazníkem můžou používat jenom uživatelé, kteří můžou poskytnout správný klíč. Google vaše klíče neukládá na svých serverech a nemá přístup k chráněným datům, pokud ho nezadáte. To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem. Minimálně důležité obchodní virtuální počítače by měly mít disky virtuálních počítačů šifrované pomocí CSEK.

Závažnost: Střední

Projekty GCP by měly mít povolené automatické zřizování Azure Arc

Popis: Pro zajištění úplné viditelnosti obsahu zabezpečení z programu Microsoft Defender pro servery by měly být instance virtuálních počítačů GCP připojené ke službě Azure Arc. Pokud chcete zajistit, aby všechny oprávněné instance virtuálních počítačů automaticky přijímaly Azure Arc, povolte automatické zřizování z defenderu pro cloud na úrovni projektu GCP. Přečtěte si další informace o Službě Azure Arc a Programu Microsoft Defender for Servers.

Závažnost: Vysoká

Instance virtuálních počítačů GCP by měly být připojené ke službě Azure Arc.

Popis: Připojte virtuální počítače GCP ke službě Azure Arc, abyste měli úplný přehled o obsahu zabezpečení Microsoft Defenderu for Servers. Přečtěte si další informace o službě Azure Arc a o programu Microsoft Defender for Servers v hybridním cloudovém prostředí.

Závažnost: Vysoká

Instance virtuálních počítačů GCP by měly mít nainstalovaného agenta konfigurace operačního systému.

Popis: Pokud chcete získat úplné funkce Defenderu pro servery pomocí automatického zřizování Azure Arc, měly by mít virtuální počítače GCP povoleného agenta konfigurace operačního systému.

Závažnost: Vysoká

Funkce automatické opravy clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, key: autoRepair, value: true.

Závažnost: Střední

Funkce automatického upgradu clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, klíč: autoUpgrade, value: true.

Závažnost: Vysoká

Monitorování clusterů GKE by mělo být povolené.

Popis: Toto doporučení vyhodnotí, jestli vlastnost monitoringService clusteru obsahuje umístění Monitorování cloudu k zápisu metrik.

Závažnost: Střední