Empfehlungen für die Netzwerksicherheit

In diesem Artikel werden alle Netzwerksicherheitsempfehlungen aufgeführt, die möglicherweise in Microsoft Defender für Cloud angezeigt werden.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration.

Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter "Korrekturempfehlungen" in Defender für Cloud.

Tipp

Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.

Empfehlungen für Azure-Netzwerke

Der Zugriff auf Speicherkonten mit Konfiguration für Firewall und virtuelle Netzwerke sollte eingeschränkt werden

Beschreibung: Überprüfen Sie die Einstellungen des Netzwerkzugriffs in den Firewalleinstellungen Ihres Speicherkontos. Es wird empfohlen, die Netzwerkregeln so zu konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf das Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder an IP-Adressbereiche im öffentlichen Internet gewährt werden. (Verwandte Richtlinie: Speicherkonten sollten den Netzwerkzugriff einschränken).

Schweregrad: Niedrig

Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden.

Beschreibung: Defender für Cloud hat die Kommunikationsmuster des Internetverkehrs der unten aufgeführten virtuellen Computer analysiert und festgestellt, dass die vorhandenen Regeln in den ihnen zugeordneten NSGs übermäßig zulässig sind, was zu einer erhöhten potenziellen Angriffsfläche führt. Dies tritt typischerweise dann auf, wenn diese IP-Adresse nicht regelmäßig mit dieser Ressource kommuniziert. Alternativ wurde die IP-Adresse von den Threat Intelligence-Quellen von Defender for Cloud als schädlich gekennzeichnet. (Verwandte Richtlinie: Empfehlungen für adaptive Netzwerkhärtung sollten auf virtuellen Computern im Internet angewendet werden.

Schweregrad: hoch

Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind.

Beschreibung: Defender für Cloud hat einige der eingehenden Regeln Ihrer Netzwerksicherheitsgruppen identifiziert, die zu eingeschränkt sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. (Verwandte Richtlinie: Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrem virtuellen Computer zugeordnet sind).

Schweregrad: hoch

Azure DDoS Protection Standard muss aktiviert sein.

Beschreibung: Defender für Cloud hat virtuelle Netzwerke mit Anwendungsgateway-Ressourcen entdeckt, die vom DDoS-Schutzdienst nicht geschützt sind. Diese Ressourcen enthalten öffentliche IP-Adressen. Aktivieren Sie die Entschärfung von volumetrischen Netzwerk- und Protokollangriffen. (Verwandte Richtlinie: Azure DDoS Protection Standard sollte aktiviert sein).

Schweregrad: Mittel

Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden

Beschreibung: Schützen Sie Ihre VM vor potenziellen Bedrohungen, indem Sie den Zugriff auf ihn mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Zugriffssteuerungsliste (Access Control List, ACL) zum Zulassen oder Verweigern von Netzwerkdatenverkehr für Ihre VM von anderen Instanzen innerhalb oder außerhalb desselben Subnetzes. Damit Ihr Computer bestmöglich geschützt ist, muss sowohl der VM-Zugriff auf das Internet eingeschränkt als auch eine NSG im Subnetz aktiviert sein. Bei VMs mit dem Schweregrad „Hoch“ handelt es sich um VMs mit Internetzugriff. (Verwandte Richtlinie: Virtuelle Computer mit Internetverbindung sollten mit Netzwerksicherheitsgruppen geschützt werden.

Schweregrad: hoch

Die IP-Weiterleitung auf dem virtuellen Computer muss deaktiviert sein

Beschreibung: Defender für Cloud hat festgestellt, dass die IP-Weiterleitung auf einigen Ihrer virtuellen Computer aktiviert ist. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. (Verwandte Richtlinie: IP-Weiterleitung auf Ihrem virtuellen Computer sollte deaktiviert werden).

Schweregrad: Mittel

Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren zeigen

Beschreibung: Die Nutzungsbedingungen von Azure verbieten die Verwendung von Azure-Diensten in der Art und Weise, wie Sie Einen Microsoft-Server oder das Netzwerk beschädigen, deaktivieren, überlasten oder beeinträchtigen könnten. Diese Empfehlung listet verfügbar gemachte Ports auf, die geschlossen werden müssen, um die Sicherheit weiter zu erhöhen. Außerdem wird die potenzielle Bedrohung für jeden Port veranschaulicht. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden

Beschreibung: Defender für Cloud hat einige übermäßig zulässige eingehende Regeln für Verwaltungsports in Ihrer Netzwerksicherheitsgruppe identifiziert. Aktivieren Sie die Just-In-Time-Zugriffssteuerung, um Ihre VM vor Brute-Force-Angriffen aus dem Internet zu schützen. Weitere Informationen finden Sie unter Grundlegendes zum Just-In-Time (JIT)-VM-Zugriff. (Verwandte Richtlinie: Die Verwaltungsports virtueller Computer sollten durch just-in-time-Netzwerkzugriffskontrolle geschützt werden.

Schweregrad: hoch

Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden

Beschreibung: Offene Remoteverwaltungsports stellen Ihre VM einem hohen Risiko aus internetbasierten Angriffen offen. um Administratorzugriff auf den Computer zu erhalten. (Verwandte Richtlinie: Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden.

Schweregrad: Mittel

Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.

Beschreibung: Schützen Sie Ihren nicht im Internet zugänglichen virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff auf diesen Computer mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Zugriffssteuerungsliste (Access Control List, ACL) zum Zulassen oder Verweigern von Netzwerkdatenverkehr von anderen Instanzen für Ihre VM. Dies gilt unabhängig davon, ob diese sich innerhalb oder außerhalb desselben Subnetzes befinden. Beachten Sie Folgendes: Damit Ihr Computer bestmöglich geschützt ist, muss sowohl der VM-Zugriff auf das Internet eingeschränkt als auch eine NSG im Subnetz aktiviert sein. (Verwandte Richtlinie: Nicht im Internet zugängliche virtuelle Computer sollten durch Netzwerksicherheitsgruppen geschützt werden.

Schweregrad: Niedrig

Sichere Übertragung in Speicherkonten sollte aktiviert werden

Beschreibung: Sichere Übertragung ist eine Option, die das Speicherkonto zwingt, Anforderungen nur von sicheren Verbindungen (HTTPS) zu akzeptieren. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. (Verwandte Richtlinie: Die sichere Übertragung auf Speicherkonten sollte aktiviert sein).

Schweregrad: hoch

Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden

Beschreibung: Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. Wenn eine NSG einem Subnetz zugeordnet wird, gelten die ACL-Regeln für alle VM-Instanzen und integrierten Dienste des Subnetzes, aber nicht für den internen Datenverkehr des Subnetzes. Aktivieren Sie die NSG auch direkt auf den Ressourcen, um für die Ressourcen in demselben Subnetz den Schutz untereinander sicherzustellen. Beachten Sie, dass die folgenden Subnetztypen als nicht zutreffend aufgeführt werden: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Verwandte Richtlinie: Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet sein.

Schweregrad: Niedrig

Virtuelle Netzwerke müssen durch Azure Firewall geschützt werden

Beschreibung: Einige Ihrer virtuellen Netzwerke sind nicht durch eine Firewall geschützt. Verwenden Sie Azure Firewall , um den Zugriff auf Ihre virtuellen Netzwerke einzuschränken und potenzielle Bedrohungen zu verhindern. (Verwandte Richtlinie: Der gesamte Internetdatenverkehr sollte über Ihre bereitgestellte Azure-Firewall weitergeleitet werden.

AWS-Netzwerkempfehlungen

Amazon EC2 sollte für die Verwendung von VPC-Endpunkten konfiguriert werden.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob für jeden VORGANG ein Dienstendpunkt für Amazon EC2 erstellt wird. Das Steuerelement schlägt fehl, wenn kein ENDPOINT FÜR den Amazon EC2-Dienst erstellt wurde. Um den Sicherheitsstatus Ihrer VPC zu verbessern, können Sie Amazon EC2 für die Verwendung eines VPC-Schnittstellenendpunkts konfigurieren. Schnittstellenendpunkte werden von AWS PrivateLink unterstützt, einer Technologie, mit der Sie privat auf Amazon EC2-API-Vorgänge zugreifen können. Der gesamte Netzwerkdatenverkehr zwischen Ihrer VPC und Amazon EC2 wird auf das Amazon-Netzwerk beschränkt. Da Endpunkte nur innerhalb derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einem ELEMENT UND einem Dienst in einer anderen Region erstellen. Dadurch werden unbeabsichtigte Amazon EC2-API-Aufrufe an andere Regionen verhindert. Weitere Informationen zum Erstellen von VPC-Endpunkten für Amazon EC2 finden Sie unter Amazon EC2- und VPC-Schnittstellenendpunkte im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.

Schweregrad: Mittel

Amazon ECS-Diensten dürfen keine öffentlichen IP-Adressen automatisch zugewiesen werden.

Beschreibung: Eine öffentliche IP-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Amazon ECS-Instanzen mit einer öffentlichen IP-Adresse starten, sind Ihre Amazon ECS-Instanzen aus dem Internet erreichbar. Amazon ECS-Dienste sollten nicht öffentlich zugänglich sein, da dies möglicherweise unbeabsichtigten Zugriff auf Ihre Containeranwendungsserver ermöglicht.

Schweregrad: hoch

Amazon EMR-Clustermasterknoten sollten keine öffentlichen IP-Adressen aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob Masterknoten in Amazon EMR-Clustern öffentliche IP-Adressen aufweisen. Die Kontrolle schlägt fehl, wenn der Masterknoten über öffentliche IP-Adressen verfügt, die einer seiner Instanzen zugeordnet sind. Öffentliche IP-Adressen werden im Feld „PublicIp“ der NetworkInterfaces-Konfiguration für die Instanz festgelegt. Diese Kontrolle überprüft nur Amazon EMR-Cluster, die sich im Status AUSFÜHREN oder WARTEN befinden.

Schweregrad: hoch

Amazon Redshift-Cluster sollten erweitertes VPC-Routing verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon Redshift-Cluster EnhancedVpcRouting aktiviert hat. Erweitertes VPC-Routing erzwingt, dass der gesamte COPY- und UNLOAD-Datenverkehr zwischen dem Cluster und den Datenrepositorys durch Ihre VPC laufen muss. Sie können dann VPC-Funktionen wie Sicherheitsgruppen und Netzwerkzugriffssteuerungslisten verwenden, um den Netzwerkdatenverkehr zu schützen. Sie können auch VPC-Flussprotokolle verwenden, um den Netzwerkdatenverkehr zu überwachen.

Schweregrad: hoch

Der Anwendungslastenausgleich sollte zur Umleitung aller HTTP-Anforderungen an HTTPS konfiguriert sein.

Beschreibung: Um verschlüsselung während der Übertragung zu erzwingen, sollten Sie Umleitungsaktionen mit Anwendungslastenausgleichsmodulen verwenden, um Client-HTTP-Anforderungen an eine HTTPS-Anforderung an Port 443 umzuleiten.

Schweregrad: Mittel

Application Load Balancer sollten für das Löschen von HTTP-Headern konfiguriert werden.

Beschreibung: Dieses Steuerelement wertet AWS Application Load Balancers (ALB) aus, um sicherzustellen, dass sie für das Ablegen ungültiger HTTP-Header konfiguriert sind. Die Kontrolle schlägt fehl, wenn der Wert von „routing.http.drop_invalid_header_fields.enabled“ auf FALSE festgelegt ist. Standardmäßig sind ALBs nicht so konfiguriert, dass ungültige HTTP-Headerwerte abgelegt werden. Das Entfernen dieser Headerwerte verhindert HTTP-Desynchronisierungsangriffe.

Schweregrad: Mittel

Konfigurieren Sie Lambdafunktionen für eine VPC.

Beschreibung: Dieses Steuerelement überprüft, ob sich eine Lambda-Funktion in einem VORGANG befindet. Sie wertet die KONFIGURATION des SUBNET-Routings VON CLIENTS nicht aus, um die öffentliche Reichweite zu ermitteln. Beachten Sie, dass die Kontrolle fehlerhafte Ergebnisse generiert, wenn „Lambda@Edge“ im Konto gefunden wird. Um diese Ergebnisse zu verhindern, können Sie diese Kontrolle deaktivieren.

Schweregrad: Niedrig

EC2-Instanzen sollten keine öffentliche IP-Adresse aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob EC2-Instanzen über eine öffentliche IP-Adresse verfügen. Die Kontrolle schlägt fehl, wenn das Feld „publicIp“ im Konfigurationselement der EC2-Instanz vorhanden ist. Diese Kontrolle gilt nur für IPv4-Adressen. Eine öffentliche IPv4-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instanz mit einer öffentlichen IP-Adresse starten, dann ist Ihre EC2-Instanz über das Internet erreichbar. Eine private IPv4-Adresse ist eine IP-Adresse, die nicht über das Internet erreichbar ist. Sie können private IPv4-Adressen für die Kommunikation zwischen EC2-Instanzen in der gleichen VPC oder in Ihrem verbundenen privaten Netzwerk verwenden. IPv6-Adressen sind global eindeutig und daher über das Internet erreichbar. Standardmäßig ist das IPv6-Adressattribut für alle Subnetze jedoch auf „false“ festgelegt. Weitere Informationen zu IPv6 finden Sie unter IP-Adressierung in Ihrer VPC im Amazon VPC-Benutzerhandbuch. Wenn Sie einen legitimen Anwendungsfall haben, um EC2-Instanzen mit öffentlichen IP-Adressen zu unterhalten, dann können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Front-End-Architekturoptionen finden Sie unter AWS-Architekturblog oder in der Reihe Dies ist meine Architektur.

Schweregrad: hoch

EC2-Instanzen sollten nicht mehrere ENIs verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob eine EC2-Instanz mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapters (EFAs) verwendet. Dieses Steuerelement wird übergeben, wenn ein einzelner Netzwerkadapter verwendet wird. Die Kontrolle enthält eine optionale Parameterliste, um die zulässigen ENIs zu identifizieren. Mehrere ENIs können doppelt vernetzte Instanzen verursachen, d. h. Instanzen, die über mehrere Subnetze verfügen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und -zugriff einführen.

Schweregrad: Niedrig

EC2-Instanzen sollten IMDSv2 verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob Ihre EC2-Instanzmetadatenversion mit Instanzmetadatendienst Version 2 (IMDSv2) konfiguriert ist. Die Kontrolle ist erfüllt, wenn „HttpTokens“ für IMDSv2 auf „erforderlich“ festgelegt ist. Die Kontrolle schlägt fehl, wenn „HttpTokens“ auf „optional“ festgelegt ist. Sie verwenden Instanzmetadaten, um die ausgeführte Instanz zu konfigurieren oder zu verwalten. Der IMDS bietet den Zugriff auf temporäre, häufig rotierte Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert zu codieren oder an Instanzen zu verteilen. Der IMDS wird lokal an jede EC2-Instanz angefügt. Er wird unter einer speziellen „lokal verlinken“ IP-Adresse 169.254.169.254 ausgeführt. Auf diese IP-Adresse kann nur von Software zugegriffen werden, die auf der Instanz ausgeführt wird. Die Version 2 des IMDS fügt neue Schutzmaßnahmen für die folgenden Arten von Sicherheitsrisiken hinzu. Diese Sicherheitsrisiken könnten verwendet werden, um auf den IMDS zuzugreifen.

  • Öffnen von Websiteanwendungsfirewalls
  • Reverseproxys öffnen
  • Serverseitige SSRF-Sicherheitsrisiken (Request Forgery, SSRF)
  • Open Layer 3 Firewalls and Network Address Translation (NAT) Security Hub empfiehlt, Ihre EC2-Instanzen mit IMDSv2 zu konfigurieren.

Schweregrad: hoch

EC2-Subnetze sollten nicht automatisch öffentliche IP-Adressen zuweisen.

Beschreibung: Dieses Steuerelement überprüft, ob die Zuweisung öffentlicher IPs in Amazon Virtual Private Cloud (Amazon PST)-Subnetzen "MapPublicIpOnLaunch" auf "FALSE" festgelegt ist. Die Kontrolle ist erfolgreich, wenn das Flag auf FALSE festgelegt ist. Alle Subnetze verfügen über ein Attribut, das bestimmt, ob eine im Subnetz erstellte Netzwerkschnittstelle automatisch eine öffentliche IPv4-Adresse empfängt. Instanzen, die in Subnetzen gestartet werden, bei denen dieses Attribut aktiviert ist, erhalten eine öffentliche IP-Adresse für ihre primären Netzwerkschnittstelle zugewiesen.

Schweregrad: Mittel

Für AWS Config-Konfigurationsänderungen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, einen metrikbasierten Filter und Alarm einzurichten, um Änderungen an den Konfigurationen von CloudTrail zu erkennen. Die Überwachung von Änderungen an der AWS Config-Konfiguration trägt dazu bei, eine dauerhafte Sichtbarkeit von Konfigurationselementen innerhalb des AWS-Kontos sicherzustellen.

Schweregrad: Niedrig

Für Authentifizierungsfehler in Bezug auf die AWS-Managementkonsole müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, für fehlgeschlagene Konsolenauthentifizierungsversuche einen Metrikfilter und einen Alarm einzurichten. Die Überwachung fehlgeschlagener Konsolenanmeldungen kann die Vorlaufzeit verringern, um einen Versuch zu erkennen, eine Anmeldeinformationen zu brute erzwingen, die möglicherweise einen Indikator, z. B. quell-IP, bereitstellen, der in einer anderen Ereigniskorrelation verwendet werden kann.

Schweregrad: Niedrig

Für Änderungen an NACLs (Network Access Control Lists) müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. NACLs werden als zustandsloser Paketfilter verwendet, um eingehenden und ausgehenden Datenverkehr für Subnetze innerhalb einer VPC zu steuern. Es wird empfohlen, einen Metrikfilter und einen Alarm für Änderungen an NACLs einzurichten. Die Überwachung von Änderungen an NACLs trägt dazu bei, sicherzustellen, dass AWS-Ressourcen und -Dienste nicht unbeabsichtigt verfügbar gemacht werden.

Schweregrad: Niedrig

Für Änderungen an Netzwerkgateways müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Netzwerkgateways sind erforderlich, um Datenverkehr an ein Ziel außerhalb einer VPC zu senden/zu empfangen. Es wird empfohlen, dass für Änderungen an Netzwerkgateways ein metrischer Filter und ein Alarm eingerichtet werden. Die Überwachung von Änderungen an Netzwerkgateways trägt dazu bei, dass der gesamte Eingangs-/Ausgangsverkehr den BORDER über einen kontrollierten Pfad durchquert.

Schweregrad: Niedrig

Für CloudTrail-Konfigurationsänderungen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, einen metrikbasierten Filter und Alarm einzurichten, um Änderungen an den Konfigurationen von CloudTrail zu erkennen.

Die Überwachung von Änderungen an der Konfiguration von CloudTrail trägt dazu bei, dass die im AWS-Konto durchgeführten Aktivitäten nachhaltig sichtbar sind.

Schweregrad: Niedrig

Für die Deaktivierung oder geplante Löschung kundenseitig erstellter CMKs müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, einen Metrikfilter und einen Alarm für vom Kunden erstellte CMKs einzurichten, die den Status in "Deaktiviert" oder "Geplante Löschung" geändert haben. Mit deaktivierten oder gelöschten Schlüsseln verschlüsselte Daten sind nicht länger zugänglich.

Schweregrad: Niedrig

Für IAM-Richtlinienänderungen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, dass ein metrikbasierter Filter und alarmiert werden, die an den Richtlinien für Identitäts- und Zugriffsverwaltung (IDENTITY and Access Management, IAM) vorgenommen wurden. Die Überwachung von Änderungen an DEN IAM-Richtlinien trägt dazu bei, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

Schweregrad: Niedrig

Stellen Sie sicher, dass für die Anmeldungen bei der AWS-Managementkonsole ohne mehrstufige Authentifizierung ein Protokollmetrikfilter und -alarm vorhanden sind.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, für Konsolenanmeldungen, die nicht durch mehrstufige Authentifizierung (MFA) geschützt sind, einen Metrikfilter und -alarm einzurichten. Die Überwachung für einstufige Konsolenanmeldungen erhöht die Sichtbarkeit von Konten, die nicht durch MFA geschützt sind.

Schweregrad: Niedrig

Für Änderungen an Routingtabellen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Routingtabellen werden verwendet, um den Netzwerkverkehr zwischen Subnetzen und zu Netzwerk-Gateways zu leiten. Es wird empfohlen, dass für Änderungen an Routentabellen ein metrischer Filter und ein Alarm eingerichtet werden. Durch die Überwachung von Änderungen an Routentabellen wird sichergestellt, dass der gesamte VERKEHRSFLUSS durch einen erwarteten Pfad fließt.

Schweregrad: Niedrig

Für Richtlinienänderungen an S3-Buckets müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, einen Metrikfilter und einen Alarm für Änderungen an S3-Bucketrichtlinien einzurichten. Die Überwachung von Änderungen an S3-Bucketrichtlinien kann die Zeit reduzieren, um zulässige Richtlinien für vertrauliche S3-Buckets zu erkennen und zu korrigieren.

Schweregrad: Niedrig

Für Änderungen an Sicherheitsgruppen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Sicherheitsgruppen sind ein zustandsbehafteter Paketfilter, der eingehenden und ausgehenden Datenverkehr innerhalb einer VPC steuert. Es wird empfohlen, dass änderungen an Sicherheitsgruppen durch einen Metrikfilter und alarmiert werden. Durch die Überwachung von Änderungen an der Sicherheitsgruppe wird sichergestellt, dass Ressourcen und Dienste nicht unbeabsichtigt verfügbar gemacht werden.

Schweregrad: Niedrig

Für nicht autorisierte API-Aufrufe müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, für nicht autorisierte API-Aufrufe einen Metrikfilter und einen Alarm einzurichten. Die Überwachung nicht autorisierter API-Aufrufe trägt dazu bei, Anwendungsfehler aufzudecken und die Zeit zum Erkennen bösartiger Aktivitäten zu reduzieren.

Schweregrad: Niedrig

Stellen Sie sicher, dass für die Verwendung des Root-Kontos ein Protokollmetrikfilter und ein Alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es wird empfohlen, für Stammanmeldungsversuche einen Metrikfilter und -alarm einzurichten.

Die Überwachung von Stammkontoanmeldungen bietet Einblicke in die Verwendung eines vollständig privilegierten Kontos und eine Möglichkeit, die Nutzung zu reduzieren.

Schweregrad: Niedrig

Für VPC-Änderungen müssen ein Protokollmetrikfilter und -alarm vorhanden sein.

Beschreibung: Die Echtzeitüberwachung von API-Aufrufen kann erreicht werden, indem CloudTrail Logs an CloudWatch Logs geleitet und entsprechende Metrikfilter und Alarme erstellt werden. Es ist möglich, mehr als ein ELEMENT innerhalb eines Kontos zu haben. Darüber hinaus ist es auch möglich, eine Peerverbindung zwischen 2 VPCs zu erstellen, die den Netzwerkverkehr zwischen VPCs ermöglichen. Es wird empfohlen, für Änderungen an VPCs einen Metrikfilter und -alarm einzurichten. Die Überwachung von Änderungen an DEN IAM-Richtlinien trägt dazu bei, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

Schweregrad: Niedrig

Sicherheitsgruppen dürfen keinen eingehenden Datenverkehr von 0.0.0.0/0 an Port 3389 zulassen.

Beschreibung: Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des Eingehenden/Ausgehenden Netzwerkdatenverkehrs an AWS-Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 zulässt. Wenn Sie eine nicht gefettete Verbindung mit Remotekonsolendiensten wie RDP entfernen, wird das Risiko eines Servers verringert.

Schweregrad: hoch

RDS-Datenbanken und -Cluster dürfen keinen Standardport des Datenbankmoduls verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob der RDS-Cluster oder die Instanz einen anderen Port als den Standardport des Datenbankmoduls verwendet. Wenn Sie einen bekannten Port zum Bereitstellen eines RDS-Clusters oder einer Instanz verwenden, kann ein Angreifer Informationen über den Cluster oder die Instanz erraten. Der Angreifer kann diese Informationen zusammen mit anderen Informationen verwenden, um eine Verbindung mit einem RDS-Cluster oder einer Instanz herzustellen oder zusätzliche Informationen zu Ihrer Anwendung zu erhalten. Wenn Sie den Port ändern, müssen Sie auch die vorhandenen Verbindungszeichenfolgen aktualisieren, die zum Herstellen einer Verbindung mit dem alten Port verwendet wurden. Sie sollten auch die Sicherheitsgruppe der Datenbankinstanz überprüfen, um sicherzustellen, dass sie eine Eingangsregel enthält, welche die Konnektivität für den neuen Port zulässt.

Schweregrad: Niedrig

RDS-Instanzen sollten in einem VPC bereitgestellt werden.

Beschreibung: VPCs bieten eine Reihe von Netzwerksteuerelementen für den sicheren Zugriff auf RDS-Ressourcen. Zu diesen Kontrollen gehören VPC-Endpunkte, Netzwerk-ACLs und Sicherheitsgruppen. Um diese Kontrollen zu nutzen, empfehlen wir, dass Sie RDS-Instanzen von EC2-Classic zu EC2-VPC verschieben.

Schweregrad: Niedrig

S3-Buckets sollten für Anforderungen die Verwendung von SSL (Secure Socket Layer) vorschreiben.

Beschreibung: Es wird empfohlen, Anforderungen zur Verwendung von Secure Socket Layer (SSL) für alle Amazon S3-Buckets zu verlangen. S3-Buckets sollten Richtlinien umfassen, nach denen alle Anforderungen (Action: S3:*) nur die Übertragung von Daten über HTTPS in der S3-Ressourcenrichtlinie akzeptieren (angegeben durch den Bedingungsschlüssel „aws:SecureTransport“).

Schweregrad: Mittel

Sicherheitsgruppen sollten den Eingang von 0.0.0.0/0 bis Port 22 nicht zulassen.

Beschreibung: Um die Belichtung des Servers zu verringern, wird empfohlen, den uneingeschränkten Zugriff auf Port '22' nicht zuzulassen.

Schweregrad: hoch

Sicherheitsgruppen dürfen keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob uneingeschränkter eingehender Datenverkehr für die Sicherheitsgruppen für die angegebenen Ports mit dem höchsten Risiko zugänglich ist. Diese Kontrolle wird bestanden, wenn keine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von 0.0.0.0/0 für diese Ports zulässt. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Möglichkeiten für böswillige Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust. Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des eingehenden und ausgehenden Netzwerkdatenverkehrs zu AWS-Ressourcen. Keine Sicherheitsgruppe sollte uneingeschränkten Eingangszugriff auf die folgenden Ports zulassen:

  • 3389 (RDP)
  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 110 (POP3)
  • 143 (IMAP)
  • 3306 (MySQL)
  • 8080 (Proxy)
  • 1433, 1434 (MSSQL)
  • 9200 oder 9300 (Elasticsearch)
  • 5601 (Kibana)
  • 25 (SMTP)
  • 445 (CIFS)
  • 135 (RPC)
  • 4333 (ahsp)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)

Schweregrad: Mittel

Sicherheitsgruppen dürfen uneingeschränkten eingehenden Datenverkehr nur für autorisierte Ports zulassen.

Beschreibung: Dieses Steuerelement überprüft, ob die verwendeten Sicherheitsgruppen uneingeschränkten eingehenden Datenverkehr zulassen. Optional überprüft die Regel, ob die Portnummern im authorizedTcpPorts-Parameter aufgeführt sind.

  • Wenn die Portnummer der Sicherheitsgruppenregel uneingeschränkten eingehenden Datenverkehr zulässt, aber die Portnummer in "authorizedTcpPorts" angegeben ist, wird das Steuerelement übergeben. Der Standardwert für „authorizedTcpPorts“ ist 80, 443.
  • Wenn die Portnummer der Sicherheitsgruppenregel uneingeschränkten eingehenden Datenverkehr zulässt, die Portnummer jedoch nicht im eingabeparameter authorizedTcpPorts angegeben ist, schlägt das Steuerelement fehl.
  • Wenn der Parameter nicht verwendet wird, schlägt das Steuerelement für jede Sicherheitsgruppe mit einer uneingeschränkten eingehenden Regel fehl. Sicherheitsgruppen bieten eine zustandsbehaftete Filterung des eingehenden und ausgehenden Netzwerkdatenverkehrs mit AWS. Sicherheitsgruppenregeln sollten dem Prinzip des geringsten privilegierten Zugriffs entsprechen. Uneingeschränkter Zugriff (IP-Adresse mit einem Suffix „/0“) erhöht die Chancen für böswillige Aktivitäten wie Hacking, Denial-of-Service-Angriffe und Datenverlust. Sofern kein Port ausdrücklich zulässig ist, sollte der Port den uneingeschränkten Zugriff verweigern.

Schweregrad: hoch

Nicht verwendete EC2-EIPs sollten entfernt werden.

Beschreibung: Elastische IP-Adressen, die einem ENUMERATION zugeordnet sind, sollten an Amazon EC2-Instanzen oder in-use elastic network interfaces (ENIs) angefügt werden.

Schweregrad: Niedrig

Nicht verwendete Zugriffssteuerungslisten für Netzwerke sollten entfernt werden.

Beschreibung: Dieses Steuerelement überprüft, ob nicht verwendete Netzwerkzugriffssteuerungslisten (ACLs) vorhanden sind. Die Kontrolle überprüft die Elementkonfiguration der Ressource „AWS::EC2::NetworkAcl“ und ermittelt die Beziehungen der Netzwerk-ACL. Wenn die einzige Beziehung der VPC die Netzwerk-ACL ist, schlägt die Kontrolle fehl. Wenn andere Beziehungen aufgelistet werden, dann ist die Kontrolle erfüllt.

Schweregrad: Niedrig

Die Standardsicherheitsgruppe einer VPC sollte den gesamten Datenverkehr einschränken.

Beschreibung: Sicherheitsgruppe sollte den gesamten Datenverkehr einschränken, um die Ressourcenexposition zu verringern.

Schweregrad: Niedrig

GCP-Netzwerkempfehlungen

Cluster-Hosts sollten so konfiguriert sein, dass nur private, interne IP-Adressen für den Zugriff auf Google-APIs verwendet werden.

Beschreibung: Diese Empfehlung wertet aus, ob die privateIpGoogleAccess-Eigenschaft eines Subnetzworks auf "false" festgelegt ist.

Schweregrad: hoch

Computeinstanzen sollten einen Lastenausgleich verwenden, der für die Verwendung eines Ziel-HTTPS-Proxys konfiguriert ist.

Beschreibung: Diese Empfehlung wertet aus, ob die selfLink-Eigenschaft der TargetHttpProxy-Ressource mit dem Zielattribut in der Weiterleitungsregel übereinstimmt und wenn die Weiterleitungsregel ein loadBalancingScheme-Feld enthält, das auf "Extern" festgelegt ist.

Schweregrad: Mittel

Die Steuerungsebene autorisierter Netzwerke sollte für GKE-Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet die masterAuthorizedNetworksConfig-Eigenschaft eines Clusters für das Schlüsselwertpaar "enabled": false aus.

Schweregrad: hoch

Für eine Firewall sollte eine Ausgangsverweigerungsregel festgelegt sein, um unerwünschten ausgehenden Datenverkehr zu blockieren.

Beschreibung: Diese Empfehlung wertet aus, ob die eigenschaft destinationRanges in der Firewall auf 0.0.0.0/0 festgelegt ist und die verweigerte Eigenschaft das Schlüssel-Wert-Paar enthält. 'IPProtocol': 'all.'

Schweregrad: Niedrig

Stellen Sie sicher, dass Firewallregeln für Instanzen hinter identitätsfähigen Proxys (IAP) nur datenverkehrsbasierte Integritätsprüfung und Proxyadressen von Google Cloud LoadBalancer (GCLB) zulassen.

Beschreibung: Der Zugriff auf VMs sollte durch Firewallregeln eingeschränkt werden, die nur IAP-Datenverkehr zulassen, indem sichergestellt wird, dass nur Verbindungen mit dem IAP zulässig sind. Damit der Lastenausgleich ordnungsgemäß funktioniert, sollten auch Integritätsprüfungen zulässig sein. IAP stellt sicher, dass der Zugriff auf VMs durch die Authentifizierung eingehender Anforderungen gesteuert wird. Wenn auf den virtuellen Computer jedoch weiterhin von anderen IP-Adressen als dem IAP zugegriffen werden kann, ist es möglicherweise dennoch möglich, nicht authentifizierte Anforderungen an die Instanz zu senden. Es muss darauf geachtet werden, dass die Integritätsprüfungen von Loadblancer nicht blockiert werden, da dadurch das Lastenausgleichsmodul nicht ordnungsgemäß die Integrität des virtuellen Computers und den Lastenausgleich ordnungsgemäß kennt.

Schweregrad: Mittel

Für ein Projekt dürfen keine Legacynetzwerke vorhanden sein.

Beschreibung: Um die Verwendung von Legacynetzwerken zu verhindern, sollte ein Projekt kein älteres Netzwerk konfiguriert haben. Legacynetzwerke verfügen über einen IPv4-Präfixbereich für ein einzelnes Netzwerk und eine einzelne Gateway-IP-Adresse für das gesamte Netzwerk. Das Netzwerk ist global gültig und umfasst alle Cloudregionen. Subnetze können nicht in einem älteren Netzwerk erstellt werden und können nicht von Legacy zu automatischen oder benutzerdefinierten Subnetznetzwerken wechseln. Legacynetzwerke können sich auf Projekte mit hohem Netzwerkdatenverkehr auswirken und einem Single Point of Contention oder Failure unterliegen.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflag "log_hostname" für die Cloud SQL PostgreSQL-Instanz richtig festgelegt ist.

Beschreibung: PostgreSQL protokolliert nur die IP-Adresse der Verbindungshosts. Das Flag "log_hostname" steuert die Protokollierung von Hostnamen zusätzlich zu den protokollierten IP-Adressen. Sie Auswirkung auf die Leistung hängt von der Konfiguration der Umgebung und der Einrichtung der Hostnamenauflösung ab. Dieser Parameter kann nur in der Datei "postgresql.conf" oder über die Serverbefehlszeile festgelegt werden. Bei der Protokollierung von Hostnamen kann die Serverleistung beeinträchtigt werden, da für jede protokollierte Anweisung eine DNS-Auflösung erforderlich ist, um die IP-Adresse in einen Hostnamen zu konvertieren. Je nach Setup ist dies möglicherweise nicht vernachlässigbar. Darüber hinaus können die IP-Adressen, die protokolliert werden, später in ihre DNS-Namen aufgelöst werden, wenn die Protokolle überprüft werden (außer bei Verwendung dynamischer Hostnamen). Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Niedrig

HTTPS- oder SSL-Proxy-Lastenausgleichsmodule dürfen keine SSL-Richtlinien mit schwacher Verschlüsselung zulassen.

Beschreibung: Ssl-Richtlinien (Secure Sockets Layer) bestimmen, welche TLS-Features (Port Transport Layer Security) Clients beim Herstellen einer Verbindung mit Lastenausgleichsfunktionen verwenden dürfen. Um die Verwendung unsicherer Features zu verhindern, sollten SSL-Richtlinien mindestens TLS 1.2 mit dem MODERN-Profil verwenden; oder (b) das RESTRICTED-Profil, da clients unabhängig von der gewählten Mindest-TLS-Version effektiv TLS 1.2 verwenden müssen; oder (3) ein BENUTZERDEFINIERTEs Profil, das keine der folgenden Features unterstützt: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Lastenausgleichsmodule werden verwendet, um den Datenverkehr effizient auf mehrere Server zu verteilen. Sowohl SSL-Proxy- als auch HTTPS-Lastenausgleichsmodule sind externe Lastenausgleichsmodule, d. h. sie verteilen Datenverkehr aus dem Internet an ein GCP-Netzwerk. GCP-Kunden können SSL-Richtlinien für den Lastenausgleich mit einer TLS-Mindestversion (1.0, 1.1 oder 1.2), mit der Clients eine Verbindung herstellen können, zusammen mit einem Profil (Compatible, Modern, Restricted oder Custom), das zulässige Cipher-Suites angibt, konfigurieren. Um Benutzern eine Verwendung von veraltete Protokollen zu ermöglichen, können GCP-Lastenausgleichsmodule so konfiguriert werden, dass unsichere Cipher-Suites zulässig sind. De facto verwendet die SSL-Standardrichtlinie von GCP TLS 1.0 als Mindestversion und ein Compatible-Profil, was die größte Anzahl unsicherer Cipher-Suites ermöglicht. Daher ist es für Kunden einfach, einen Lastenausgleich zu konfigurieren, ohne zu wissen, dass sie veraltete Verschlüsselungssammlungen zulassen.

Schweregrad: Mittel

Stellen Sie sicher, dass die Cloud-DNS-Protokollierung für alle VPC-Netzwerke aktiviert ist.

Beschreibung: Die Cloud-DNS-Protokollierung zeichnet die Abfragen von den Namenservern in Ihrem VORGANG auf Stackdriver auf. Protokollierte Abfragen können von Compute Engine-VMs, GKE-Containern oder anderen GCP-Ressourcen stammen, die in der VPC bereitgestellt werden. Sicherheitsüberwachung und Forensik können nicht ausschließlich von IP-Adressen aus PROTOKOLLen DES NACHRICHTENflusses abhängen, insbesondere, wenn sie die dynamische IP-Nutzung von Cloudressourcen, das VIRTUELLE HTTP-Hostrouting und andere Technologien berücksichtigen, die den von einem Client verwendeten DNS-Namen von der IP-Adresse verdecken können. Die Überwachung von Cloud-DNS-Protokollen bietet Einblick in DNS-Namen, die von den Clients in der VPC angefordert werden. Diese Protokolle können auf anomale Domänennamen überwacht und anhand von Threat Intelligence ausgewertet werden.

Für die vollständige Erfassung von DNS muss die Firewall den Ausgang UDP/53 (DNS) und TCP/443 (DNS over HTTPS) blockieren, um zu verhindern, dass der Client externe DNS-Namensserver zur Auflösung verwendet.

Schweregrad: hoch

Für Cloud DNS muss DNSSEC aktiviert sein.

Beschreibung: Das Cloud Domain Name System (DNS) ist ein schnelles, zuverlässiges und kostengünstiges Domain Name System, das Millionen von Domänen im Internet unterstützt. DNSSEC (Domain Name System Security Extensions) in Cloud DNS bietet Domänenbesitzern die Möglichkeit, ihre Domänen mit einfachen Schritten vor DNS-Hijacking-, Man-in-the-Middle- und anderen Angriffen zu schützen. DNSSEC (Domain Name System Security Extensions) erhöht die Sicherheit des DNS-Protokolls, da damit die Validierung von DNS-Antworten ermöglicht wird. Ein vertrauenswürdiges DNS, das einen Domänennamen wie www.example.com in seine zugeordnete IP-Adresse übersetzt, ist ein zunehmend wichtiger Baustein der heutigen webbasierten Anwendungen. Angreifer können diesen Domänen-/IP-Lookupprozess an sich reißen und Benutzer durch DNS-Hijacking- und Man-in-the-Middle-Angriffe zu einer schädlichen Website umleiten. DNSSEC trägt dazu bei, das Risiko solcher Angriffe zu verringern, indem DNS-Einträge kryptografisch signiert werden. Dadurch wird verhindert, dass Angreifer gefälschte DNS-Antworten ausstellen, die Browser möglicherweise zu verheißungswürdigen Websites verleiten.

Schweregrad: Mittel

Der RDP-Zugriff aus dem Internet muss eingeschränkt sein.

Beschreibung: GCP-Firewallregeln sind spezifisch für ein ASSEMBLY-Netzwerk. Jede Regel kann Datenverkehr zulassen oder verweigern, wenn die jeweiligen Bedingungen erfüllt sind. Die Bedingungen ermöglichen es Benutzern, den Typ des Datenverkehrs, z. B. Ports und Protokolle, sowie Quelle oder Ziel des Datenverkehrs anzugeben, z. B. IP-Adressen, Subnetze und Instanzen. Firewallregeln werden auf NETZWERKebene definiert und sind spezifisch für das Netzwerk, in dem sie definiert sind. Die Regeln selbst können nicht zwischen Netzwerken geteilt werden. Firewallregeln unterstützen nur IPv4-Datenverkehr. Wenn Sie eine Quelle für eine Eingangsregel oder ein Ziel für eine Ausgangsregel nach Adresse angeben, kann eine IPv4-Adresse oder ein IPv4-Block in CIDR-Notation verwendet werden. Generischer (0.0.0.0/0) eingehender Datenverkehr aus dem Internet zu einer VM- oder VM-Instanz mit RDP auf Port 3389 kann vermieden werden. GCP-Firewallregeln in einem VPC-Netzwerk gelten für ausgehenden Datenverkehr von Instanzen und eingehenden Datenverkehr an Instanzen im Netzwerk. Aus- und eingehende Datenverkehrsflüsse werden gesteuert, auch wenn der Datenverkehr im Netzwerk verbleibt (z. B. Kommunikation zwischen Instanzen). Damit eine Instanz ausgehenden Internetzugriff hat, muss das Netzwerk über eine gültige Internetgatewayroute oder eine benutzerdefinierte Route verfügen, deren IP-Zieladresse angegeben ist. Diese Route definiert lediglich den Pfad zum Internet, der aus dem Internet über RDP mit dem Standardport 3389 angegeben wird, um den allgemeinsten (0.0.0.0/0) IP-Zieladressbereich zu vermeiden. Der generische Zugriff aus dem Internet auf einen bestimmten IP-Adressbereich sollte eingeschränkt werden.

Schweregrad: hoch

RSASHA1 darf nicht für den Schlüsselsignaturschlüssel in Cloud DNS DNSSEC verwendet werden.

Beschreibung: DNSSEC-Algorithmusnummern in dieser Registrierung können in CERT-RRs verwendet werden. Zonensignierung (DNSSEC) sowie Transaktionssicherheitsmechanismen (SIG(0) und TSIG) verwenden bestimmte Subsets dieser Algorithmen. Der für die Schlüsselsignierung verwendete Algorithmus sollte empfohlen und stark sein. DnsSEC-Algorithmusnummern (Domain Name System Security Extensions) in dieser Registrierung können in CERT-RRs verwendet werden. Zonensignierung (DNSSEC) sowie Transaktionssicherheitsmechanismen (SIG(0) und TSIG) verwenden bestimmte Subsets dieser Algorithmen. Der für die Schlüsselsignierung verwendete Algorithmus sollte empfohlen und stark sein. Wenn Sie DNSSEC für eine verwaltete Zone aktivieren oder eine verwaltete Zone mit DNSSEC erstellen, kann der Benutzer die DNSSEC-Signaturalgorithmen und den Denial-of-Existence-Typ auswählen. Das Ändern der DNSSEC-Einstellungen ist nur für eine verwaltete Zone wirksam, wenn DNSSEC noch nicht aktiviert ist. Wenn es erforderlich ist, die Einstellungen für eine verwaltete Zone zu ändern, in der sie aktiviert wurde, deaktivieren Sie DNSSEC und aktivieren Sie sie dann mit unterschiedlichen Einstellungen erneut.

Schweregrad: Mittel

RSASHA1 darf nicht für den Zonensignaturschlüssel in Cloud DNS DNSSEC verwendet werden.

Beschreibung: DNSSEC-Algorithmusnummern in dieser Registrierung können in CERT-RRs verwendet werden. Zonensignierung (DNSSEC) sowie Transaktionssicherheitsmechanismen (SIG(0) und TSIG) verwenden bestimmte Subsets dieser Algorithmen. Der für die Schlüsselsignierung verwendete Algorithmus sollte empfohlen und stark sein. DNSSEC-Algorithmusnummern in dieser Registrierung können in CERT-RRs verwendet werden. Zonensignierung (DNSSEC) sowie Transaktionssicherheitsmechanismen (SIG(0) und TSIG) verwenden bestimmte Subsets dieser Algorithmen. Der für die Schlüsselsignierung verwendete Algorithmus sollte empfohlen und stark sein. Wenn Sie DNSSEC für eine verwaltete Zone aktivieren oder eine verwaltete Zone mit DNSSEC erstellen, können die DNSSEC-Signaturalgorithmen und der Denial-of-Existence-Typ ausgewählt werden. Das Ändern der DNSSEC-Einstellungen ist nur für eine verwaltete Zone wirksam, wenn DNSSEC noch nicht aktiviert ist. Wenn die Notwendigkeit besteht, die Einstellungen für eine verwaltete Zone zu ändern, in der sie aktiviert wurde, deaktivieren Sie DNSSEC und aktivieren Sie sie dann mit unterschiedlichen Einstellungen erneut.

Schweregrad: Mittel

Der SSH-Zugriff aus dem Internet muss eingeschränkt sein.

Beschreibung: GCP-Firewallregeln sind spezifisch für ein ASSEMBLY-Netzwerk. Jede Regel kann Datenverkehr zulassen oder verweigern, wenn die jeweiligen Bedingungen erfüllt sind. Die Bedingungen ermöglichen es dem Benutzer, den Typ des Datenverkehrs, z. B. Ports und Protokolle, sowie Quelle oder Ziel des Datenverkehrs anzugeben, z. B. IP-Adressen, Subnetze und Instanzen. Firewallregeln werden auf NETZWERKebene definiert und sind spezifisch für das Netzwerk, in dem sie definiert sind. Die Regeln selbst können nicht zwischen Netzwerken geteilt werden. Firewallregeln unterstützen nur IPv4-Datenverkehr. Wenn Sie eine Quelle für eine Eingangsregel oder ein Ziel für eine Ausgangsregel nach Adresse angeben, kann nur eine IPv4-Adresse oder ein IPv4-Block in CIDR-Notation verwendet werden. Generischer (0.0.0.0/0) eingehender Datenverkehr aus dem Internet zu einer VPC- oder VM-Instanz über SSH an Port 22 kann vermieden werden. GCP-Firewallregeln in einem VPC-Netzwerk gelten für ausgehenden Datenverkehr von Instanzen und eingehenden Datenverkehr an Instanzen im Netzwerk. Aus- und eingehende Datenverkehrsflüsse werden gesteuert, auch wenn der Datenverkehr im Netzwerk verbleibt (z. B. Kommunikation zwischen Instanzen). Damit eine Instanz ausgehenden Internetzugriff hat, muss das Netzwerk über eine gültige Internetgatewayroute oder eine benutzerdefinierte Route verfügen, deren IP-Zieladresse angegeben ist. Diese Route definiert einfach den Pfad zum Internet, um den allgemeinsten (0.0.0.0/0)-Ziel-IP-Bereich zu vermeiden, der über das Internet über SSH mit dem Standardport "22" angegeben ist. Der generische Zugriff aus dem Internet auf einen bestimmten IP-Adressbereich muss eingeschränkt werden.

Schweregrad: hoch

In einem Projekt darf kein Standardnetzwerk vorhanden sein.

Beschreibung: Um die Verwendung des "Standardnetzwerks" zu verhindern, sollte ein Projekt nicht über ein "Standardnetzwerk" verfügen. Das Standardnetzwerk verfügt über eine vorkonfigurierte Netzwerkkonfiguration und generiert automatisch die folgenden unsicheren Firewallregeln:

  • default-allow-internal: Ermöglicht eingehende Verbindungen für alle Protokolle und Ports zwischen Instanzen im Netzwerk.
  • default-allow-ssh: Ermöglicht eingehende Verbindungen an TCP-Port 22 (SSH) von jeder Quelle zu jeder Instanz im Netzwerk.
  • default-allow-rdp: Ermöglicht eingehende Verbindungen an TCP-Port 3389 (RDP) von jeder Quelle zu jeder Instanz im Netzwerk.
  • default-allow-icmp: Ermöglicht eingehenden ICMP-Datenverkehr von jeder Quelle zu jeder Instanz im Netzwerk.

Diese automatisch erstellten Firewallregeln werden nicht protokolliert und können nicht konfiguriert werden, um die Firewallregelprotokollierung zu aktivieren. Darüber hinaus ist das Standardnetzwerk ein Netzwerk, das den automatischen Modus verwendet. Das bedeutet, dass seine Subnetze denselben vordefinierten IP-Adressbereich verwenden, sodass eine Verwendung von Cloud-VPN- oder VPC-Netzwerkpeering mit dem Standardnetzwerk nicht möglich ist. Abhängig von den Sicherheits- und Netzwerkanforderungen der Organisation sollte die Organisation ein neues Netzwerk erstellen und das Standardnetzwerk löschen.

Schweregrad: Mittel

Für VPC-Netzwerkänderungen müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Es wird empfohlen, einen metrikbasierten Filter und Alarm für NETZWERKänderungen in Virtual Private Cloud (CLI) einzurichten. Es ist möglich, in einem Projekt mehr als ein PROJEKT ZU haben. Darüber hinaus ist es auch möglich, eine Peerverbindung zwischen zwei VPCs zu erstellen, die es ermöglichen, den Netzwerkdatenverkehr zwischen VPCs zu leiten. Durch die Überwachung von Änderungen an einem VORGEHENSWEISEn wird sichergestellt, dass der DATENVERKEHRsfluss DER NACHRICHTEN nicht beeinträchtigt wird.

Schweregrad: Niedrig

Für Änderungen an VPC-Netzwerkfirewallregeln müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Es wird empfohlen, dass ein Metrikfilter und -alarm für VIRTUAL Private Cloud (DLP) Netzwerkfirewall-Regeländerungen eingerichtet werden. Die Überwachung für Ereignisse der Create- oder Update-Firewall-Regel bietet Einblicke in Netzwerkzugriffsänderungen und reduziert möglicherweise die Zeit, die zum Erkennen verdächtiger Aktivitäten benötigt wird.

Schweregrad: Niedrig

Für Änderungen an VPC-Netzwerkrouten müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Es wird empfohlen, dass ein metrikbasierter Filter und Alarm für Netzwerkroutenänderungen in virtual Private Cloud (CLI) eingerichtet werden. Google Cloud Platform-Routen (GCP) definieren die Pfade, die der Netzwerkdatenverkehr von einer VM-Instanz zu einem anderen Ziel nimmt. Das andere Ziel kann sich innerhalb des VPC-Netzwerks der Organisation (z. B. eine andere VM) oder außerhalb des Unternehmens befinden. Jede Route umfasst ein Ziel und einen nächsten Hop. Datenverkehr, dessen IP-Zieladresse im Zielbereich liegt, wird zur Übermittlung an den nächsten Hop gesendet. Durch das Überwachen der Änderungen an Routingtabellen wird sichergestellt, dass der gesamte VPC-Datenverkehr über einen erwarteten Pfad verläuft.

Schweregrad: Niedrig

Stellen Sie sicher, dass das Datenbankflag "log_connections" für die Cloud SQL PostgreSQL-Instanz auf "on" festgelegt ist.

Beschreibung: Das Aktivieren der log_connections Einstellung bewirkt, dass jede versuchte Verbindung mit dem Server protokolliert wird, zusammen mit dem erfolgreichen Abschluss der Clientauthentifizierung. Dieser Parameter kann nach dem Start der Sitzung nicht mehr geändert werden. PostgreSQL protokolliert standardmäßig keine versuchten Verbindungen. Wenn Sie die Einstellung log_connections aktivieren, werden Protokolleinträge für jede versuchte Verbindung sowie für den erfolgreichen Abschluss der Clientauthentifizierung erstellt, was bei der Problembehandlung hilfreich sein kann und ungewöhnliche Verbindungsversuche mit dem Server ermittelt werden können. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflag "log_disconnections" für die Cloud SQL PostgreSQL-Instanz auf "on" festgelegt ist.

Beschreibung: Aktivieren der log_disconnections Einstellung protokolliert das Ende jeder Sitzung, einschließlich der Sitzungsdauer. PostgreSQL protokolliert keine Sitzungsdetails wie Dauer und Sitzungsende standardmäßig. Wenn Sie die Einstellung log_disconnections aktivieren, werden Protokolleinträge am Ende jeder Sitzung erstellt, die bei der Problembehandlung hilfreich sein können und ungewöhnliche Aktivitäten über einen bestimmten Zeitraum hinweg bestimmen können. Die Einstellungen "log_disconnections" und "log_connections" arbeiten Hand in Hand und werden im Allgemeinen zusammen aktiviert/deaktiviert. Diese Empfehlung gilt für PostgreSQL-Datenbankinstanzen.

Schweregrad: Mittel

Für jedes Subnetz in einem VPC-Netzwerk muss VPC Flow Logs aktiviert sein.

Beschreibung: Ablaufprotokolle sind ein Feature, mit dem Benutzer Informationen über den IP-Datenverkehr erfassen können, der zu und von Netzwerkschnittstellen in den SUBNETzen der Organisation geleitet wird. Sobald ein Flusslog erstellt wurde, kann der Benutzer seine Daten in der Stackdriver-Protokollierung anzeigen und abrufen. Es wird empfohlen, dass Ablaufprotokolle für jedes unternehmenskritische SUBNET AKTIVIERT werden. VPC-Netzwerke und -Subnetze ermöglichen logisch isolierte und sichere Netzwerkpartitionen, in denen GCP-Ressourcen gestartet werden können. Wenn Flusslogs für ein Subnetz aktiviert sind, erstellen VMs in diesem Subnetz Berichte für alle TCP- (Transmission Control Protocol) und UDP-Flows (User Datagram Protocol). Jede VM entnimmt unabhängig davon, ob der Flow zu oder von einer anderen VM, einem Host im lokalen Rechenzentrum, einem Google-Dienst oder einem Host im Internet erfolgt, Stichproben der sichtbaren, ein- und ausgehenden TCP- und UDP-Flows. Wenn zwei GCP-VMs miteinander kommunizieren und sich beide in Subnetzen befinden, in denen VPC-Flusslogs aktiviert sind, melden beide VMs die Flows. Flusslogs unterstützen die folgenden Anwendungsfälle: 1. Netzwerküberwachung. 2. Grundlegende Informationen zur Netzwerknutzung und Optimierung der Netzwerkdatenverkehrskosten. 3. Netzwerkforensik. 4. Ablaufprotokolle zur Echtzeitsicherheitsanalyse bieten Einblicke in den Netzwerkdatenverkehr für jeden virtuellen Computer innerhalb des Subnetzes und können verwendet werden, um anomale Datenverkehr oder Einblicke während Sicherheitsworkflows zu erkennen.

Schweregrad: Niedrig

Die Firewallregelprotokollierung sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet die logConfig-Eigenschaft in Firewallmetadaten aus, um festzustellen, ob sie leer ist oder das Schlüsselwertpaar 'enable': false enthält.

Schweregrad: Mittel

Die Firewall sollte nicht so konfiguriert sein, dass sie für den öffentlichen Zugriff geöffnet ist.

Beschreibung: Diese Empfehlung wertet die sourceRanges und zulässigen Eigenschaften für eine von zwei Konfigurationen aus:

Die sourceRanges-Eigenschaft enthält 0.0.0.0/0, und die allowed-Eigenschaft enthält eine Kombination von Regeln, die eine beliebige Protokoll- oder Protokoll:Port-Angabe enthält, mit Ausnahme der folgenden:

  • icmp
  • tcp: 22
  • tcp: 443
  • tcp: 3389
  • udp: 3389
  • sctp: 22

Die sourceRanges-Eigenschaft enthält eine Kombination aus IP-Bereichen, die alle nichtprivaten IP-Adressen enthalten und die zulässige Eigenschaft eine Kombination von Regeln enthält, die entweder alle TCP-Ports oder alle UDP-Ports zulassen.

Schweregrad: hoch

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen CASSANDRA-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen CISCOSECURE_WEBSM-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für das folgende Protokoll und den folgenden Port aus: TCP: 9090.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen DIRECTORY_SERVICES-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 445 und UDP: 445.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen DNS-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 53 und UDP: 53.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen ELASTICSEARCH-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 9200, 9300.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen FTP-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für das folgende Protokoll und den folgenden Port aus: TCP: 21.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen HTTP-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 80.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen LDAP-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 389, 636 und UDP: 389.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen MEMCACHED-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 11211, 11214-11215 und UDP: 11211, 11214-11215.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen MONGODB-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 27017-27019.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert werden, dass sie über einen offenen MYSQL-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für das folgende Protokoll und den folgenden Port aus: TCP: 3306.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen NETBIOS-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 137-139 und UDP: 137-139.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen ORACLEDB-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 1521, 2483-2484 und UDP: 2483-2484.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen POP3-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für das folgende Protokoll und den folgenden Port aus: TCP: 110.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen PostgreSQL-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet die zulässige Eigenschaft in Firewallmetadaten für die folgenden Protokolle und Ports aus: TCP: 5432 und UDP: 5432.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen REDIS-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet aus, ob die zulässige Eigenschaft in Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP: 6379.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert werden, dass sie über einen offenen SMTP-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet aus, ob die zulässige Eigenschaft in Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP: 25.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen SSH-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet aus, ob die zulässige Eigenschaft in Firewallmetadaten die folgenden Protokolle und Ports enthält: TCP: 22 und SCTP: 22.

Schweregrad: Niedrig

Eine Firewall sollte nicht so konfiguriert sein, dass sie über einen offenen TELNET-Port verfügt, der generischen Zugriff ermöglicht.

Beschreibung: Diese Empfehlung wertet aus, ob die zulässige Eigenschaft in Firewallmetadaten das folgende Protokoll und den folgenden Port enthält: TCP: 23.

Schweregrad: Niedrig

Für GKE-Cluster sollten Alias-IP-Bereiche aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das useIPAliases-Feld der ipAllocationPolicy in einem Cluster auf "false" festgelegt ist.

Schweregrad: Niedrig

Für GKE-Cluster sollten private Cluster aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob das EnablePrivateNodes-Feld der privateClusterConfig-Eigenschaft auf "false" festgelegt ist.

Schweregrad: hoch

Die Netzwerkrichtlinie sollte auf GKE-Clustern aktiviert sein.

Beschreibung: Diese Empfehlung wertet das NetworkPolicy-Feld der AddonsConfig-Eigenschaft für das Schlüsselwertpaar "disabled" aus: true.

Schweregrad: Mittel