ネットワークセキュリティに関する推奨事項

[アーティクル]
09/06/2024

この記事では、Microsoft Defender for Cloud に表示されるすべてのネットワークセキュリティに関する推奨事項を示します。

環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。

これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を修復するを参照してください。

ヒント

推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。

たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。基になる推奨事項にはポリシーが存在します。ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。

Azure ネットワークに関する推奨事項

ファイアウォールと仮想ネットワークの構成があるストレージアカウントへのアクセスを制限する必要がある

説明: ストレージアカウントのファイアウォール設定のネットワークアクセスの設定を確認します。許可されているネットワークからのアプリケーションのみがストレージアカウントにアクセスできるように、ネットワークルールを構成することをお勧めします。特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリックインターネット IP アドレス範囲に、アクセス権を付与できます。 (関連ポリシー: ストレージアカウントでは、ネットワークアクセス) を制限する必要があります。

重大度: 低

アダプティブネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある

説明: Defender for Cloud は、以下に示す仮想マシンのインターネットトラフィック通信パターンを分析し、それらに関連付けられている NSG 内の既存のルールが過度に制限されていると判断し、潜在的な攻撃対象領域を増やしました。これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。または、Defender for Cloud の脅威インテリジェンスソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。詳細については、「アダプティブネットワークのセキュリティ強化により、ネットワークのセキュリティ体制を向上させる」を参照してください。 (関連ポリシー: アダプティブネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシン) に適用する必要があります。

重大度: 高

仮想マシンに関連付けられたネットワークセキュリティグループでは、すべてのネットワークポートを制限する必要がある

説明: Defender for Cloud では、ネットワークセキュリティグループの受信規則の一部が制限されすぎないように特定されています。受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 (関連ポリシー: すべてのネットワークポートは、仮想マシン) に関連付けられているネットワークセキュリティグループで制限する必要があります。

重大度: 高

Azure DDoS Protection Standard を有効にする必要がある

説明: Defender for Cloud は、DDoS 保護サービスによって保護されていない Application Gateway リソースを持つ仮想ネットワークを検出しました。これらのリソースには、パブリック IP が含まれています。ネットワークに対する帯域幅消費型攻撃およびプロトコル攻撃の軽減を有効にします。 (関連ポリシー: Azure DDoS Protection Standard を有効にする必要があります)。

重大度: 中

インターネットに接続する仮想マシンは、ネットワークセキュリティグループを使用して保護する必要がある

説明: ネットワークセキュリティグループ (NSG) を使用して VM へのアクセスを制限することで、潜在的な脅威から VM を保護します。 NSG には、同じサブネット内外の他のインスタンスから VM へのネットワークトラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。重大度が "高" の VM は、インターネットに接続する VM です。 (関連ポリシー: インターネットに接続する仮想マシンは、ネットワークセキュリティグループ) で保護する必要があります。

重大度: 高

仮想マシンでの IP 転送を無効にする必要がある

説明: Defender for Cloud は、一部の仮想マシンで IP 転送が有効になっていることを検出しました。仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワークセキュリティチームはこのことを確認する必要があります。 (関連ポリシー: 仮想マシンでの IP 転送を無効にする必要があります)。

重大度: 中

マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります

説明: Azure の使用条件、Microsoft サーバーまたはネットワークに損害を与えたり、無効にしたり、過負荷にしたり、損なったりする可能性のある方法で Azure サービスを使用することを禁止します。この推奨事項には、セキュリティを維持するために閉じる必要がある公開ポートが列挙されます。また、各ポートに対する潜在的な脅威も示されます。 (関連ポリシーはありません)

重大度: 高

仮想マシンの管理ポートは、Just-In-Time のネットワークアクセス制御で保護する必要がある

説明: Defender for Cloud は、ネットワークセキュリティグループ内の管理ポートに対して、過度に制限の緩い受信規則をいくつか特定しました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。 (関連ポリシー: 仮想マシンの管理ポートは、Just-In-Time ネットワークアクセス制御) で保護する必要があります。

重大度: 高

仮想マシンの管理ポートを閉じておく必要がある

説明: オープンリモート管理ポートは、インターネットベースの攻撃による高レベルのリスクに VM を公開しています。これらの攻撃では、資格情報に対するブルートフォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 (関連ポリシー: 管理ポートは、仮想マシンで閉じる必要があります)。

重大度: 中

インターネットに接続されていない仮想マシンをネットワークセキュリティグループで保護する必要がある

説明: ネットワークセキュリティグループ (NSG) を使用してアクセスを制限することで、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG には、同じサブネット上にあるかどうかに関係なく、他のインスタンスから VM へのネットワークトラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 (関連ポリシー: インターネットに接続していない仮想マシンは、ネットワークセキュリティグループ) で保護する必要があります。

重大度: 低

ストレージアカウントへの安全な転送を有効にする必要がある

説明: セキュリティで保護された転送は、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるようにストレージアカウントに強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します。 (関連ポリシー: ストレージアカウントへの安全な転送を有効にする必要があります)。

重大度: 高

サブネットはネットワークセキュリティグループに関連付けられている必要がある

説明: ネットワークセキュリティグループ (NSG) を使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワークトラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM インスタンスと統合サービスに適用されますが、サブネット内の内部トラフィックには適用されません。同じサブネット内のリソースを相互にセキュリティで保護するには、リソースでも直接 NSG を有効にします。適用なしとして表示されるサブネットの種類は、GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet です。 (関連ポリシー: サブネットは、ネットワークセキュリティグループ) に関連付ける必要があります。

重大度: 低

仮想ネットワークは、Azure Firewall によって保護する必要がある

説明: 一部の仮想ネットワークはファイアウォールで保護されていません。 Azure Firewall を使用して、仮想ネットワークへのアクセスを制限し、潜在的な脅威を防ぎます。 (関連ポリシー: すべてのインターネットトラフィックは、デプロイされた Azure Firewall) 経由でルーティングする必要があります。

AWS のネットワークに関する推奨事項

Amazon EC2 は、VPC エンドポイントを使用して構成する必要がある

説明: このコントロールは、Amazon EC2 のサービスエンドポイントが VPC ごとに作成されているかどうかを確認します。 VPC に Amazon EC2 サービス用に作成された VPC エンドポイントがない場合、コントロールは失敗します。 VPC のセキュリティ体制を改善するには、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を構成します。インターフェイスエンドポイントには、Amazon EC2 API 操作にプライベートに接続できるテクノロジである AWS PrivateLink が活用されています。これにより、VPC と Amazon EC2 の間のネットワークトラフィックが Amazon ネットワークに制限されます。エンドポイントは同じリージョン内でのみサポートされるため、VPC と別のリージョンのサービスの間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API 呼び出しを防ぐことができます。 Amazon EC2 の VPC エンドポイントの作成に関する詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EC2 and interface VPC endpoints」 (Amazon EC2 とインターフェイス VPC エンドポイント) を参照してください。

重大度: 中

Amazon ECS サービスには、パブリック IP アドレスを自動的に割り当てないようにする必要がある

説明: パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用して Amazon ECS インスタンスを起動すると、Amazon ECS インスタンスは、インターネットから到達可能となります。 Amazon ECS サービスには、コンテナーアプリケーションサーバーへの意図しないアクセスが許可される可能性があるため、パブリックにアクセスできないようにする必要があります。

重大度: 高

Amazon EMR クラスターマスターノードには、パブリック IP アドレスを指定しないようにする必要がある

説明: このコントロールは、Amazon EMR クラスターのマスターノードにパブリック IP アドレスがあるかどうかを確認します。このコントロールは、マスターノードに、そのいずれかのインスタンスに関連付けられているパブリック IP アドレスが指定されている場合に失敗します。パブリック IP アドレスは、インスタンスの NetworkInterfaces 構成の PublicIp フィールドに指定されます。このコントロールを使用すると、RUNNING または WAITING 状態の Amazon EMR クラスターのみ、チェックできます。

重大度: 高

Amazon Redshift クラスターでは、拡張 VPC ルーティングを使用する必要がある

説明: このコントロールは、Amazon Redshift クラスターで EnhancedVpcRouting が有効になっているかどうかを確認します。拡張 VPC ルーティングにより、クラスターとデータリポジトリの間のすべての COPY トラフィックと UNLOAD トラフィックが、強制的に VPC を通過します。その後は、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックをセキュリティで保護することができます。また、ネットワークトラフィックの監視には、VPC Flow ログも使用することができます。

重大度: 高

Application Load Balancer は、すべての HTTP 要求を HTTPS にリダイレクトするように構成する必要がある

説明: 転送中に暗号化を適用するには、アプリケーションロードバランサーでリダイレクトアクションを使用して、クライアント HTTP 要求をポート 443 の HTTPS 要求にリダイレクトする必要があります。

重大度: 中

Application Load Balancer は、HTTP ヘッダーを削除するように構成する必要がある

説明: このコントロールは、AWS Application Load Balancer (ALB) を評価して、無効な HTTP ヘッダーを削除するように構成されていることを確認します。このコントロールは、routing.http.drop_invalid_header_fields.enabled の値が false に設定されている場合に失敗します。既定では、ALB は無効な HTTP ヘッダー値を削除するように構成されていません。これらのヘッダー値を削除すると、HTTP 非同期攻撃を防ぐことができます。

重大度: 中

Lambda 関数を VPC に構成する

説明: このコントロールは、Lambda 関数が VPC 内にあるかどうかをチェックします。パブリック到達可能性を判断するために VPC サブネットルーティング構成は評価されません。アカウントに Lambda@Edge がある場合は、このコントロールによって失敗の結果が生成されます。このような結果を回避するには、このコントロールを無効にしてください。

重大度: 低

EC2 インスタンスには、パブリック IP アドレスを指定しないようにする必要がある

説明: このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかを確認します。このコントロールは、EC2 インスタンス構成アイテムに "publicIp" フィールドが存在する場合に失敗します。このコントロールは、IPv4 アドレスにのみ適用されます。パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスは、インターネットから到達可能となります。プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。同じ VPC 内または接続されたプライベートネットワーク内の EC2 インスタンス間の通信には、プライベート IPv4 アドレスを使用できます。 IPv6 アドレスは、グローバルに一意であるため、インターネットから到達可能です。ただし、既定では、すべてのサブネットで、IPv6 アドレス属性が false に設定されています。 IPv6 の詳細については、Amazon VPC ユーザーガイドの「IP addressing in your VPC」 (VPC の IP アドレス指定) を参照してください。パブリック IP アドレスが指定されている EC2 インスタンスを維持するための正当なユースケースがある場合は、このコントロールの結果を抑制することができます。フロントエンドアーキテクチャのオプションの詳細については、AWS アーキテクチャのブログ、または「This Is My Architecture」シリーズを参照してください。

重大度: 高

EC2 インスタンスでは、複数の ENI を使用しないようにする必要がある

説明: このコントロールは、EC2 インスタンスが複数の Elastic Network Interfaces (ISI) または Elastic Fabric Adapter (EFA) を使用しているかどうかを確認します。このコントロールは、1 つのネットワークアダプターが使用される場合に渡されます。このコントロールには、許可されている ENI を識別するための、省略可能なパラメーターリストが含まれています。複数の ENI があると、デュアルホームのインスタンス、つまり複数のサブネットを持つインスタンスが生成される場合があります。これにより、ネットワークセキュリティがさらに複雑になり、意図しないネットワークパスやアクセスが発生する可能性があります。

重大度: 低

EC2 インスタンスでは、IMDSv2 を使用する必要がある

説明: このコントロールは、EC2 インスタンスメタデータバージョンがインスタンスメタデータサービスバージョン 2 (IMDSv2) で構成されているかどうかを確認します。このコントロールは、'HttpTokens' が IMDSv2 に対して 'required' に設定されている場合に合格します。このコントロールは、'HttpTokens' が 'optional' に設定されている場合に失敗します。実行中のインスタンスを構成または管理するには、インスタンスのメタデータを使用します。 IMDS を使用すると、頻繁にローテーションされる一時的な資格情報にアクセスできます。このような資格情報により、機密である資格情報を、ハードコーディングしたり、手動またはプログラムによってインスタンスに配布したりする必要がなくなります。 IMDS は、すべての EC2 インスタンスにローカルにアタッチされます。特別な 'リンクローカル' IP アドレスである 169.254.169.254 で実行されます。この IP アドレスへは、インスタンスで実行されているソフトウェアによってのみアクセスできます。 IMDS のバージョン 2 では、次の種類の脆弱性に対する新たな保護が追加されています。これらの脆弱性は、IMDS へのアクセスを試みるために使用される場合があります。

Web サイトアプリケーションファイアウォールを開く
リバースプロキシを開く
サーバー側要求フォージェリ (SSRF) の脆弱性
レイヤー 3 のファイアウォールとネットワークアドレス変換 (NAT) Security Hub を開くには、IMDSv2 を使用して EC2 インスタンスを構成することをお勧めします。

重大度: 高

EC2 サブネットでは、パブリック IP アドレスを自動的に割り当てないようにする必要がある

説明: このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネットでのパブリック IP の割り当てに "MapPublicIpOnLaunch" が "FALSE" に設定されているかどうかを確認します。このコントロールは、フラグが 'FALSE' に設定されている場合に合格します。すべてのサブネットには、そのサブネットに作成されたネットワークインターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを決定する属性があります。この属性が有効になっているサブネットに起動されるインスタンスには、プライマリネットワークインターフェイスに割り当てられたパブリック IP アドレスが指定されます。

重大度: 中

AWS Config 構成の変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリックフィルターとアラームを確立することをお勧めします。 AWS Config 構成の変更を監視することで、AWS アカウント内の構成項目を持続的に可視化できます。

重大度: 低

AWS マネジメントコンソールの認証エラーに対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。失敗したコンソール認証の試行に対してメトリックフィルターとアラームを確立することをお勧めします。コンソールログインの失敗を監視すると、資格情報をブルートフォースする試みを検出するリードタイムが短縮される可能性があります。これにより、他のイベント相関関係で使用できるインジケーター (ソース IP など) が提供される可能性があります。

重大度: 低

ネットワークアクセスコントロールリスト (NACL) の変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 NACL は、VPC 内のサブネットのイングレスおよびエグレストラフィックを制御するためのステートレスパケットフィルターとして使用されます。 NACL に加えられた変更に対して、メトリックフィルターとアラームを設定することをお勧めします。 NACL に対する変更を監視することで、AWS のリソースとサービスが意図せずに公開されないようにすることができます。

重大度: 低

ネットワークゲートウェイの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。ネットワークゲートウェイは、VPC の外側にある宛先とのトラフィックのを送信/受信に必要です。ネットワークゲートウェイへの変更については、メトリックフィルターとアラームを確立することをお勧めします。ネットワークゲートウェイに対する変更を監視することで、すべてのイングレス/エグレストラフィックが制御されたパスを介して VPC ボーダーを通過することを保証できます。

重大度: 低

CloudTrail 構成の変更に対して、ログメトリックフィルターとアラームが存在することを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 CloudTrail の構成の変更を検出するために、メトリックフィルターとアラームを確立することをお勧めします。

CloudTrail の構成に対する変更を監視することで、AWS アカウントで実行されたアクティビティを継続的に可視化できます。

重大度: 低

顧客が作成した CMK の無効化またはスケジュールされた削除に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。状態が無効またはスケジュールされた削除に変更された、顧客が作成した CMK に対してメトリックフィルターとアラームを確立することをお勧めします。無効化または削除されたキーで暗号化されたデータには、アクセスできなくなります。

重大度: 低

IAM ポリシーの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 ID およびアクセス管理 (IAM) ポリシーに対するメトリックフィルターとアラームの変更を確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。

重大度: 低

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。多要素認証 (MFA) によって保護されていないコンソールログインには、メトリックフィルターとアラームを確立することをお勧めします。単一要素のコンソールログインを監視すると、MFA によって保護されていないアカウントの可視性が向上します。

重大度: 低

ルートテーブルの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへ向かうネットワークトラフィックをルーティングするために使用されます。ルートテーブルの変更については、メトリックフィルターとアラームを確立することをお勧めします。ルートテーブルに対する変更を監視すると、すべての VPC トラフィックが予想されるパスを通過することが保証されます。

重大度: 低

S3 バケットポリシーの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 S3 バケットポリシーの変更に対して、メトリックフィルターとアラームを設定することをお勧めします。 S3 バケットポリシーに対する変更を監視すると、機密性の高い S3 バケットの許容ポリシーを検出して修正する時間が短縮される場合があります。

重大度: 低

セキュリティグループの変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。 Security Groups は、VPC 内のサブネットのイングレス/エグレストラフィックを制御するためのステートレスパケットフィルターとして使用されます。セキュリティグループに対するメトリックフィルターとアラームの変更を確立することをお勧めします。セキュリティグループに対する変更を監視すると、リソースとサービスが意図せずに公開されないようにすることができます。

重大度: 低

未承認の API 呼び出しに対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。承認されていない API 呼び出しに対してメトリックフィルターとアラームを確立することをお勧めします。承認されていない API 呼び出しを監視すると、アプリケーションエラーが明らかになり、悪意のあるアクティビティを検出する時間が短縮される可能性があります。

重大度: 低

'root' アカウントの使用に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。ルートログインの試行に対してメトリックフィルターとアラームを確立することをお勧めします。

ルートアカウントログインの監視により、完全な特権を持つアカウントの使用が可視化され、その使用を減らすことができます。

重大度: 低

VPC の変更に対して、ログメトリックフィルターとアラームが設定されていることを確認する

説明: API 呼び出しをリアルタイムで監視するには、CloudTrail ログを CloudWatch ログに転送し、対応するメトリックフィルターとアラームを確立します。アカウント内に複数の VPC を含めることもできます。さらに、2 つの VPC 間にピア接続を作成して、ネットワークトラフィックを VPC 間でルーティングすることもできます。 VPN に加えられた変更については、メトリックフィルターとアラームを確立することをお勧めします。 IAM ポリシーに対する変更を監視すると、認証と承認の制御はそのまま維持されます。

重大度: 低

0.0.0.0/0 からポート 3389 へのイングレスを許可するセキュリティグループが存在しないことを確認する

説明: セキュリティグループは、AWS リソースへのイングレス/エグレスネットワークトラフィックのステートフルフィルター処理を提供します。ポート 3389 への無制限のイングレスアクセスを許可するセキュリティグループはないことをお勧めします。 RDP などのリモートコンソールサービスへの接続を解除すると、サーバーのリスクにさらされるリスクが軽減されます。

重大度: 高

RDS のデータベースとクラスターでは、データベースエンジンの既定のポートを使用しないようにする必要がある

説明: このコントロールは、RDS クラスターまたはインスタンスがデータベースエンジンの既定のポート以外のポートを使用しているかどうかを確認します。既知のポートを使用して RDS クラスターまたはインスタンスをデプロイすると、攻撃者は、クラスターまたはインスタンスに関する情報を推測できます。攻撃者は、この情報を他の情報と併せて使用することで、RDS クラスターやインスタンスに接続したり、アプリケーションに関する追加情報を取得したりすることができます。ポートを変更する場合は、古いポートへの接続に使用されていた既存の接続文字列も更新する必要があります。また、DB インスタンスのセキュリティグループを確認して、新しいポートでの接続を許可するイングレス規則が含まれていることを確認する必要があります。

重大度: 低

RDS インスタンスは、VPC にデプロイする必要がある

説明: VPN には、RDS リソースへのアクセスをセキュリティで保護するための多数のネットワーク制御が用意されています。これらのコントロールには、VPC エンドポイント、ネットワーク ACL、セキュリティグループが含まれます。これらのコントロールを活用するには、EC2-Classic RDS インスタンスを EC2-VPC に移動することをお勧めします。

重大度: 低

S3 バケットでは、要求に Secure Socket Layer を使用する必要がある

説明: すべての Amazon S3 バケットで Secure Socket Layer (SSL) を使用する要求を要求することをお勧めします。 S3 バケットには、条件キー 'aws:SecureTransport' によって示されているように、S3 リソースポリシーで HTTPS 経由のデータ転送のみを許可することをすべての要求 ('Action: S3:*') に求めるポリシーが必要です。

重大度: 中

セキュリティグループでは、0.0.0.0/0 からポート 22 へのイングレスを許可しないようにする必要がある

説明: サーバーの露出を減らすために、ポート '22' への無制限のイングレスアクセスを許可しないことをお勧めします。

重大度: 高

セキュリティグループでは、リスクの高いポートに対して無制限のアクセスを許可しないようにする必要がある

説明: このコントロールは、セキュリティグループの無制限の着信トラフィックが、リスクが最も高い指定されたポートからアクセスできるかどうかを確認します。このコントロールは、セキュリティグループ内に、このようなポートに対して 0.0.0.0/0 からのイングレストラフィックを許可する規則が存在しない場合に合格します。無制限のアクセス (0.0.0.0/0) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。セキュリティグループでは、AWS リソースへのイングレスおよびエグレスネットワークトラフィックのステートフルフィルタリングを実行することができます。いかなるセキュリティグループにおいても、次のポートへの無制限のイングレスアクセスは許可されていません。

3389 (RDP)
20、21 (FTP)
22 (SSH)
23 (Telnet)
110 (POP3)
143 (IMAP)
3306 (MySQL)
8080 (プロキシ)
1433、1434 (MSSQL)
9200 または 9300 (Elasticsearch)
5601 (Kibana)
25 (SMTP)
445 (CIFS)
135 (RPC)
4333 (ahsp)
5432 (postgresql)
5500 (fcp-addr-srvr1)

重大度: 中

セキュリティグループでは、承認済みポートに対する無制限の受信トラフィックのみを許可する必要がある

説明: このコントロールは、使用中のセキュリティグループが無制限の着信トラフィックを許可するかどうかを確認します。必要に応じて、この規則に従い、"authorizedTcpPorts" パラメーターにポート番号が表示されているかどうかをチェックします。

セキュリティグループ規則のポート番号で無制限の着信トラフィックが許可されているが、ポート番号が "authorizedTcpPorts" で指定されている場合、コントロールは渡されます。 "authorizedTcpPorts" の既定値は、80、443 です。
セキュリティグループ規則のポート番号で無制限の受信トラフィックが許可されているが、ポート番号が authorizedTcpPorts 入力パラメーターに指定されていない場合、コントロールは失敗します。
パラメーターが使用されていない場合、無制限の受信規則を持つセキュリティグループのコントロールは失敗します。セキュリティグループでは、AWS へのイングレスおよびエグレスネットワークトラフィックのステートフルフィルタリングを実行することができます。セキュリティグループの規則は、最小限の特権アクセスの原則に従う必要があります。無制限のアクセス (サフィックスが a /0 の IP アドレス) を設定すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティが発生する可能性が高まります。ポートが明示的に許可されていない限り、そのポートに対しては、無制限のアクセスを拒否する必要があります。

重大度: 高

使用されていない EC2 EIP は、削除する必要がある

説明: VPC に割り当てられたエラスティック IP アドレスは、Amazon EC2 インスタンスまたは使用中のエラスティックネットワークインターフェイス (ISI) にアタッチする必要があります。

重大度: 低

使用されていないネットワークアクセスコントロールリストは、削除する必要がある

説明: このコントロールは、未使用のネットワークアクセス制御リスト (ACL) があるかどうかを確認します。このコントロールを使用すると、リソース "AWS::EC2::NetworkAcl" のアイテム構成をチェックできることに加え、ネットワーク ACL のリレーションシップを判別することができます。リレーションシップがネットワーク ACL の VPC のみである場合、このコントロールは失敗します。他のリレーションシップが表示されている場合、このコントロールは合格します。

重大度: 低

VPC の既定のセキュリティグループでは、トラフィックを制限する必要がある

説明: セキュリティグループでは、リソースの露出を減らすためにすべてのトラフィックを制限する必要があります。

重大度: 低

GCP ネットワークに関する推奨事項

クラスターホストは、Google API にアクセスするためにプライベートの内部 IP アドレスのみを使用するように構成する必要があります

説明: この推奨事項では、サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを評価します。

重大度: 高

コンピューティングインスタンスでは、ターゲット HTTPS プロキシを使用するように構成されているロードバランサーを使用する必要があります

説明: この推奨事項は、targetHttpProxy リソースの selfLink プロパティが転送ルールのターゲット属性と一致するかどうか、および転送ルールに外部に設定された loadBalancingScheme フィールドが含まれているかどうかを評価します。

重大度: 中

コントロールプレーン承認済みネットワークが GKE クラスターで有効になっている必要がある

説明: この推奨事項では、クラスターの masterAuthorizedNetworksConfig プロパティのキーと値のペア 'enabled': false が評価されます。

重大度: 高

望ましくない送信トラフィックをブロックするには、Egress 拒否ルールをファイアウォールに設定する必要があります

説明: この推奨事項は、ファイアウォールの destinationRanges プロパティが 0.0.0.0/0 に設定され、拒否されたプロパティにキーと値のペアが含まれているかどうかを評価します。 'IPProtocol': 'all.'

重大度: 低

Identity Aware Proxy (IAP) の背後にあるインスタンスのファイアウォール規則で、Google Cloud Loadbalancer (GCLB) の正常性チェックおよびプロキシアドレスからのトラフィックのみが許可されていることを確認する

説明: IAP によってプロキシされた接続のみが許可されるようにすることで、IAP トラフィックのみを許可するファイアウォール規則によって VM へのアクセスを制限する必要があります。負荷分散が正しく機能することを確認するには、正常性チェックも許可する必要があります。 IAP では、受信要求を認証することで、VM へのアクセスが制御されます。ただし、VM に IAP 以外の IP アドレスから引き続きアクセスできる場合は、認証されていない要求をインスタンスに送信できる可能性があります。ロードバランサーが VM の正常性と負荷分散を正しく認識するのを防ぎ、ロードブランカーの正常性チェックがブロックされないように注意する必要があります。

重大度: 中

プロジェクトでレガシネットワークが存在しないことを確認する

説明: レガシネットワークの使用を防ぐために、プロジェクトにレガシネットワークを構成する必要はありません。レガシネットワークには、ネットワーク全体で単一のネットワーク IPv4 プレフィックス範囲と単一のゲートウェイ IP アドレスがあります。ネットワークの範囲はグローバルで、すべてのクラウドリージョンに配置されます。サブネットワークはレガシネットワークに作成できず、レガシから自動またはカスタムのサブネットネットワークに切り替えることはできません。レガシネットワークは、ネットワークトラフィックの多いプロジェクトに影響を与え、単一競合点または障害点を引き起こす可能性があります。

重大度: 中

Cloud SQL PostgreSQL インスタンスの 'log_hostname' データベースフラグが適切に設定されていることを確認する

説明: PostgreSQL は、接続しているホストの IP アドレスのみをログに記録します。 "log_hostname" フラグは、ログに記録される IP アドレスに加えて、"ホスト名" のログ記録を制御します。パフォーマンスの低下は、環境の構成とホスト名解決の設定に依存します。このパラメーターは、"postgresql.conf" ファイルまたはサーバーのコマンドラインでのみ設定できます。ホスト名のログ記録によって、サーバーのパフォーマンスにオーバーヘッドが発生する可能性があります。これはログに記録される各ステートメントに対して、IP アドレスをホスト名に変換する DNS 解決が必要になるためです。セットアップによっては、無視できない場合があります。さらに、動的ホスト名が使用されている場合を除き、ログに記録される IP アドレスは、後でログを確認するときに DNS 名に解決することができます。この推奨事項は、PostgreSQL データベースインスタンスに適用されます。

重大度: 低

暗号スイートの脆弱な SSL ポリシーを許可している HTTPS または SSL プロキシロードバランサーがないことを確認する

説明: Secure Sockets Layer (SSL) ポリシーによって、ロードバランサーへの接続時にクライアントが使用できるポートトランスポート層セキュリティ (TLS) 機能が決まります。セキュリティで保護されていない機能の使用を防ぐために、SSL ポリシーでは、少なくとも MODERN プロファイルで TLS 1.2 を使用する必要があります。(b) RESTRICTED プロファイルは、選択した最小 TLS バージョンに関係なく、クライアントが TLS 1.2 を使用する必要があるためです。または (3) 次の機能をサポートしていない CUSTOM プロファイル: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

ロードバランサーは、複数のサーバー間でトラフィックを効率的に分散するために使用されます。 SSL プロキシと HTTPS ロードバランサーはどちらも外部ロードバランサーです。つまり、インターネットから GCP ネットワークへのトラフィックを分散します。 GCP のお客様は、クライアントが接続の確立に使用できる最小の TLS バージョン (1.0、1.1、または 1.2) と、許容される暗号スイートを指定するプロファイル (Compatible、Modern、Restricted、または Custom) を使用して、ロードバランサー SSL ポリシーを構成できます。古いプロトコルを使用するユーザーに対応して、セキュリティで保護されていない暗号スイートを許可するように GCP ロードバランサーを構成できます。実際、GCP の既定の SSL ポリシーでは、最小 TLS バージョン 1.0 と Compatible プロファイルが使用されます。これにより、最も広い範囲の安全でない暗号スイートを使用できます。その結果、古い暗号スイートが許可されていることを知らなくても、お客様はロードバランサーを簡単に構成できます。

重大度: 中

すべての VPC ネットワークで Cloud DNS ログが有効になっていることを確認する

説明: クラウド DNS ログは、VPC 内のネームサーバーから Stackdriver へのクエリを記録します。ログに記録されるクエリは、Compute Engine VM、GKE コンテナー、または VPC 内でプロビジョニングされた他の GCP リソースから取得できます。セキュリティの監視とフォレンジックは、特にクラウドリソースの動的 IP 使用率、HTTP 仮想ホストルーティング、およびクライアントが使用する DNS 名を IP アドレスから隠すことができるその他のテクノロジを考慮する場合に、VPC フローログからの IP アドレスのみに依存することはできません。クラウド DNS ログの監視により、VPC 内のクライアントによって要求された DNS 名が可視化されます。これらのログは、異常なドメイン名がないか監視でき、脅威インテリジェンスに対して評価されます。

DNS を完全にキャプチャするには、クライアントが解決のために外部 DNS ネームサーバーを使用できないように、ファイアウォールでエグレス UDP/53 (DNS) と TCP/443 (DNS over HTTPS) をブロックする必要があります。

重大度: 高

クラウド DNS に対して DNSSEC が有効になっていることを確認する

説明: クラウドドメインネームシステム (DNS) は、インターネット上の何百万ものドメインを強化する、高速で信頼性が高く、コスト効率の高いドメインネームシステムです。クラウド DNS のドメインネームシステムセキュリティ拡張機能 (DNSSEC) を使用すると、ドメイン所有者は簡単な手順を実行して、DNS ハイジャックや中間者攻撃、およびその他の攻撃からドメインを保護することができます。ドメインネームシステムセキュリティ拡張機能 (DNSSEC) は、DNS 応答の検証を有効にすることで DNS プロトコルのセキュリティを向上させます。 www.example.comなどのドメイン名を関連する IP アドレスに変換する信頼できる DNS を持つことは、今日の Web ベースのアプリケーションのますます重要な構成要素です。攻撃者は、このドメイン/IP 検索のプロセスを乗っ取り、DNS ハイジャックと中間者攻撃を通じてユーザーを悪意のあるサイトにリダイレクトすることができます。 DNSSEC は、DNS レコードに暗号で署名することで、このような攻撃のリスクを軽減するのに役立ちます。その結果、攻撃者が偽の DNS 応答を発行するのを防ぎ、ブラウザーを悪質な Web サイトに誤ってリダイレクトする可能性があります。

重大度: 中

インターネットからの RDP アクセスが制限されていることを確認する

説明: GCP ファイアウォール規則は VPC ネットワークに固有です。各規則の条件が満たされるとトラフィックが許可または拒否されます。その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。ルール自体をネットワーク間で共有することはできません。ファイアウォール規則は IPv4 トラフィックのみをサポートします。アドレスでイングレスルールの送信元またはエグレスルールの宛先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックを使用できます。ポート 3389 で RDP を使用してインターネットから VPC または VM インスタンスへの汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則。これらの規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレストラフィックフローは制御されます。インスタンスが送信インターネットアクセスを得るには、ネットワークに有効なインターネットゲートウェイルートまたは宛先 IP が指定されているカスタムルートが必要です。このルートは、既定のポート 3389 を使用して RDP を介して指定された最も汎用的な (0.0.0.0/0) 宛先 IP 範囲を避けるため、インターネットへのパスを単純に定義します。インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。

重大度: 高

クラウド DNS DNSSEC でキーを署名するキーに RSASHA1 が使用されていないことを確認する

説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。ゾーン署名 (DNSSEC) とトランザクションセキュリティメカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。このレジストリのドメインネームシステムセキュリティ拡張機能 (DNSSEC) アルゴリズム番号は、CERT R で使用される場合があります。ゾーン署名 (DNSSEC) とトランザクションセキュリティメカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。マネージドゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージドゾーンを作成すると、ユーザーは DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージドゾーンに対して有効になります。有効になっているマネージドゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。

重大度: 中

クラウド DNS DNSSEC でゾーンを署名するキーに RSASHA1 が使用されていないことを確認する

説明: このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。ゾーン署名 (DNSSEC) とトランザクションセキュリティメカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。このレジストリの DNSSEC アルゴリズム番号は、CERT R で使用できます。ゾーン署名 (DNSSEC) とトランザクションセキュリティメカニズム (SIG(0) と TSIG) では、これらのアルゴリズムの特定のサブセットが使用されます。キー署名に使用されるアルゴリズムは、推奨されるアルゴリズムであり、強力である必要があります。マネージドゾーンに対して DNSSEC を有効にするか、DNSSEC を使用してマネージドゾーンを作成すると、DNSSEC 署名アルゴリズムと存在拒否の種類を選択できます。 DNSSEC 設定の変更は、DNSSEC がまだ有効になっていない場合にのみ、マネージドゾーンに対して有効になります。有効になっているマネージドゾーンの設定を変更する必要がある場合は、DNSSEC をオフにしてから、別の設定で再度有効にします。

重大度: 中

インターネットからの SSH アクセスが制限されていることを確認する

説明: GCP ファイアウォール規則は VPC ネットワークに固有です。各規則の条件が満たされるとトラフィックが許可または拒否されます。その条件により、ユーザーは、トラフィックの種類 (ポートやプロトコルなど)、トラフィックのソースまたはターゲット (IP アドレス、サブネット、インスタンスなど) を指定できます。ファイアウォールルールは VPC ネットワークレベルで定義され、定義されているネットワークに固有です。ルール自体をネットワーク間で共有することはできません。ファイアウォール規則は IPv4 トラフィックのみをサポートします。アドレスでイングレスルールの送信元またはエグレスルールの送信先を指定する場合は、CIDR 表記の IPv4 アドレスまたは IPv4 ブロックのみを使用できます。インターネットから VPC または VM インスタンスへの、SSH を使用したポート 22 の汎用 (0.0.0.0/0) 受信トラフィックを回避できます。 VPC ネットワーク内の GCP ファイアウォール規則は、ネットワーク内のインスタンスからの送信 (エグレス) トラフィックまたはインスタンスへの受信 (イングレス) トラフィックに適用されます。トラフィックがネットワーク内に留まる場合 (インスタンス間通信など) でも、エグレスおよびイングレストラフィックフローは制御されます。インスタンスが送信インターネットアクセスを得るには、ネットワークに有効なインターネットゲートウェイルートまたは宛先 IP が指定されているカスタムルートが必要です。このルートでは、インターネットから既定のポート '22' を使用して SSH 経由で指定された最も一般的な (0.0.0.0/0) 宛先 IP 範囲を回避するために、インターネットへのパスを定義するだけです。インターネットから特定の IP 範囲への汎用アクセスを制限する必要があります。

重大度: 高

既定のネットワークがプロジェクトに存在しないことを確認する

説明: "既定" のネットワークを使用しないようにするには、プロジェクトに "既定" のネットワークを含めることはできません。既定のネットワークには事前構成済みのネットワーク構成があり、安全でない次のファイアウォール規則を自動的に生成します。

default-allow-internal: ネットワーク内のインスタンス間のすべてのプロトコルとポートにイングレス通信を許可します。
default-allow-ssh: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 22 (SSH) でのイングレス通信を許可します。
default-allow-rdp: ネットワーク内の任意のソースから任意のインスタンスへの TCP ポート 3389 (RDP) でのイングレス通信を許可します。
default-allow-icmp: ネットワーク内の任意のソースから任意のインスタンスへのイングレス ICMP トラフィックを許可します。

これらの自動的に作成されたファイアウォール規則は監査ログに記録されないため、ファイアウォール規則のログ記録を有効にするように構成することはできません。さらに、既定のネットワークは "Auto" モードのネットワークです。そのため、サブネットが IP アドレスの同じ事前定義済みの範囲を使用するため、既定のネットワークとクラウド VPN または VPC ネットワークピアリングを使用することができません。組織は、組織のセキュリティとネットワーク要件に基づいて、新しいネットワークを作成して既定のネットワークを削除する必要があります。

重大度: 中

VPC ネットワークの変更のためのログメトリックフィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワークの変更に対してメトリックフィルターとアラームを確立することをお勧めします。プロジェクト内に複数の VPC を含めることもできます。さらに、2 つの VPC 間にピア接続を作成して、ネットワークトラフィックが VPC 間でルーティングできるようにすることもできます。 VPC に対する変更を監視すると、VPC トラフィックフローが影響を受けないようにするのに役立ちます。

重大度: 低

VPC ネットワークファイアウォール規則の変更のためのログメトリックフィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワークファイアウォール規則の変更に対してメトリックフィルターとアラームを確立することをお勧めします。ファイアウォール規則の作成または更新のイベントを監視すると、ネットワークアクセスの変更に関する分析情報が得られ、疑わしいアクティビティの検出にかかる時間が短縮される可能性があります。

重大度: 低

VPC ネットワークルートの変更のためのログメトリックフィルターとアラートが存在することを確認する

説明: Virtual Private Cloud (VPC) ネットワークルートの変更に対してメトリックフィルターとアラームを確立することをお勧めします。 Google Cloud Platform (GCP) のルートでは、VM インスタンスから別の宛先までのネットワークトラフィックがたどるパスが定義されます。別の宛先は、組織の VPC ネットワーク内 (別の VM など) であるか、その外部である場合があります。すべてのルートは、宛先とネクストホップで構成されます。宛先 IP が宛先範囲内にあるトラフィックは、配信のためにネクストホップに送信されます。ルートテーブルの変更を監視することで、すべての VPC トラフィックが、想定されたパスを通過することを確認できます。

重大度: 低

Cloud SQL PostgreSQL インスタンスの 'log_connections' データベースフラグが 'on' に設定されていることを確認する

説明: log_connections設定を有効にすると、サーバーへの接続が試行されるたびにログに記録され、クライアント認証が正常に完了します。このパラメーターは、セッションの開始後に変更することはできません。 PostgreSQL では、試行された接続は既定ではログに記録されません。 log_connections設定を有効にすると、試行された接続ごとにログエントリが作成され、クライアント認証が正常に完了します。これは、問題のトラブルシューティングやサーバーへの異常な接続試行の特定に役立ちます。この推奨事項は、PostgreSQL データベースインスタンスに適用されます。

重大度: 中

Cloud SQL PostgreSQL インスタンスの 'log_disconnections' データベースフラグが 'on' に設定されていることを確認する

説明: log_disconnections設定を有効にすると、セッション期間を含め、各セッションの終了がログに記録されます。 PostgreSQL では、期間やセッションの終了などのセッションの詳細は既定ではログに記録されません。 log_disconnections設定を有効にすると、各セッションの最後にログエントリが作成されます。これは、問題のトラブルシューティングや、一定期間にわたる異常なアクティビティの特定に役立ちます。 log_disconnections と log_connections は連携して動作し、一般的に、これらのペアは一緒に有効または無効になります。この推奨事項は、PostgreSQL データベースインスタンスに適用されます。

重大度: 中

VPC フローログが VPC ネットワーク内のすべてのサブネットで有効になっていることを確認する

説明: フローログは、組織の VPC サブネット内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をユーザーがキャプチャできるようにする機能です。フローログが作成されると、ユーザーは Stackdriver ログでデータを表示および取得できます。ビジネスクリティカルな VPC サブネットごとにフローログを有効にすることをお勧めします。 VPC ネットワークとサブネットワークにより、GCP リソースを配置できる、論理的に分離されセキュリティで保護されたネットワークパーティションが提供されます。サブネットに対してフローログが有効になっている場合、そのサブネット内の VM では、すべての伝送制御プロトコル (TCP) フローとユーザーデータグラムプロトコル (UDP) フローに関するレポートが開始されます。各 VM では、フローが別の VM、オンプレミスのデータセンター内のホスト、Google サービス、またはインターネット上のホストなどのいずれとの間のフローであるかに関係なく、観察される受信と送信の TCP フローと UDP フローがサンプリングされます。 2 つの GCP VM が通信していて、これらの両方が、VPC フローログが有効になっているサブネット内にある場合、両方の VM でフローが報告されます。フローログでは、次のユースケースがサポートされています。1. ネットワーク監視。 2. ネットワークの使用状況の理解とネットワークトラフィックのコストの最適化。 3. ネットワークフォレンジクス。 4. リアルタイムセキュリティ分析フローログは、サブネット内の各 VM のネットワークトラフィックを可視化し、セキュリティワークフロー中に異常なトラフィックや分析情報を検出するために使用できます。

重大度: 低

ファイアウォール規則のログ記録を有効にする必要がある

説明: この推奨事項では、ファイアウォールメタデータの logConfig プロパティを評価して、空であるか、キーと値のペア 'enable' が含まれているかどうかを確認します。

重大度: 中

ファイアウォールをパブリックアクセスに対してオープンに構成しないでください

説明: この推奨事項では、次の 2 つの構成のいずれかで sourceRanges と許可されるプロパティを評価します。

sourceRanges プロパティに 0.0.0.0/0 が含まれています。許可されたプロパティには、以下を除く、任意のプロトコルまたは protocol:port を含む規則の組み合わせが含まれています。

icmp
tcp: 22
tcp: 443
tcp: 3389
udp: 3389
sctp: 22

sourceRanges プロパティには、非プライベート IP アドレスを含む IP 範囲の組み合わせが含まれており、許可されるプロパティには、すべての tcp ポートまたはすべての udp ポートを許可する規則の組み合わせが含まれています。

重大度: 高

次の方法で共有

ネットワーク セキュリティに関する推奨事項

Azure ネットワークに関する推奨事項

AWS のネットワークに関する推奨事項

GCP ネットワークに関する推奨事項

関連するコンテンツ

フィードバック

その他のリソース

ネットワークセキュリティに関する推奨事項