Rekommendationer för datasäkerhet

I den här artikeln visas alla rekommendationer för datasäkerhet som du kan se i Microsoft Defender för molnet.

Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.

Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.

Azure-datarekommendationer

Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk

Beskrivning: Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt Cosmos DB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt Cosmos DB-konto. Läs mer. (Relaterad princip: Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk).

Allvarlighetsgrad: Medel

(Aktivera om det behövs) Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/cosmosdb-cmk. (Relaterad princip: Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Hantera kryptering i resten av dina Azure Machine Learning-arbetsytedata med kundhanterade nycklar (CMK). Som standard krypteras kunddata med tjänsthanterade nycklar, men CMK:er krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om CMK-kryptering på https://aka.ms/azureml-workspaces-cmk. (Relaterad princip: Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK).)

Allvarlighetsgrad: Låg

Azure SQL Database ska köra TLS version 1.2 eller senare

Beskrivning: Om du ställer in TLS-versionen på 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. (Relaterad princip: Azure SQL Database bör köra TLS version 1.2 eller senare).

Allvarlighetsgrad: Medel

Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk

Beskrivning: Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) i Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Läs mer om åtkomst till offentliga nätverk. (Relaterad princip: Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk).

Allvarlighetsgrad: Medel

Cosmos DB-konton bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. När privata slutpunkter mappas till ditt Cosmos DB-konto minskas risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cosmos DB-konton bör använda privat länk).

Allvarlighetsgrad: Medel

(Aktivera om det behövs) MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för MySQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. (Relaterad princip: Bring your own key data protection ska vara aktiverat för PostgreSQL-servrar).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. (Relaterad princip: SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data).

Allvarlighetsgrad: Låg

(Aktivera om det behövs) Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering

Beskrivning: Rekommendationer för att använda kundhanterade nycklar för kryptering av vilande data utvärderas inte som standard, men är tillgängliga för att aktivera för tillämpliga scenarier. Data krypteras automatiskt med plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när de är skyldiga enligt efterlevnads- eller begränsande principkrav. Om du vill aktivera den här rekommendationen går du till din säkerhetsprincip för det tillämpliga omfånget och uppdaterar parametern Effekt för motsvarande princip för att granska eller framtvinga användningen av kundhanterade nycklar. Läs mer i Hantera säkerhetsprinciper. Skydda ditt lagringskonto med större flexibilitet med hjälp av kundhanterade nycklar (CMK:er). När du anger en CMK används den nyckeln för att skydda och kontrollera åtkomsten till den nyckel som krypterar dina data. Med hjälp av CMK:er finns ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. (Relaterad princip: Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering).

Allvarlighetsgrad: Låg

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-hanterade instanser. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL Server

Beskrivning: Vi rekommenderar att du aktiverar alla avancerade hotskyddstyper på dina SQL-servrar. Aktivering av alla typer skyddar mot SQL-inmatning, databassårbarheter och andra avvikande aktiviteter. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

API Management-tjänster bör använda ett virtuellt nätverk

Beskrivning: Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett icke-Internet-routbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, som ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. (Relaterad princip: API Management-tjänster bör använda ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Appkonfiguration bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. (Relaterad princip: AppKonfiguration bör använda privat länk).

Allvarlighetsgrad: Medel

Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar

Beskrivning: Granska SQL-servrar som konfigurerats med en kvarhållningsperiod för granskning på mindre än 90 dagar. (Relaterad princip: SQL-servrar bör konfigureras med 90 dagars granskningskvarhållning eller högre.)

Allvarlighetsgrad: Låg

Granskning på SQL-servern ska vara aktiverad

Beskrivning: Aktivera granskning på SQL Server för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. (Relaterad princip: Granskning på SQL-servern ska vara aktiverat).

Allvarlighetsgrad: Låg

Automatisk etablering av Log Analytics-agenten ska vara aktiverad för prenumerationer

Beskrivning: Om du vill övervaka säkerhetsrisker och hot samlar Microsoft Defender för molnet in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. (Relaterad princip: Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration).

Allvarlighetsgrad: Låg

Azure Cache for Redis bör finnas i ett virtuellt nätverk

Beskrivning: Distributionen av Azure Virtual Network (VNet) ger förbättrad säkerhet och isolering för Din Azure Cache for Redis, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en Azure Cache for Redis-instans konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan endast nås från virtuella datorer och program i det virtuella nätverket. (Relaterad princip: Azure Cache for Redis bör finnas i ett virtuellt nätverk).

Allvarlighetsgrad: Medel

Azure Database for MySQL bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för din Azure Database for MySQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster (Relaterad princip: En Azure Active Directory-administratör bör etableras för MySQL-servrar).

Allvarlighetsgrad: Medel

Azure Database for PostgreSQL bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för din Azure Database for PostgreSQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster
(Relaterad princip: En Azure Active Directory-administratör bör etableras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Azure Database for PostgreSQL – flexibel server bör endast ha Microsoft Entra-autentisering aktiverat

Beskrivning: Om du inaktiverar lokala autentiseringsmetoder och kräver Microsoft Entra-autentisering förbättras säkerheten genom att säkerställa att azure Database for PostgreSQL– flexibel server endast kan nås av Microsoft Entra-identiteter (Relaterad princip: Azure PostgreSQL – flexibel server bör ha Microsoft Entra Only Authentication aktiverat).

Allvarlighetsgrad: Medel

Azure Cosmos DB-konton ska ha brandväggsregler

Beskrivning: Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. (Relaterad princip: Azure Cosmos DB-konton bör ha brandväggsregler).

Allvarlighetsgrad: Medel

Azure Event Grid-domäner bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina Event Grid-domäner i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid-domäner bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Event Grid-ämnen bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina ämnen i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. (Relaterad princip: Azure Event Grid-ämnen bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Machine Learning-arbetsytor bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina Azure Machine Learning-arbetsytor i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/azureml-workspaces-privatelink. (Relaterad princip: Azure Machine Learning-arbetsytor bör använda privat länk).

Allvarlighetsgrad: Medel

Azure SignalR Service bör använda privat länk

Beskrivning: Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina SignalR-resurser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/asrs/privatelink. (Relaterad princip: Azure SignalR Service bör använda privat länk).

Allvarlighetsgrad: Medel

Azure Spring Cloud bör använda nätverksinmatning

Beskrivning: Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. (Relaterad princip: Azure Spring Cloud bör använda nätverksinmatning).

Allvarlighetsgrad: Medel

SQL-servrar bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster. (Relaterad princip: En Azure Active Directory-administratör bör etableras för SQL-servrar).

Allvarlighetsgrad: Hög

Autentiseringsläget för Azure Synapse-arbetsytan ska endast vara Azure Active Directory

Beskrivning: Autentiseringsläget för Azure Synapse-arbetsytan ska vara Azure Active Directory Endast autentiseringsmetoder för Azure Active Directory förbättrar säkerheten genom att se till att Synapse-arbetsytor uteslutande kräver Azure AD-identiteter för autentisering. Läs mer. (Relaterad princip: Synapse-arbetsytor bör endast använda Azure Active Directory-identiteter för autentisering).

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha kodgenomsökningsresultat lösta

Beskrivning: Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta

Beskrivning: Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra lagringsplatsernas säkerhetsstatus rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts

Beskrivning: Defender för DevOps har hittat infrastruktur som problem med kodsäkerhetskonfiguration i lagringsplatser. De problem som visas nedan har identifierats i mallfiler. För att förbättra säkerhetsstatusen för de relaterade molnresurserna rekommenderar vi starkt att du åtgärdar dessa problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta

Beskrivning: Defender för DevOps har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det har konfigurerats att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Cognitive Services-konton bör aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder datakryptering. För varje konto med lagring bör du aktivera datakryptering med antingen kundhanterad eller Microsoft-hanterad nyckel. (Relaterad princip: Cognitive Services-konton bör aktivera datakryptering).

Allvarlighetsgrad: Låg

Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering

Beskrivning: Den här principen granskar alla Cognitive Services-konton som inte använder kundägd lagring eller datakryptering. För varje Cognitive Services-konto med lagring använder du antingen kundägd lagring eller aktiverar datakryptering. Överensstämmer med Microsoft Cloud Security Benchmark. (Relaterad princip: Cognitive Services-konton bör använda kundägd lagring eller aktivera datakryptering.)

Allvarlighetsgrad: Låg

Diagnostikloggar i Azure Data Lake Store ska vara aktiverade

Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Azure Data Lake Store ska vara aktiverade).

Allvarlighetsgrad: Låg

Diagnostikloggar i Data Lake Analytics ska vara aktiverade

Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Data Lake Analytics ska vara aktiverade).

Allvarlighetsgrad: Låg

E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat

Beskrivning: Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. (Relaterad princip: E-postaviseringar för aviseringar med hög allvarlighetsgrad ska vara aktiverade).

Allvarlighetsgrad: Låg

E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras

Beskrivning: Ange e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Defender för molnet för att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen. (Relaterad princip: E-postavisering till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska vara aktiverat).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar

Beskrivning: Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar).

Allvarlighetsgrad: Medel

Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar

Beskrivning: Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. (Relaterad princip: Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar).

Allvarlighetsgrad: Medel

Funktionsappar bör lösa sårbarhetsresultat

Beskrivning: Genomsökning av körningssårbarhet efter funktioner söker igenom dina funktionsappar efter säkerhetsrisker och visar detaljerade resultat. Att lösa säkerhetsriskerna kan avsevärt förbättra säkerhetsstatusen för dina serverlösa program och skydda dem mot attacker. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB

Beskrivning: Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL

Beskrivning: Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL).

Allvarlighetsgrad: Låg

Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL

Beskrivning: Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Det kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Det går bara att konfigurera geo-redundant lagring för säkerhetskopiering när du skapar en server. (Relaterad princip: Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL).

Allvarlighetsgrad: Låg

GitHub-lagringsplatser bör ha kodgenomsökning aktiverat

Beskrivning: GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i koden. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat

Beskrivning: GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat

Beskrivning: GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Azure SQL Database-servrar ska vara aktiverade

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den innehåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på ett hot mot databasen och identifiera och klassificera känsliga data.

Skydd mot den här planen debiteras enligt beskrivningen på sidan Defender-planer . Om du inte har några Azure SQL Database-servrar i den här prenumerationen debiteras du inte. Om du senare skapar Azure SQL Database-servrar i den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region.

Läs mer i Introduktion till Microsoft Defender för SQL. (Relaterad princip: Azure Defender för Azure SQL Database-servrar ska vara aktiverade).

Allvarlighetsgrad: Hög

Microsoft Defender för DNS ska vara aktiverat

Beskrivning: Microsoft Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Defender för DNS varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer i Introduktion till Microsoft Defender för DNS. Om du aktiverar den här Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för relationsdatabaser med öppen källkod ska vara aktiverat

Beskrivning: Microsoft Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer i Introduktion till Microsoft Defender för relationsdatabaser med öppen källkod.

Om du aktiverar den här planen debiteras du för att skydda relationsdatabaser med öppen källkod. Om du inte har några relationsdatabaser med öppen källkod i den här prenumerationen debiteras inga avgifter. Om du skapar relationsdatabaser med öppen källkod för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för Resource Manager bör vara aktiverat

Beskrivning: Microsoft Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Defender för molnet identifierar hot och aviseringar om misstänkt aktivitet. Läs mer i Introduktion till Microsoft Defender för Resource Manager. Om du aktiverar den här Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Defender för molnet prissida: Defender för molnet Prissättning. (Ingen relaterad princip)

Allvarlighetsgrad: Hög

Microsoft Defender för SQL på datorer ska vara aktiverat på arbetsytor

Beskrivning: Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten hos Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Introduktion till Microsoft Defender för servrar. (Ingen relaterad princip)

Allvarlighetsgrad: Medel

Microsoft Defender för SQL-servrar på datorer ska vara aktiverat

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den innehåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på ett hot mot databasen och identifiera och klassificera känsliga data.

Om du åtgärdar den här rekommendationen debiteras du för att skydda DINA SQL-servrar på datorer. Om du inte har några SQL-servrar på datorer i den här prenumerationen debiteras inga avgifter. Om du skapar några SQL-servrar på datorer i den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer om Microsoft Defender för SQL-servrar på datorer. (Relaterad princip: Azure Defender för SQL-servrar på datorer ska vara aktiverat).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL bör vara aktiverat för oskyddade Azure SQL-servrar

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den visar och minimerar potentiella sårbarheter i databasen och identifierar avvikande aktiviteter som kan tyda på ett hot mot databasen. Microsoft Defender för SQL faktureras enligt prisinformationen per region. (Relaterad princip: Avancerad datasäkerhet bör aktiveras på dina SQL-servrar).

Allvarlighetsgrad: Hög

Microsoft Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances

Beskrivning: Microsoft Defender för SQL är ett enhetligt paket som tillhandahåller avancerade SQL-säkerhetsfunktioner. Den visar och minimerar potentiella sårbarheter i databasen och identifierar avvikande aktiviteter som kan tyda på ett hot mot databasen. Microsoft Defender för SQL faktureras enligt prisinformationen per region. (Relaterad princip: Avancerad datasäkerhet bör aktiveras på SQL Managed Instance).

Allvarlighetsgrad: Hög

Microsoft Defender för Storage ska vara aktiverat

Beskrivning: Microsoft Defender för lagring identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton.

Skydd mot den här planen debiteras enligt beskrivningen på sidan Defender-planer . Om du inte har några Azure Storage-konton i den här prenumerationen debiteras du inte. Om du senare skapar Azure Storage-konton för den här prenumerationen skyddas de automatiskt och avgifterna börjar. Läs mer om prisinformationen per region. Läs mer i Introduktion till Microsoft Defender för lagring. (Relaterad princip: Azure Defender för Storage ska vara aktiverat).

Allvarlighetsgrad: Hög

Network Watcher ska vara aktiverat

Beskrivning: Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Verktyg för nätverksdiagnostik och visualisering som är tillgängliga med Network Watcher hjälper dig att förstå, diagnostisera och få insikter om ditt nätverk i Azure. (Relaterad princip: Network Watcher ska vara aktiverat).

Allvarlighetsgrad: Låg

Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. (Relaterad princip: Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MariaDB-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MariaDB-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för MySQL-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för MySQL-servrar).

Allvarlighetsgrad: Medel

Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar

Beskrivning: Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. (Relaterad princip: Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras

Beskrivning: Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton

Beskrivning: Den här principen granskar alla Cognitive Services-konton i din miljö med offentlig nätverksåtkomst aktiverad. Åtkomst till offentligt nätverk bör inaktiveras så att endast anslutningar från privata slutpunkter tillåts. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för Cognitive Services-konton).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för MariaDB-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar).

Allvarlighetsgrad: Medel

Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar

Beskrivning: Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. (Relaterad princip: Åtkomst till offentligt nätverk bör inaktiveras för PostgreSQL-servrar).

Allvarlighetsgrad: Medel

Redis Cache bör endast tillåta åtkomst via SSL

Beskrivning: Aktivera endast anslutningar via SSL till Redis Cache. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning. (Relaterad princip: Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade).

Allvarlighetsgrad: Hög

SQL-databaser bör lösa sårbarhetsresultat

Beskrivning: SQL Vulnerability Assessment söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. Läs mer (Relaterad princip: Sårbarheter i dina SQL-databaser bör åtgärdas).

Allvarlighetsgrad: Hög

SQL-hanterade instanser bör ha konfigurerad sårbarhetsbedömning

Beskrivning: Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. (Relaterad princip: Sårbarhetsbedömning bör aktiveras på SQL Managed Instance).

Allvarlighetsgrad: Hög

SQL-servrar på datorer bör ha sårbarhetsresultat lösta

Beskrivning: SQL Vulnerability Assessment söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. Läs mer (Relaterad princip: Sårbarheter på DINA SQL-servrar på datorn bör åtgärdas).

Allvarlighetsgrad: Hög

SQL-servrar bör ha en Azure Active Directory-administratör etablerad

Beskrivning: Etablera en Azure AD-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster. (Relaterad princip: En Azure Active Directory-administratör bör etableras för SQL-servrar).

Allvarlighetsgrad: Hög

SQL-servrar bör ha konfigurerad sårbarhetsbedömning

Beskrivning: Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. (Relaterad princip: Sårbarhetsbedömning bör aktiveras på dina SQL-servrar).

Allvarlighetsgrad: Hög

Lagringskontot bör använda en privat länkanslutning

Beskrivning: Privata länkar framtvingar säker kommunikation genom att tillhandahålla privat anslutning till lagringskontot (Relaterad princip: Lagringskontot ska använda en privat länkanslutning).

Allvarlighetsgrad: Medel

Lagringskonton ska migreras till nya Azure Resource Manager-resurser

Beskrivning: Om du vill dra nytta av nya funktioner i Azure Resource Manager kan du migrera befintliga distributioner från den klassiska distributionsmodellen. Resource Manager möjliggör säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, ARM-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering. Läs mer (Relaterad princip: Lagringskonton ska migreras till nya Azure Resource Manager-resurser).

Allvarlighetsgrad: Låg

Lagringskonton bör förhindra åtkomst till delad nyckel

Beskrivning: Granskningskrav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory-autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. (Relaterad princip: princip)

Allvarlighetsgrad: Medel

Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk

Beskrivning: Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. (Relaterad princip: Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk).

Allvarlighetsgrad: Medel

Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem

Beskrivning: För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer, anger du att en säkerhetskontakt ska ta emot e-postmeddelanden från Defender för molnet. (Relaterad princip: Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem)

Allvarlighetsgrad: Låg

transparent datakryptering på SQL-databaser ska vara aktiverat

Beskrivning: Aktivera transparent datakryptering för att skydda vilande data och uppfylla efterlevnadskrav (Relaterad princip: transparent datakryptering på SQL-databaser ska aktiveras).

Allvarlighetsgrad: Låg

Mallar för VM Image Builder ska använda privat länk

Beskrivning: Granska vm Image Builder-mallar som inte har konfigurerat ett virtuellt nätverk. När ett virtuellt nätverk inte har konfigurerats skapas och används en offentlig IP-adress i stället, vilket direkt kan exponera resurser för Internet och öka den potentiella attackytan. (Relaterad princip: Mallar för VM Image Builder bör använda privat länk).

Allvarlighetsgrad: Medel

Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway

Beskrivning: Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder/regioner, IP-adressintervall och andra http-parametrar via anpassade regler. (Relaterad princip: Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway).

Allvarlighetsgrad: Låg

Brandväggen för webbprogram (WAF) ska vara aktiverad för Azure Front Door Service

Beskrivning: Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder/regioner, IP-adressintervall och andra http-parametrar via anpassade regler. (Relaterad princip: Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service?service)

Allvarlighetsgrad: Låg

AWS-datarekommendationer

Amazon Aurora-kluster bör ha backtracking aktiverat

Beskrivning: Den här kontrollen kontrollerar om Amazon Aurora-kluster har backtracking aktiverat. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker också motståndskraften i dina system. Aurora backtracking minskar tiden för att återställa en databas till en tidpunkt. Det krävs ingen databasåterställning för att göra det. Mer information om backtracking i Aurora finns i Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora DB cluster in the Amazon Aurora User Guide).

Allvarlighetsgrad: Medel

Amazon EBS-ögonblicksbilder bör inte vara offentligt återställningsbara

Beskrivning: Amazon EBS-ögonblicksbilder bör inte återställas offentligt av alla om de inte uttryckligen tillåts, för att undvika oavsiktlig exponering av data. Dessutom bör behörighet att ändra Amazon EBS-konfigurationer begränsas till endast auktoriserade AWS-konton.

Allvarlighetsgrad: Hög

Amazon ECS-uppgiftsdefinitioner bör ha säkra nätverkslägen och användardefinitioner

Beskrivning: Den här kontrollen kontrollerar om en aktiv Amazon ECS-uppgiftsdefinition som har värdnätverksläge också har privilegierade eller användarcontainerdefinitioner. Kontrollen misslyckas för uppgiftsdefinitioner som har värdnätverksläge och containerdefinitioner där privileged=false eller är tom och user=root eller är tom. Om en uppgiftsdefinition har utökade privilegier beror det på att kunden uttryckligen valde den konfigurationen. Den här kontrollen söker efter oväntad behörighetseskalering när en aktivitetsdefinition har aktiverat värdnätverk, men kunden valde inte utökade privilegier.

Allvarlighetsgrad: Hög

Amazon Elasticsearch Service-domäner ska kryptera data som skickas mellan noder

Beskrivning: Den här kontrollen kontrollerar om Amazon ES-domäner har kryptering från nod till nod aktiverad. HTTPS (TLS) kan användas för att förhindra att potentiella angripare tjuvlyssnar på eller manipulerar nätverkstrafik med hjälp av person-in-the-middle-attacker eller liknande attacker. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Om du aktiverar nod-till-nod-kryptering för Amazon ES-domäner ser du till att kommunikationen mellan kluster krypteras under överföring. Det kan finnas en prestandaavgift som är associerad med den här konfigurationen. Du bör vara medveten om och testa prestandavägningen innan du aktiverar det här alternativet.

Allvarlighetsgrad: Medel

Amazon Elasticsearch Service-domäner bör ha kryptering i vila aktiverat

Beskrivning: Det är viktigt att aktivera kryptering av resten av Amazon ES-domäner för att skydda känsliga data

Allvarlighetsgrad: Medel

Amazon RDS-databasen ska krypteras med hjälp av kundhanterad nyckel

Beskrivning: Den här kontrollen identifierar RDS-databaser som är krypterade med standard-KMS-nycklar och inte med kundhanterade nycklar. Som en ledande metod använder du kundhanterade nycklar för att kryptera data i dina RDS-databaser och behålla kontrollen över dina nycklar och data på känsliga arbetsbelastningar.

Allvarlighetsgrad: Medel

Amazon RDS-instans bör konfigureras med inställningar för automatisk säkerhetskopiering

Beskrivning: Den här kontrollen identifierar RDS-instanser som inte har angetts med inställningen för automatisk säkerhetskopiering. Om automatisk säkerhetskopiering har angetts skapar RDS en ögonblicksbild av lagringsvolymen av din DB-instans och säkerhetskopierar hela DB-instansen och inte bara enskilda databaser, vilket ger återställning till tidpunkt. Den automatiska säkerhetskopieringen sker under den angivna säkerhetskopieringsperioden och behåller säkerhetskopiorna under en begränsad tidsperiod enligt definitionen i kvarhållningsperioden. Vi rekommenderar att du ställer in automatiska säkerhetskopior för dina kritiska RDS-servrar som hjälper dig att återställa data.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör ha granskningsloggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har granskningsloggning aktiverat. Amazon Redshift-granskningsloggning innehåller ytterligare information om anslutningar och användaraktiviteter i klustret. Dessa data kan lagras och skyddas i Amazon S3 och kan vara till hjälp vid säkerhetsgranskningar och undersökningar. Mer information finns i Databasgranskningsloggning i Amazon Redshift Cluster Management Guide.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör ha automatiska ögonblicksbilder aktiverade

Beskrivning: Den här kontrollen kontrollerar om Amazon Redshift-kluster har automatiserade ögonblicksbilder aktiverade. Den kontrollerar också om kvarhållningsperioden för ögonblicksbilder är större än eller lika med sju. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker motståndskraften i dina system. Amazon Redshift tar periodiska ögonblicksbilder som standard. Den här kontrollen kontrollerar om automatiska ögonblicksbilder är aktiverade och bevarade i minst sju dagar. Mer information om amazon redshift automatiserade ögonblicksbilder finns i Automatiserade ögonblicksbilder i Amazon Redshift Cluster Management Guide.

Allvarlighetsgrad: Medel

Amazon Redshift-kluster bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar Amazon Redshift-kluster för att undvika offentlig tillgänglighet genom att utvärdera fältet "publiclyAccessible" i klusterkonfigurationsobjektet.

Allvarlighetsgrad: Hög

Amazon Redshift bör ha automatiska uppgraderingar till större versioner aktiverade

Beskrivning: Den här kontrollen kontrollerar om automatiska högre versionsuppgraderingar är aktiverade för Amazon Redshift-klustret. Om du aktiverar automatiska uppgraderingar av högre versioner ser du till att de senaste huvudversionsuppdateringarna till Amazon Redshift-kluster installeras under underhållsfönstret. Dessa uppdateringar kan innehålla säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Medel

Amazon SQS-köer ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om Amazon SQS-köer krypteras i vila. Med kryptering på serversidan (SSE) kan du överföra känsliga data i krypterade köer. För att skydda innehållet i meddelanden i köer använder SSE nycklar som hanteras i AWS KMS. Mer information finns i Kryptering i vila i Amazon Simple Queue Service Developer Guide.

Allvarlighetsgrad: Medel

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska klusterhändelser

Beskrivning: Den här kontrollen kontrollerar om det finns en Amazon RDS-händelseprenumeration som har meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBCluster: [Underhåll och fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasinstanshändelser

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBInstance: [Underhåll, konfigurationsändring och fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasparametergrupphändelser

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBParameterGroup: ["configuration","change"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska händelser i databassäkerhetsgruppen

Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp: Nyckel/värde-par för händelsekategori. DBSecurityGroup: [Konfiguration, ändring, fel]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

API Gateway REST- och WebSocket API-loggning ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om alla steg i en Amazon API Gateway REST eller WebSocket API har loggning aktiverat. Kontrollen misslyckas om loggning inte är aktiverad för alla metoder i en fas eller om loggningsnivån varken är FEL eller INFO. API Gateway REST- eller WebSocket API-faser bör ha relevanta loggar aktiverade. API Gateway REST- och WebSocket API-körningsloggning innehåller detaljerade poster över begäranden som görs till API-faserna REST och WebSocket API. Stegen omfattar API-integreringsserverdelssvar, Lambda-auktoriseringssvar och requestId för AWS-integreringsslutpunkter.

Allvarlighetsgrad: Medel

API Gateway REST API-cachedata ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om alla metoder i API Gateway REST API-faser som har cache aktiverats är krypterade. Kontrollen misslyckas om någon metod i EN API Gateway REST API-fas har konfigurerats för cachelagring och cacheminnet inte är krypterat. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger till en annan uppsättning åtkomstkontroller för att begränsa obehöriga användares åtkomst till data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. API Gateway REST API-cacheminnen ska krypteras i vila för ett extra säkerhetslager.

Allvarlighetsgrad: Medel

REST API-faser för API:et för API Gateway ska konfigureras för att använda SSL-certifikat för serverdelsautentisering

Beskrivning: Den här kontrollen kontrollerar om Amazon API Gateway REST API-faser har konfigurerat SSL-certifikat. Serverdelssystem använder dessa certifikat för att autentisera inkommande begäranden från API Gateway. API Gateway REST API-steg ska konfigureras med SSL-certifikat för att tillåta serverdelssystem att autentisera att begäranden kommer från API Gateway.

Allvarlighetsgrad: Medel

REST API-faserna för API:et för API Gateway bör ha AWS X-Ray-spårning aktiverat

Beskrivning: Den här kontrollen kontrollerar om aktiv spårning av AWS X-Ray är aktiverad för dina REST API-faser för Amazon API Gateway. X-Ray aktiv spårning möjliggör snabbare svar på prestandaändringar i den underliggande infrastrukturen. Prestandaändringar kan leda till bristande tillgänglighet för API:et. X-Ray-aktiv spårning ger realtidsmått för användarbegäranden som flödar genom API Gateway REST API-åtgärder och anslutna tjänster.

Allvarlighetsgrad: Låg

API Gateway ska associeras med en AWS WAF-webb-ACL

Beskrivning: Den här kontrollen kontrollerar om en API Gateway-fas använder en AWS WAF-lista för webbåtkomstkontroll (ACL). Den här kontrollen misslyckas om en AWS WAF-webb-ACL inte är kopplad till en REST API Gateway-fas. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en ACL, vilket är en uppsättning regler som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara regler och villkor för webbsäkerhet som du definierar. Se till att API Gateway-fasen är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.

Allvarlighetsgrad: Medel

Loggning av program och klassiska lastbalanserare ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om programlastbalanseraren och den klassiska lastbalanseraren har loggning aktiverats. Kontrollen misslyckas om access_logs.s3.enabled den är falsk. Elastisk belastningsutjämning ger åtkomstloggar som samlar in detaljerad information om begäranden som skickas till lastbalanseraren. Varje logg innehåller information, till exempel när begäran togs emot, klientens IP-adress, svarstider, sökvägar för begäranden och serversvar. Du kan använda åtkomstloggar för att analysera trafikmönster och felsöka problem. Mer information finns i Åtkomstloggar för din klassiska lastbalanserare i användarhandboken för klassiska lastbalanserare.

Allvarlighetsgrad: Medel

Anslutna EBS-volymer ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om DE EBS-volymer som är i ett anslutet tillstånd är krypterade. För att klara den här kontrollen måste EBS-volymerna användas och krypteras. Om EBS-volymen inte är ansluten omfattas den inte av den här kontrollen. Om du vill ha ett extra säkerhetslager för känsliga data i EBS-volymer bör du aktivera EBS-kryptering i vila. Amazon EBS-kryptering erbjuder en enkel krypteringslösning för dina EBS-resurser som inte kräver att du skapar, underhåller och skyddar din egen infrastruktur för nyckelhantering. Den använder AWS KMS-kundhuvudnycklar (CMK) när du skapar krypterade volymer och ögonblicksbilder. Mer information om Amazon EBS-kryptering finns i Amazon EBS-kryptering i Amazon EC2-användarhandboken för Linux-instanser.

Allvarlighetsgrad: Medel

Replikeringsinstanser för AWS Database Migration Service bör inte vara offentliga

Beskrivning: Skydda dina replikerade instanser mot hot. En privat replikeringsinstans bör ha en privat IP-adress som du inte kan komma åt utanför replikeringsnätverket. En replikeringsinstans bör ha en privat IP-adress när käll- och måldatabaserna finns i samma nätverk, och nätverket är anslutet till replikeringsinstansens VPC med hjälp av VPN, AWS Direct Connect eller VPC-peering. Du bör också se till att åtkomsten till din AWS DMS-instanskonfiguration begränsas till endast behöriga användare. Det gör du genom att begränsa användarnas IAM-behörigheter till att ändra AWS DMS-inställningar och resurser.

Allvarlighetsgrad: Hög

Klassiska Load Balancer-lyssnare ska konfigureras med HTTPS- eller TLS-avslutning

Beskrivning: Den här kontrollen kontrollerar om dina klassiska Load Balancer-lyssnare är konfigurerade med HTTPS- eller TLS-protokoll för frontend-anslutningar (klient till lastbalanserare). Kontrollen gäller om en klassisk lastbalanserare har lyssnare. Om den klassiska lastbalanseraren inte har konfigurerat någon lyssnare rapporterar inte kontrollen några resultat. Kontrollen skickas om de klassiska Load Balancer-lyssnarna har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Kontrollen misslyckas om lyssnaren inte har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Innan du börjar använda en lastbalanserare måste du lägga till en eller flera lyssnare. En lyssnare är en process som använder det konfigurerade protokollet och porten för att söka efter anslutningsbegäranden. Lyssnare kan stödja både HTTP- och HTTPS/TLS-protokoll. Du bör alltid använda en HTTPS- eller TLS-lyssnare, så att lastbalanseraren utför kryptering och dekryptering under överföring.

Allvarlighetsgrad: Medel

Klassiska lastbalanserare bör ha anslutningsdränering aktiverat

Beskrivning: Den här kontrollen kontrollerar om klassiska lastbalanserare har anslutningsdränering aktiverat. Om du aktiverar anslutningsdränering på klassiska lastbalanserare ser du till att lastbalanseraren slutar skicka begäranden till instanser som avregistreras eller inte är felfria. Den håller de befintliga anslutningarna öppna. Detta är användbart för instanser i grupper för automatisk skalning för att säkerställa att anslutningarna inte avbryts plötsligt.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör ha AWS WAF aktiverat

Beskrivning: Den här kontrollen kontrollerar om CloudFront-distributioner är associerade med AWS WAF- eller AWS WAFv2-webb-ACL:er. Kontrollen misslyckas om distributionen inte är associerad med en webb-ACL. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en uppsättning regler, som kallas en webbåtkomstkontrollista (webb-ACL), som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara webbsäkerhetsregler och villkor som du definierar. Se till att din CloudFront-distribution är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör ha loggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om loggning av serveråtkomst är aktiverad på CloudFront-distributioner. Kontrollen misslyckas om åtkomstloggning inte är aktiverad för en distribution. CloudFront-åtkomstloggar innehåller detaljerad information om varje användarbegäran som CloudFront tar emot. Varje logg innehåller information som datum och tid då begäran togs emot, IP-adressen för visningsprogrammet som gjorde begäran, källan till begäran och portnumret för begäran från visningsprogrammet. Dessa loggar är användbara för program som säkerhets- och åtkomstgranskningar och kriminalteknisk undersökning. Mer information om hur du analyserar åtkomstloggar finns i Fråga Amazon CloudFront-loggar i Amazon Athena-användarhandboken.

Allvarlighetsgrad: Medel

CloudFront-distributioner bör kräva kryptering under överföring

Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution kräver att användarna använder HTTPS direkt eller om den använder omdirigering. Kontrollen misslyckas om ViewerProtocolPolicy är inställt på allow-all för defaultCacheBehavior eller för cacheBehaviors. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.

Allvarlighetsgrad: Medel

CloudTrail-loggar ska krypteras i vila med KMS-CMK:er

Beskrivning: Vi rekommenderar att du konfigurerar CloudTrail att använda SSE-KMS. Om du konfigurerar CloudTrail för att använda SSE-KMS får du mer konfidentialitetskontroller för loggdata eftersom en viss användare måste ha läsbehörighet för S3 på motsvarande logg bucket och måste beviljas dekrypteringsbehörighet av CMK-principen.

Allvarlighetsgrad: Medel

Anslutningar till Amazon Redshift-kluster ska krypteras under överföring

Beskrivning: Den här kontrollen kontrollerar om anslutningar till Amazon Redshift-kluster krävs för att använda kryptering under överföring. Kontrollen misslyckas om parametern Amazon Redshift-kluster require_SSL inte är inställd på 1. TLS kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via TLS ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.

Allvarlighetsgrad: Medel

Anslutningar till Elasticsearch-domäner ska krypteras med TLS 1.2

Beskrivning: Den här kontrollen kontrollerar om anslutningar till Elasticsearch-domäner krävs för att använda TLS 1.2. Kontrollen misslyckas om Elasticsearch-domänen TLSSecurityPolicy inte är Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS. TLS 1.2 ger flera säkerhetsförbättringar jämfört med tidigare versioner av TLS.

Allvarlighetsgrad: Medel

DynamoDB-tabeller bör ha återställning till tidpunkt aktiverat

Beskrivning: Den här kontrollen kontrollerar om pitr-återställning (point-in-time) är aktiverat för en Amazon DynamoDB-tabell. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker också motståndskraften i dina system. DynamoDB-återställning till tidpunkt automatiserar säkerhetskopieringar för DynamoDB-tabeller. Det minskar tiden för att återställa från oavsiktliga borttagnings- eller skrivåtgärder. DynamoDB-tabeller som har PITR aktiverat kan återställas till valfri tidpunkt under de senaste 35 dagarna.

Allvarlighetsgrad: Medel

EBS-standardkryptering ska vara aktiverat

Beskrivning: Den här kontrollen kontrollerar om kryptering på kontonivå är aktiverat som standard för Amazon Elastic Block Store (Amazon EBS). Kontrollen misslyckas om krypteringen på kontonivå inte är aktiverad. När kryptering är aktiverat för ditt konto krypteras Amazon EBS-volymer och kopior av ögonblicksbilder i vila. Detta lägger till ytterligare ett skyddslager för dina data. Mer information finns i Kryptering som standard i Amazon EC2-användarhandboken för Linux-instanser.

Följande instanstyper stöder inte kryptering: R1, C1 och M1.

Allvarlighetsgrad: Medel

Elastic Beanstalk-miljöer bör ha förbättrad hälsorapportering aktiverad

Beskrivning: Den här kontrollen kontrollerar om förbättrad hälsorapportering är aktiverad för dina AWS Elastic Beanstalk-miljöer. Elastic Beanstalk förbättrad hälsorapportering möjliggör ett snabbare svar på ändringar i hälsotillståndet för den underliggande infrastrukturen. Dessa ändringar kan leda till att programmet inte är tillgängligt. Elastic Beanstalk förbättrad hälsorapportering ger en statusbeskrivning för att mäta allvarlighetsgraden för de identifierade problemen och identifiera möjliga orsaker att undersöka. Elastic Beanstalk-hälsoagenten, som ingår i Amazon Machine Images (AMIs) som stöds, utvärderar loggar och mått för EC2-miljöinstanser.

Allvarlighetsgrad: Låg

Elastic Beanstalk-hanterade plattformsuppdateringar ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om hanterade plattformsuppdateringar är aktiverade för Elastic Beanstalk-miljön. Genom att aktivera hanterade plattformsuppdateringar ser du till att de senaste tillgängliga plattformskorrigeringarna, uppdateringarna och funktionerna för miljön installeras. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Hög

Elastic Load Balancer bör inte ha ACM-certifikatet upphört att gälla eller upphör att gälla om 90 dagar.

Beskrivning: Den här kontrollen identifierar elastiska lastbalanserare (ELB) som använder ACM-certifikat som har upphört att gälla eller upphört att gälla om 90 dagar. AWS Certificate Manager (ACM) är det bästa verktyget för att etablera, hantera och distribuera dina servercertifikat. Med ACM. Du kan begära ett certifikat eller distribuera ett befintligt ACM- eller externt certifikat till AWS-resurser. Som bästa praxis rekommenderar vi att du importerar om utgångna/utgångna certifikat samtidigt som ELB-associationerna för det ursprungliga certifikatet bevaras.

Allvarlighetsgrad: Hög

Elasticsearch-domänfelloggning till CloudWatch-loggar ska vara aktiverad

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner är konfigurerade för att skicka felloggar till CloudWatch-loggar. Du bör aktivera felloggar för Elasticsearch-domäner och skicka loggarna till CloudWatch-loggar för kvarhållning och svar. Domänfelloggar kan hjälpa till med säkerhets- och åtkomstgranskningar och kan hjälpa till att diagnostisera tillgänglighetsproblem.

Allvarlighetsgrad: Medel

Elasticsearch-domäner ska konfigureras med minst tre dedikerade huvudnoder

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre dedikerade huvudnoder. Den här kontrollen misslyckas om domänen inte använder dedikerade huvudnoder. Den här kontrollen skickas om Elasticsearch-domäner har fem dedikerade huvudnoder. Det kan dock vara onödigt att använda fler än tre huvudnoder för att minska tillgänglighetsrisken och leda till högre kostnader. En Elasticsearch-domän kräver minst tre dedikerade huvudnoder för hög tillgänglighet och feltolerans. Dedikerade huvudnodresurser kan vara ansträngda under blå/gröna distributioner av datanoder eftersom det finns fler noder att hantera. Om du distribuerar en Elasticsearch-domän med minst tre dedikerade huvudnoder säkerställs tillräcklig resurskapacitet för huvudnoder och klusteråtgärder om en nod misslyckas.

Allvarlighetsgrad: Medel

Elasticsearch-domäner bör ha minst tre datanoder

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre datanoder och zoneAwarenessEnabled är sant. En Elasticsearch-domän kräver minst tre datanoder för hög tillgänglighet och feltolerans. Om du distribuerar en Elasticsearch-domän med minst tre datanoder säkerställs klusteråtgärder om en nod misslyckas.

Allvarlighetsgrad: Medel

Elasticsearch-domäner bör ha granskningsloggning aktiverat

Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har granskningsloggning aktiverat. Den här kontrollen misslyckas om en Elasticsearch-domän inte har aktiverat granskningsloggning. Granskningsloggar är mycket anpassningsbara. De gör att du kan spåra användaraktivitet i dina Elasticsearch-kluster, inklusive lyckade och misslyckade autentiseringar, begäranden till OpenSearch, indexändringar och inkommande sökfrågor.

Allvarlighetsgrad: Medel

Förbättrad övervakning bör konfigureras för RDS DB-instanser och kluster

Beskrivning: Den här kontrollen kontrollerar om förbättrad övervakning är aktiverad för dina RDS DB-instanser. I Amazon RDS möjliggör förbättrad övervakning ett snabbare svar på prestandaändringar i den underliggande infrastrukturen. Dessa prestandaändringar kan leda till bristande tillgänglighet för data. Förbättrad övervakning ger realtidsmått för operativsystemet som RDS DB-instansen körs på. En agent installeras på instansen. Agenten kan få mått mer exakt än vad som är möjligt från hypervisor-lagret. Förbättrade övervakningsmått är användbara när du vill se hur olika processer eller trådar på en DB-instans använder processorn. Mer information finns i Utökad övervakning i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Låg

Se till att rotationen för kundskapade CMK:er är aktiverad

Beskrivning: Med AWS nyckelhanteringstjänst (KMS) (KMS) kan kunderna rotera bakgrundsnyckeln, vilket är nyckelmaterial som lagras i KMS som är kopplat till nyckel-ID:t för kundskapad kundhuvudnyckel (CMK). Det är bakgrundsnyckeln som används för att utföra kryptografiska åtgärder som kryptering och dekryptering. Automatisk nyckelrotation behåller för närvarande alla tidigare säkerhetskopieringsnycklar så att dekryptering av krypterade data kan ske transparent. Vi rekommenderar att CMK-nyckelrotation aktiveras. Roterande krypteringsnycklar minskar den potentiella effekten av en komprometterad nyckel eftersom data som krypterats med en ny nyckel inte kan nås med en tidigare nyckel som kan ha exponerats.

Allvarlighetsgrad: Medel

Se till att S3-bucketåtkomstloggning är aktiverad i CloudTrail S3-bucketen

Beskrivning: S3 Bucket Access Logging genererar en logg som innehåller åtkomstposter Se till att S3-bucketåtkomstloggning är aktiverad på CloudTrail S3-bucketen för varje begäran som görs till din S3-bucket. En åtkomstloggpost innehåller information om begäran, till exempel typ av begäran, de resurser som angavs i begäran fungerade och tid och datum då begäran bearbetades. Vi rekommenderar att bucketåtkomstloggning aktiveras på CloudTrail S3-bucketen. Genom att aktivera S3-bucketloggning på mål-S3-bucketar är det möjligt att samla in alla händelser, vilket kan påverka objekt i mål bucketar. Att konfigurera loggar som ska placeras i en separat bucket ger åtkomst till logginformation, vilket kan vara användbart i arbetsflöden för säkerhet och incidenthantering.

Allvarlighetsgrad: Låg

Se till att S3-bucketen som används för att lagra CloudTrail-loggar inte är offentligt tillgänglig

Beskrivning: CloudTrail loggar en post för varje API-anrop som görs i ditt AWS-konto. Dessa loggfiler lagras i en S3-bucket. Vi rekommenderar att bucketprincipen eller åtkomstkontrollistan (ACL) tillämpas på S3-bucketen som CloudTrail loggar för att förhindra offentlig åtkomst till CloudTrail-loggarna. Att tillåta offentlig åtkomst till CloudTrail-logginnehåll kan hjälpa en angripare att identifiera svagheter i det berörda kontots användning eller konfiguration.

Allvarlighetsgrad: Hög

IAM bör inte ha upphört att gälla SSL/TLS-certifikat

Beskrivning: Den här kontrollen identifierar utgångna SSL/TLS-certifikat. Om du vill aktivera HTTPS-anslutningar till din webbplats eller ditt program i AWS behöver du ett SSL/TLS-servercertifikat. Du kan använda ACM eller IAM för att lagra och distribuera servercertifikat. Om du tar bort utgångna SSL/TLS-certifikat eliminerar du risken för att ett ogiltigt certifikat distribueras av misstag till en resurs, till exempel AWS Elastic Load Balancer (ELB), vilket kan skada programmets/webbplatsens trovärdighet bakom ELB. Den här kontrollen genererar aviseringar om det finns förfallna SSL/TLS-certifikat som lagras i AWS IAM. Vi rekommenderar att du tar bort utgångna certifikat.

Allvarlighetsgrad: Hög

Importerade ACM-certifikat bör förnyas efter en angiven tidsperiod

Beskrivning: Den här kontrollen kontrollerar om ACM-certifikat i ditt konto har markerats för förfallotid inom 30 dagar. Den kontrollerar både importerade certifikat och certifikat som tillhandahålls av AWS Certificate Manager. ACM kan automatiskt förnya certifikat som använder DNS-validering. För certifikat som använder e-postverifiering måste du svara på ett e-postmeddelande för domänverifiering. ACM förnyar inte heller automatiskt certifikat som du importerar. Du måste förnya importerade certifikat manuellt. Mer information om hanterad förnyelse för ACM-certifikat finns i Hanterad förnyelse för ACM-certifikat i användarhandboken för AWS Certificate Manager.

Allvarlighetsgrad: Medel

Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.

Allvarlighetsgrad: Medel

Automatiska delversionsuppgraderingar för RDS ska vara aktiverade

Beskrivning: Den här kontrollen kontrollerar om automatiska delversionsuppgraderingar är aktiverade för RDS-databasinstansen. Om du aktiverar automatiska delversionsuppgraderingar ser du till att de senaste delversionsuppdateringarna till relationsdatabashanteringssystemet (RDBMS) installeras. Dessa uppgraderingar kan omfatta säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.

Allvarlighetsgrad: Hög

Ögonblicksbilder av RDS-kluster och ögonblicksbilder av databaser ska krypteras i vila

Beskrivning: Den här kontrollen kontrollerar om RDS DB-ögonblicksbilder är krypterade. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för ögonblicksbilder av Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Om vilande data krypteras minskar risken för att en oautentiserad användare får åtkomst till data som lagras på disken. Data i RDS-ögonblicksbilder ska krypteras i vila för ett extra säkerhetslager.

Allvarlighetsgrad: Medel

RDS-kluster bör ha borttagningsskydd aktiverat

Beskrivning: Den här kontrollen kontrollerar om RDS-kluster har borttagningsskydd aktiverat. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Att aktivera skydd mot borttagning av kluster är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. När borttagningsskydd är aktiverat går det inte att ta bort ett RDS-kluster. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.

Allvarlighetsgrad: Låg

RDS DB-kluster bör konfigureras för flera Tillgänglighetszoner

Beskrivning: RDS DB-kluster ska konfigureras för flera data som lagras. Distribution till flera Tillgänglighetszoner gör det möjligt att automatisera Tillgänglighetszoner för att säkerställa tillgänglighet för redundansväxling i händelse av tillgänglighetsproblem i tillgänglighetszonen och under regelbundna underhållshändelser för fjärrskrivbord.

Allvarlighetsgrad: Medel

RDS DB-kluster ska konfigureras för att kopiera taggar till ögonblicksbilder

Beskrivning: Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-kluster så att du kan utvärdera deras säkerhetsstatus och agera på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databaskluster. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för deras överordnade databaskluster.

Allvarlighetsgrad: Låg

RDS DB-instanser bör konfigureras för att kopiera taggar till ögonblicksbilder

Beskrivning: Den här kontrollen kontrollerar om RDS DB-instanser har konfigurerats för att kopiera alla taggar till ögonblicksbilder när ögonblicksbilderna skapas. Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-instanser så att du kan utvärdera deras säkerhetsstatus och vidta åtgärder på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databasinstanser. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för sina överordnade databasinstanser.

Allvarlighetsgrad: Låg

RDS DB-instanser bör konfigureras med flera Tillgänglighetszoner

Beskrivning: Den här kontrollen kontrollerar om hög tillgänglighet är aktiverad för dina RDS DB-instanser. RDS DB-instanser bör konfigureras för flera Tillgänglighetszoner (AZs). Detta säkerställer tillgängligheten för lagrade data. Multi-AZ-distributioner möjliggör automatisk redundans om det finns ett problem med tillgänglighetszonens tillgänglighet och under regelbundet RDS-underhåll.

Allvarlighetsgrad: Medel

RDS DB-instanser bör ha borttagningsskydd aktiverat

Beskrivning: Den här kontrollen kontrollerar om dina RDS DB-instanser som använder någon av databasmotorerna i listan har borttagningsskydd aktiverat. Att aktivera skydd mot borttagning av instanser är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. Borttagningsskydd är aktiverat, men det går inte att ta bort en RDS DB-instans. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.

Allvarlighetsgrad: Låg

RDS DB-instanser bör ha kryptering i vila aktiverat

Beskrivning: Den här kontrollen kontrollerar om lagringskryptering är aktiverat för dina Amazon RDS DB-instanser. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. För ett extra säkerhetslager för känsliga data i RDS DB-instanser bör du konfigurera rds db-instanserna så att de krypteras i vila. Om du vill kryptera RDS DB-instanser och ögonblicksbilder i vila aktiverar du krypteringsalternativet för dina RDS DB-instanser. Data som krypteras i vila inkluderar den underliggande lagringen för DB-instanser, dess automatiserade säkerhetskopior, läsrepliker och ögonblicksbilder. RDS-krypterade DB-instanser använder den öppna standardalgoritmen för AES-256-kryptering för att kryptera dina data på servern som är värd för dina RDS DB-instanser. När dina data har krypterats hanterar Amazon RDS autentisering av åtkomst och dekryptering av dina data transparent med minimal påverkan på prestanda. Du behöver inte ändra databasklientprogram för att använda kryptering. Amazon RDS-kryptering är för närvarande tillgängligt för alla databasmotorer och lagringstyper. Amazon RDS-kryptering är tillgängligt för de flesta DB-instansklasser. Information om DB-instansklasser som inte stöder Amazon RDS-kryptering finns i Kryptera Amazon RDS-resurser i Amazon RDS-användarhandboken.

Allvarlighetsgrad: Medel

RDS DB-instanser bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar att du också ser till att åtkomsten till RDS-instansens konfiguration begränsas till endast behöriga användare genom att begränsa användarnas IAM-behörigheter för att ändra INSTÄLLNINGAR och resurser för RDS-instanser.

Allvarlighetsgrad: Hög

RDS-ögonblicksbilder bör förbjuda offentlig åtkomst

Beskrivning: Vi rekommenderar att du endast tillåter auktoriserade huvudkonton att komma åt ögonblicksbilden och ändra Amazon RDS-konfigurationen.

Allvarlighetsgrad: Hög

Ta bort oanvända HemligheterHanterarens hemligheter

Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har använts inom ett angivet antal dagar. Standardvärdet är 90 dagar. Om en hemlighet inte användes inom det definierade antalet dagar misslyckas den här kontrollen. Det är lika viktigt att ta bort oanvända hemligheter som att rotera hemligheter. Oanvända hemligheter kan missbrukas av sina tidigare användare, som inte längre behöver åtkomst till dessa hemligheter. När fler användare får åtkomst till en hemlighet kan någon också ha misskött och läckt den till en obehörig entitet, vilket ökar risken för missbruk. Om du tar bort oanvända hemligheter kan du återkalla hemlig åtkomst från användare som inte längre behöver den. Det hjälper också till att minska kostnaden för att använda Secrets Manager. Därför är det viktigt att rutinmässigt ta bort oanvända hemligheter.

Allvarlighetsgrad: Medel

S3-bucketar ska ha replikering mellan regioner aktiverad

Beskrivning: Om du aktiverar S3-replikering mellan regioner ser du till att flera versioner av data är tillgängliga i olika olika regioner. På så sätt kan du skydda din S3-bucket mot DDoS-attacker och skadade datahändelser.

Allvarlighetsgrad: Låg

S3-bucketar ska ha kryptering på serversidan aktiverat

Beskrivning: Aktivera kryptering på serversidan för att skydda data i dina S3-bucketar. Kryptering av data kan förhindra åtkomst till känsliga data i händelse av ett dataintrång.

Allvarlighetsgrad: Medel

Secrets Manager-hemligheter som konfigurerats med automatisk rotation bör roteras korrekt

Beskrivning: Den här kontrollen kontrollerar om en AWS Secrets Manager-hemlighet roterades korrekt baserat på rotationsschemat. Kontrollen misslyckas om RotationOccurringAsScheduled är falskt. Kontrollen utvärderar inte hemligheter som inte har rotation konfigurerats. Secrets Manager hjälper dig att förbättra organisationens säkerhetsstatus. Hemligheter inkluderar databasautentiseringsuppgifter, lösenord och API-nycklar från tredje part. Du kan använda Secrets Manager för att lagra hemligheter centralt, kryptera hemligheter automatiskt, kontrollera åtkomsten till hemligheter och rotera hemligheter på ett säkert och automatiskt sätt. Secrets Manager kan rotera hemligheter. Du kan använda rotation för att ersätta långsiktiga hemligheter med kortsiktiga. Om du roterar dina hemligheter begränsas hur länge en obehörig användare kan använda en komprometterad hemlighet. Därför bör du rotera dina hemligheter ofta. Förutom att konfigurera hemligheter att rotera automatiskt bör du se till att hemligheterna roterar korrekt baserat på rotationsschemat. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.

Allvarlighetsgrad: Medel

Secrets Manager-hemligheter ska roteras inom ett angivet antal dagar

Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har roterats minst en gång inom 90 dagar. Genom att rotera hemligheter kan du minska risken för obehörig användning av dina hemligheter i ditt AWS-konto. Exempel är databasautentiseringsuppgifter, lösenord, API-nycklar från tredje part och till och med godtycklig text. Om du inte ändrar dina hemligheter under en längre tid är det mer troligt att hemligheterna komprometteras. När fler användare får åtkomst till en hemlighet kan det bli mer troligt att någon misskötte och läckte den till en obehörig entitet. Hemligheter kan läcka via loggar och cachedata. De kan delas i felsökningssyfte och inte ändras eller återkallas när felsökningen har slutförts. Av alla dessa skäl bör hemligheter roteras ofta. Du kan konfigurera dina hemligheter för automatisk rotation i AWS Secrets Manager. Med automatisk rotation kan du ersätta långsiktiga hemligheter med kortsiktiga, vilket avsevärt minskar risken för kompromisser. Security Hub rekommenderar att du aktiverar rotation för hemligheterna i Secrets Manager. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.

Allvarlighetsgrad: Medel

SNS-ämnen ska krypteras i vila med hjälp av AWS KMS

Beskrivning: Den här kontrollen kontrollerar om ett SNS-ämne krypteras i vila med hjälp av AWS KMS. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger också till en annan uppsättning åtkomstkontroller för att begränsa möjligheten för obehöriga användare att komma åt data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. SNS-ämnen ska krypteras i vila för ett extra säkerhetslager. Mer information finns i Kryptering i vila i utvecklarguiden för Amazon Simple Notification Service.

Allvarlighetsgrad: Medel

VPC-flödesloggning ska vara aktiverad i alla virtuella datorer

Beskrivning: VPC-flödesloggar ger insyn i nätverkstrafik som passerar genom VPC och kan användas för att identifiera avvikande trafik eller insikter under säkerhetshändelser.

Allvarlighetsgrad: Medel

GCP-datarekommendationer

Kontrollera att databasflaggan "3625 (spårningsflagga)" för Cloud SQL Server-instansen är inställd på "off"

Beskrivning: Vi rekommenderar att du anger databasflaggan "3625 (spårningsflagga)" för Cloud SQL Server-instansen till "off". Spårningsflaggor används ofta för att diagnostisera prestandaproblem eller för att felsöka lagrade procedurer eller komplexa datorsystem, men de kan också rekommenderas av Microsoft Support för att hantera beteende som påverkar en viss arbetsbelastning negativt. Alla dokumenterade spårningsflaggor och de som rekommenderas av Microsoft Support stöds fullt ut i en produktionsmiljö när de används enligt anvisningarna. "3625(spårningslogg)" Begränsar mängden information som returneras till användare som inte är medlemmar i den fasta sysadmin-serverrollen genom att maskera parametrarna för vissa felmeddelanden med hjälp av "******". Detta kan bidra till att förhindra att känslig information avslöjas. Därför rekommenderar vi att du inaktiverar den här flaggan. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Medel

Se till att databasflaggan "externa skript aktiverade" för SQL Server-instansen i molnet är inställd på "off"

Beskrivning: Vi rekommenderar att du ställer in databasflaggan "externa skript aktiverade" för att cloud SQL Server-instansen ska inaktiveras. Med "externa skript aktiverade" kan skript köras med vissa fjärrspråkstillägg. Den här egenskapen är AV som standard. När Advanced Analytics Services har installerats kan du välja att ange den här egenskapen till true. Eftersom funktionen "Externa skript aktiverade" tillåter att skript utanför SQL, till exempel filer som finns i ett R-bibliotek, körs, vilket kan påverka systemets säkerhet negativt, bör detta därför inaktiveras. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Hög

Se till att databasflaggan "fjärråtkomst" för SQL Server-instansen i molnet är inställd på "off"

Beskrivning: Vi rekommenderar att du anger databasflaggan "fjärråtkomst" för Cloud SQL Server-instansen till "off". Alternativet "fjärråtkomst" styr körningen av lagrade procedurer från lokala servrar eller fjärrservrar där instanser av SQL Server körs. Det här standardvärdet för det här alternativet är 1. Detta ger behörighet att köra lokala lagrade procedurer från fjärrservrar eller fjärrlagrade procedurer från den lokala servern. För att förhindra att lokala lagrade procedurer körs från en fjärrserver eller fjärranslutna procedurer från att köras på den lokala servern måste detta inaktiveras. Alternativet Fjärråtkomst styr körningen av lokala lagrade procedurer på fjärrservrar eller fjärranslutna procedurer på den lokala servern. Funktionen "Fjärråtkomst" kan missbrukas för att starta en DoS-attack (Denial-of-Service) på fjärrservrar genom att avinläsning av frågebearbetning till ett mål, därför bör detta inaktiveras. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Hög

Kontrollera att databasflaggan "skip_show_database" för Cloud SQL Mysql-instansen är inställd på "på"

Beskrivning: Vi rekommenderar att du anger databasflaggan "skip_show_database" för Cloud SQL Mysql-instansen till "på". Databasflaggan "skip_show_database" hindrar personer från att använda SHOW DATABASES-instruktionen om de inte har behörigheten SHOW DATABASES. Detta kan förbättra säkerheten om du är orolig för att användare ska kunna se databaser som tillhör andra användare. Dess effekt beror på SHOW DATABASES-behörigheten: Om variabelvärdet är PÅ tillåts SHOW DATABASES-instruktionen endast för användare som har behörigheten SHOW DATABASES, och instruktionen visar alla databasnamn. Om värdet är AV tillåts SHOW DATABASES för alla användare, men visar bara namnen på de databaser som användaren har SHOW DATABASES eller annan behörighet för. Den här rekommendationen gäller för Mysql-databasinstanser.

Allvarlighetsgrad: Låg

Kontrollera att en standardkundhanterad krypteringsnyckel (CMEK) har angetts för alla BigQuery-datauppsättningar

Beskrivning: BigQuery krypterar som standard data i vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Data krypteras med hjälp av datakrypteringsnycklarna och själva datakrypteringsnycklarna krypteras ytterligare med hjälp av nyckelkrypteringsnycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. Men om du vill ha större kontroll kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. BigQuery krypterar som standard data som vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. För större kontroll över krypteringen kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. Om du anger en cmek (Default Customer-managed encryption key) för en datauppsättning ser du till att alla tabeller som skapas i framtiden använder den angivna CMEK:en om ingen annan tillhandahålls.

Google lagrar inte dina nycklar på sina servrar och kan inte komma åt dina skyddade data om du inte anger nyckeln.

Det innebär också att om du glömmer eller förlorar din nyckel finns det inget sätt för Google att återställa nyckeln eller återställa data som krypterats med den förlorade nyckeln.

Allvarlighetsgrad: Medel

Kontrollera att alla BigQuery-tabeller är krypterade med kundhanterad krypteringsnyckel (CMEK)

Beskrivning: BigQuery krypterar som standard data i vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Data krypteras med hjälp av datakrypteringsnycklarna och själva datakrypteringsnycklarna krypteras ytterligare med hjälp av nyckelkrypteringsnycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. Men om du vill ha större kontroll kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery Data Sets. Om CMEK används används CMEK för att kryptera datakrypteringsnycklarna i stället för att använda Google-hanterade krypteringsnycklar. BigQuery krypterar som standard data som vila genom att använda kuvertkryptering med hjälp av Googles hanterade kryptografiska nycklar. Detta är sömlöst och kräver inga ytterligare indata från användaren. För större kontroll över krypteringen kan kundhanterade krypteringsnycklar (CMEK) användas som krypteringsnyckelhanteringslösning för BigQuery-tabeller. CMEK används för att kryptera datakrypteringsnycklarna i stället för att använda google-hanterade krypteringsnycklar. BigQuery lagrar tabellen och CMEK-associationen och krypteringen/dekrypteringen görs automatiskt. Om du tillämpar standardkundhanterade nycklar på BigQuery-datauppsättningar ser du till att alla nya tabeller som skapas i framtiden krypteras med cmek, men befintliga tabeller måste uppdateras för att kunna använda CMEK individuellt.

Google lagrar inte dina nycklar på sina servrar och kan inte komma åt dina skyddade data om du inte anger nyckeln. Det innebär också att om du glömmer eller förlorar din nyckel finns det inget sätt för Google att återställa nyckeln eller återställa data som krypterats med den förlorade nyckeln.

Allvarlighetsgrad: Medel

Se till att BigQuery-datauppsättningar inte är anonymt eller offentligt tillgängliga

Beskrivning: Vi rekommenderar att IAM-principen för BigQuery-datauppsättningar inte tillåter anonym och/eller offentlig åtkomst. Genom att bevilja behörigheter till allaAnvändare eller allaAuthenticatedUsers kan vem som helst komma åt datauppsättningen. Sådan åtkomst kanske inte är önskvärd om känsliga data lagras i datamängden. Se därför till att anonym och/eller offentlig åtkomst till en datauppsättning inte tillåts.

Allvarlighetsgrad: Hög

Kontrollera att Cloud SQL-databasinstanser har konfigurerats med automatiserade säkerhetskopieringar

Beskrivning: Vi rekommenderar att alla SQL-databasinstanser är inställda för att aktivera automatiserade säkerhetskopieringar. Säkerhetskopior är ett sätt att återställa en Cloud SQL-instans för att återställa förlorade data eller återställa från ett problem med den instansen. Automatiserade säkerhetskopior måste ställas in för alla instanser som innehåller data som ska skyddas mot förlust eller skada. Den här rekommendationen gäller för SQL Server-, PostgreSql-, MySql generation 1- och MySql generation 2-instanser.

Allvarlighetsgrad: Hög

Se till att Sql-molndatabasinstanser inte är öppna för världen

Beskrivning: Databasservern bör endast acceptera anslutningar från betrodda nätverk/IP-adresser och begränsa åtkomsten från världen. För att minimera attackytan på en databasserverinstans bör endast betrodda/kända och nödvändiga IP-adresser godkännas för att ansluta till den. Ett auktoriserat nätverk bör inte ha IP-adresser/nätverk konfigurerade till 0.0.0.0/0, vilket ger åtkomst till instansen var som helst i världen. Observera att auktoriserade nätverk endast gäller för instanser med offentliga IP-adresser.

Allvarlighetsgrad: Hög

Kontrollera att Cloud SQL-databasinstanser inte har offentliga IP-adresser

Beskrivning: Vi rekommenderar att du konfigurerar andra generationens Sql-instans för att använda privata IP-adresser i stället för offentliga IP-adresser. För att minska organisationens attackyta bör Cloud SQL-databaser inte ha offentliga IP-adresser. Privata IP-adresser ger förbättrad nätverkssäkerhet och kortare svarstid för ditt program.

Allvarlighetsgrad: Hög

Se till att Cloud Storage-bucketen inte är anonymt eller offentligt tillgänglig

Beskrivning: Vi rekommenderar att IAM-principen i Cloud Storage-bucketen inte tillåter anonym eller offentlig åtkomst. Om du tillåter anonym eller offentlig åtkomst får vem som helst behörighet att komma åt bucketinnehåll. Sådan åtkomst kanske inte önskas om du lagrar känsliga data. Se därför till att anonym eller offentlig åtkomst till en bucket inte tillåts.

Allvarlighetsgrad: Hög

Se till att Cloud Storage-bucketar har enhetlig åtkomst på bucketnivå aktiverat

Beskrivning: Vi rekommenderar att enhetlig åtkomst på bucketnivå aktiveras på Cloud Storage-bucketar. Vi rekommenderar att du använder enhetlig åtkomst på bucketnivå för att förena och förenkla hur du beviljar åtkomst till dina Cloud Storage-resurser. Cloud Storage erbjuder två system för att ge användare behörighet att komma åt dina bucketar och objekt: Cloud Identity and Access Management (Cloud IAM) och Åtkomstkontrollistor (ACL).
Dessa system fungerar parallellt – för att en användare ska få åtkomst till en Molnlagringsresurs behöver bara ett av systemen bevilja användaren behörighet. Moln-IAM används i hela Google Cloud och gör att du kan bevilja en mängd olika behörigheter på bucket- och projektnivå. ACL:er används endast av Cloud Storage och har begränsade behörighetsalternativ, men de gör att du kan bevilja behörigheter per objekt.

För att stödja ett enhetligt behörighetssystem har Cloud Storage enhetlig åtkomst på bucketnivå. Med den här funktionen inaktiveras ACL:er för alla Cloud Storage-resurser: åtkomst till Cloud Storage-resurser beviljas sedan exklusivt via Cloud IAM. Om du aktiverar enhetlig åtkomst på bucketnivå garanteras att inget objekt i bucketen är offentligt tillgängligt om en lagringshink inte är offentligt tillgänglig.

Allvarlighetsgrad: Medel

Kontrollera att beräkningsinstanser har konfidentiell databehandling aktiverat

Beskrivning: Google Cloud krypterar vilande data och under överföring, men kunddata måste dekrypteras för bearbetning. Konfidentiell databehandling är en banbrytande teknik som krypterar data som används medan de bearbetas. Miljöer för konfidentiell databehandling håller data krypterade i minnet och på andra platser utanför den centrala bearbetningsenheten (CPU). Konfidentiella virtuella datorer använder funktionen Säker krypterad virtualisering (SEV) i AMD EPYC-processorer. Kunddata förblir krypterade när de används, indexeras, efterfrågas eller tränas på. Krypteringsnycklar genereras i maskinvara, per virtuell dator och kan inte exporteras. Tack vare inbyggda maskinvaruoptimeringar av både prestanda och säkerhet finns det ingen betydande prestandaförseelse för konfidentiella databehandlingsarbetsbelastningar. Med konfidentiell databehandling kan kundernas känsliga kod och andra data krypteras i minnet under bearbetningen. Google har inte åtkomst till krypteringsnycklarna. Konfidentiell virtuell dator kan hjälpa till att minska oron för risker relaterade till antingen beroende av Googles infrastruktur eller Google Insiders åtkomst till kunddata i klartext.

Allvarlighetsgrad: Hög

Se till att kvarhållningsprinciper på logg bucketar har konfigurerats med bucketlås

Beskrivning: Om du aktiverar kvarhållningsprinciper på logg bucketar skyddas loggar som lagras i molnlagrings bucketar från att skrivas över eller tas bort av misstag. Vi rekommenderar att du konfigurerar kvarhållningsprinciper och konfigurerar Bucket Lock på alla lagringshink som används som loggmottagare. Loggar kan exporteras genom att skapa en eller flera mottagare som innehåller ett loggfilter och ett mål. När Stackdriver Logging tar emot nya loggposter jämförs de med varje mottagare. Om en loggpost matchar filtret för en mottagare skrivs en kopia av loggposten till målet. Mottagare kan konfigureras för att exportera loggar i lagrings bucketar. Vi rekommenderar att du konfigurerar en datakvarhållningsprincip för dessa molnlagrings bucketar och låser principen för datakvarhållning. och därmed permanent förhindra att policyn reduceras eller tas bort. På så sätt, om systemet någonsin komprometteras av en angripare eller en obehörig insider som vill täcka sina spår, bevaras aktivitetsloggarna definitivt för kriminaltekniska och säkerhetsundersökningar.

Allvarlighetsgrad: Låg

Kontrollera att Cloud SQL-databasinstansen kräver att alla inkommande anslutningar använder SSL

Beskrivning: Vi rekommenderar att du framtvingar alla inkommande anslutningar till SQL-databasinstansen för att använda SSL. SQL-databasanslutningar om de har fastnat (MITM); kan avslöja känsliga data som autentiseringsuppgifter, databasfrågor, frågeutdata osv. För säkerhet rekommenderar vi att du alltid använder SSL-kryptering när du ansluter till din instans. Den här rekommendationen gäller för Instanser av Postgresql, MySql generation 1 och MySql generation 2.

Allvarlighetsgrad: Hög

Kontrollera att databasflaggan "innesluten databasautentisering" för Cloud SQL på SQL Server-instansen är inställd på "off"

Beskrivning: Vi rekommenderar att du anger databasflaggan "innesluten databasautentisering" för Cloud SQL på SQL Server-instansen är inställd på "off". En innesluten databas innehåller alla databasinställningar och metadata som krävs för att definiera databasen och har inga konfigurationsberoenden på instansen av databasmotorn där databasen är installerad. Användare kan ansluta till databasen utan att autentisera en inloggning på databasmotornivå. Genom att isolera databasen från databasmotorn kan du enkelt flytta databasen till en annan instans av SQL Server. Inneslutna databaser har vissa unika hot som bör förstås och minimeras av SQL Server Database Engine-administratörer. De flesta hoten är relaterade till autentiseringsprocessen ANVÄNDARE MED LÖSENORD, som flyttar autentiseringsgränsen från databasmotornivån till databasnivå. Därför rekommenderas att du inaktiverar den här flaggan. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "kors db ownership chaining" för Cloud SQL Server-instansen är inställd på "off"

Beskrivning: Vi rekommenderar att du anger databasflaggan "kors db ownership chaining" för Cloud SQL Server-instansen till "off". Använd alternativet korsdatabasägarskap för länkning för att konfigurera ägarskapslänkning mellan databaser för en instans av Microsoft SQL Server. Med det här serveralternativet kan du styra korsdatabasägarlänkning på databasnivå eller tillåta korsdatabasägarkoppling för alla databaser. Aktivering av "korsdatabasägarskap" rekommenderas inte om inte alla databaser som hanteras av SQL Server-instansen måste delta i korsdatabasägarlänkning och du är medveten om säkerhetskonsekvenserna av den här inställningen. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att databasflaggan "local_infile" för en Sql Mysql-instans i molnet är inställd på "off"

Beskrivning: Vi rekommenderar att du ställer in local_infile databasflaggan för en Cloud SQL MySQL-instans till av. Flaggan local_infile styr lokal kapacitet på serversidan för LOAD DATA-instruktioner. Beroende på inställningen local_infile nekar eller tillåter servern lokal datainläsning av klienter som har LOCAL aktiverat på klientsidan. Börja med att inaktivera local_infile för att uttryckligen göra så att servern nekar LOKALA LOAD DATA-instruktioner (oavsett hur klientprogram och bibliotek konfigureras vid byggtid eller körning mysqld ). local_infile kan också ställas in vid körning. På grund av säkerhetsproblem som är associerade med flaggan local_infile rekommenderar vi att du inaktiverar den. Den här rekommendationen gäller för MySQL-databasinstanser.

Allvarlighetsgrad: Medel

Kontrollera att loggmåttfiltret och aviseringarna finns för ändringar av IAM-behörigheter för Cloud Storage

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för Cloud Storage Bucket IAM-ändringar. Övervakning av ändringar i molnlagrings bucketbehörigheter kan minska den tid som krävs för att identifiera och korrigera behörigheter för känsliga molnlagrings bucketar och objekt i bucketen.

Allvarlighetsgrad: Låg

Kontrollera att loggmåttfiltret och aviseringarna finns för konfigurationsändringar för SQL-instanser

Beskrivning: Vi rekommenderar att ett måttfilter och larm upprättas för konfigurationsändringar för SQL-instanser. Övervakning av ändringar i SQL-instanskonfigurationsändringar kan minska den tid som krävs för att identifiera och korrigera felkonfigurationer som görs på SQL-servern. Nedan visas några av de konfigurerbara alternativen som kan påverka säkerhetsstatusen för en SQL-instans:

• Aktivera automatiska säkerhetskopieringar och hög tillgänglighet: Felkonfiguration kan påverka affärskontinuitet, haveriberedskap och hög tillgänglighet negativt
• Auktorisera nätverk: Felkonfiguration kan öka exponeringen för ej betrodda nätverk

Allvarlighetsgrad: Låg

Se till att det bara finns GCP-hanterade tjänstkontonycklar för varje tjänstkonto

Beskrivning: Användarhanterade tjänstkonton ska inte ha användarhanterade nycklar. Alla som har åtkomst till nycklarna kommer att kunna komma åt resurser via tjänstkontot. GCP-hanterade nycklar används av molnplattformstjänster som App Engine och Compute Engine. Dessa nycklar kan inte laddas ned. Google behåller nycklarna och roterar dem automatiskt ungefär varje vecka. Användarhanterade nycklar skapas, kan laddas ned och hanteras av användare. De löper ut 10 år från skapandet. För användarhanterade nycklar måste användaren ta över ägarskapet för viktiga hanteringsaktiviteter, bland annat:

• Nyckellagring
• Nyckeldistribution
• Återkallande av nycklar
• Nyckelrotation
• Nyckelskydd mot obehöriga användare
• Nyckelåterställning

Även med viktiga försiktighetsåtgärder för ägare kan nycklar lätt läckas av mindre än optimala vanliga utvecklingsmetoder som att kontrollera nycklar i källkoden eller lämna dem i katalogen Nedladdningar eller oavsiktligt lämna dem på supportbloggar/kanaler. Vi rekommenderar att du förhindrar användarhanterade tjänstkontonycklar.

Allvarlighetsgrad: Låg

Se till att databasflaggan "användaranslutningar" för SQL Server-instansen i molnet har angetts efter behov

Beskrivning: Vi rekommenderar att du anger databasflaggan "användaranslutningar" för Cloud SQL Server-instansen enligt ett organisationsdefinierat värde. Alternativet "användaranslutningar" anger det maximala antalet samtidiga användaranslutningar som tillåts på en instans av SQL Server. Det faktiska antalet tillåtna användaranslutningar beror också på vilken version av SQL Server du använder, och även gränserna för ditt program eller program och maskinvara. SQL Server tillåter högst 32 767 användaranslutningar. Eftersom användaranslutningar är ett dynamiskt alternativ (självkonfigurering) justerar SQL Server det maximala antalet användaranslutningar automatiskt efter behov, upp till det högsta tillåtna värdet. Om till exempel bara 10 användare är inloggade allokeras 10 användaranslutningsobjekt. I de flesta fall behöver du inte ändra värdet för det här alternativet. Standardvärdet är 0, vilket innebär att de maximala (32 767) användaranslutningarna tillåts. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Låg

Se till att databasflaggan "användaralternativ" för SQL Server-instansen i molnet inte har konfigurerats

Beskrivning: Vi rekommenderar att databasflaggan "användaralternativ" för Cloud SQL Server-instansen inte konfigureras. Alternativet "användaralternativ" anger globala standardvärden för alla användare. En lista över standardalternativ för frågebearbetning upprättas under en användares arbetssession. Med inställningen användaralternativ kan du ändra standardvärdena för SET-alternativen (om serverns standardinställningar inte är lämpliga). En användare kan åsidosätta dessa standardvärden med hjälp av SET-instruktionen. Du kan konfigurera användaralternativ dynamiskt för nya inloggningar. När du har ändrat inställningen för användaralternativ använder nya inloggningssessioner den nya inställningen. aktuella inloggningssessioner påverkas inte. Den här rekommendationen gäller för SQL Server-databasinstanser.

Allvarlighetsgrad: Låg

Loggning för GKE-kluster ska vara aktiverad

Beskrivning: Den här rekommendationen utvärderar om egenskapen loggingService för ett kluster innehåller den plats som Molnloggning ska använda för att skriva loggar.

Allvarlighetsgrad: Hög

Objektversionshantering ska aktiveras på lagrings bucketar där mottagare konfigureras

Beskrivning: Den här rekommendationen utvärderar om det aktiverade fältet i bucketens versionsegenskap är inställt på true.

Allvarlighetsgrad: Hög

Överetablerade identiteter i projekt bör undersökas för att minska PCI (Permission Creep Index)

Beskrivning: Överetablerade identiteter i projekt bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.

Allvarlighetsgrad: Medel

Projekt som har kryptografiska nycklar bör inte ha användare med ägarbehörighet

Beskrivning: Den här rekommendationen utvärderar IAM-tillåtna principer i projektmetadata för huvudnamn tilldelade roller/ägare.

Allvarlighetsgrad: Medel

Lagrings bucketar som används som en loggmottagare bör inte vara offentligt tillgängliga

Beskrivning: Den här rekommendationen utvärderar IAM-principen för en bucket för huvudnamnen allUsers eller allAuthenticatedUsers, som beviljar offentlig åtkomst.

Allvarlighetsgrad: Hög

Relaterat innehåll

• Lär dig mer om säkerhetsrekommendationer
• Granska säkerhetsrekommendationer