Поделиться через


Рекомендации по безопасности вычислений

В этой статье перечислены все рекомендации по безопасности вычислений с несколькими облаками, которые могут отображаться в Microsoft Defender для облака.

Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Совет

Если описание рекомендации говорит , что связанная политика, обычно это связано с другой рекомендацией.

Например, при исправлении сбоев работоспособности Endpoint Protection рекомендуется проверить, установлено ли решение для защиты конечных точек (необходимо установить решение Endpoint Protection). Базовая рекомендация имеет политику. Ограничение политик только базовыми рекомендациями упрощает управление политиками.

Рекомендации по вычислениям Azure

На компьютерах должны быть установлены обновления системы (на базе Центра обновления)

Описание. Компьютеры отсутствуют в системе, безопасности и критически важных обновлениях. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению.

Серьезность: низкая

Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы

Описание. Чтобы гарантировать, что периодические оценки отсутствующих обновлений системы активируются автоматически каждые 24 часа, свойство AssessmentMode должно иметь значение AutomaticByPlatform. Дополнительные сведения о свойстве AssessmentMode для Windows: https://aka.ms/computevm-windowspatchassessmentmodeдля Linux: https://aka.ms/computevm-linuxpatchassessmentmode.

Серьезность: низкая

На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений

Описание. Включение элементов управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Defender для облака использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. (Связанная политика: Адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах).

Серьезность: высокий уровень

Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями

Описание. Мониторинг изменений в поведении на группах компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Defender для облака. Defender для облака с помощью машинного обучения анализирует запущенные на компьютерах процессы и предлагает список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. (Связанная политика: Правила списка разрешений в адаптивной политике управления приложениями должны быть обновлены).

Серьезность: высокий уровень

При аутентификации на компьютерах Linux должны использоваться ключи SSH

Описание. Хотя SSH сам предоставляет зашифрованное подключение, использование паролей с SSH по-прежнему оставляет виртуальную машину уязвимой для атак подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. в разделе Подробные инструкции: создание ключей SSH для аутентификации на виртуальной машине Linux в Azure и управление этими ключами. (Связанная политика: Аудит компьютеров Linux, которые не используют ключ SSH для проверки подлинности).

Серьезность: средний

Необходимо включить шифрование для переменных учетной записи службы автоматизации

Описание. Важно включить шифрование ресурсов переменной учетной записи службы автоматизации при хранении конфиденциальных данных. (Связанная политика: Переменные учетной записи службы автоматизации должны быть зашифрованы).

Серьезность: высокий уровень

Azure Backup должен быть включен для виртуальных машин

Описание. Защита данных на виртуальных машинах Azure с помощью Azure Backup. Служба Azure Backup — это собственное экономичное решение для защиты данных в Azure. Она создает точки восстановления, которые хранятся в геоизбыточных хранилищах восстановления. Используя точку восстановления, можно восстановить всю виртуальную машину или определенные файлы. (Связанная политика: Azure Backup следует включить для Виртуальные машины).

Серьезность: низкая

(предварительная версия) Локальные компьютеры Azure должны соответствовать требованиям secured-core

Описание. Убедитесь, что все локальные компьютеры Azure соответствуют требованиям secured-core. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: низкая

(предварительная версия) Локальные компьютеры Azure должны постоянно применять политики управления приложениями

Описание. Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех локальных компьютерах Azure. Примененные политики управления приложениями Защитника Windows (WDAC) должны быть согласованы между серверами в одном кластере. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: высокий уровень

(предварительная версия) Локальные системы Azure должны иметь зашифрованные тома

Описание. Используйте BitLocker для шифрования томов ОС и данных в локальных системах Azure. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: высокий уровень

Узлы контейнера должны быть настроены в безопасном режиме

Описание. Исправление уязвимостей в параметрах конфигурации безопасности на компьютерах с установленным Docker для защиты от атак. (Связанная политика: Уязвимости в конфигурациях безопасности контейнера должны быть устранены).

Серьезность: высокий уровень

В Azure Stream Analytics должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Azure Stream Analytics должны быть включены).

Серьезность: низкая

В учетных записях пакетной службы должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в учетных записях пакетной службы должны быть включены).

Серьезность: низкая

Журналы диагностики в Центрах событий должны быть включены

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Центрах событий должны быть включены).

Серьезность: низкая

Необходимо включить журналы диагностики в Logic Apps

Описание. Чтобы обеспечить повторное создание следов действий для расследования при возникновении инцидента безопасности или компрометации сети, включите ведение журнала. Если журналы диагностики не отправляются в рабочую область Log Analytics, служба хранилища Azure учетную запись или Центры событий Azure, убедитесь, что вы настроили параметры диагностики для отправки метрик платформы и журналов платформы в соответствующие назначения. Дополнительные сведения см. в статье "Создание параметров диагностики для отправки журналов платформы и метрик в различные назначения". (Связанная политика: Журналы диагностики в Logic Apps должны быть включены.

Серьезность: низкая

В служебной шине должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в служебная шина должны быть включены).

Серьезность: низкая

В масштабируемых наборах виртуальных машин должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Масштабируемые наборы виртуальных машин должны быть включены).

Серьезность: высокий уровень

Проблемы с конфигурацией EDR должны быть устранены на виртуальных машинах

Описание. Чтобы защитить виртуальные машины от последних угроз и уязвимостей, устраните все выявленные проблемы конфигурации с установленным решением обнаружения и реагирования конечных точек (EDR). В настоящее время эта рекомендация применяется только к ресурсам с включенным Microsoft Defender для конечной точки.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: низкая

Решение EDR должно быть установлено на Виртуальные машины

Описание. Установка решения обнаружения конечных точек и реагирования (EDR) на виртуальных машинах важна для защиты от расширенных угроз. EDRs помогает предотвратить, обнаруживать, исследовать и реагировать на эти угрозы. Microsoft Defender для серверов можно использовать для развертывания Microsoft Defender для конечной точки.

  • Если ресурс классифицируется как "Неработоспособное", он указывает на отсутствие поддерживаемого решения EDR.
  • Если решение EDR установлено, но недоступно для обнаружения с помощью этой рекомендации, его можно исключить.
  • Без решения EDR виртуальные машины подвергаются риску расширенных угроз.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: высокий уровень

Необходимо устранить проблемы работоспособности Endpoint Protection в масштабируемых наборах виртуальных машин.

Описание. В масштабируемых наборах виртуальных машин исправьте ошибки работоспособности защиты конечных точек, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Решение для защиты конечных точек должно быть установлено на масштабируемых наборах виртуальных машин.

Серьезность: низкая

Необходимо установить защиту конечных точек в масштабируемых наборах виртуальных машин

Описание. Установите решение защиты конечных точек на масштабируемых наборах виртуальных машин, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Решение для защиты конечных точек должно быть установлено на масштабируемых наборах виртуальных машин.

Серьезность: высокий уровень

Мониторинг целостности файлов должен быть включен на компьютерах

Описание: Defender для облака определил компьютеры, которые отсутствуют в решении для мониторинга целостности файлов. Чтобы отслеживать изменения в критически важных файлах, разделы реестра и многое другое на серверах, включите мониторинг целостности файлов. Если решение для мониторинга целостности файлов включено, создайте правила сбора данных для определения отслеживаемых файлов. Чтобы определить правила или просмотреть файлы, измененные на компьютерах с существующими правилами, перейдите на страницу управления целостностью файлов. (Связанная политика отсутствует)

Серьезность: высокий уровень

На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Microsoft Defender для облака заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным масштабируемым наборам виртуальных машин Linux с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным виртуальным машинам Linux с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным масштабируемым наборам виртуальных машин с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах должно быть установлено расширение "Гостевая конфигурация"

Описание. Чтобы обеспечить безопасные конфигурации гостевых параметров компьютера, установите расширение гостевой конфигурации. К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки политики в гостевом режиме будут доступны, например Windows Exploit Guard, должны быть включены. (Связанная политика: Виртуальные машины должны иметь расширение гостевой конфигурации.

Серьезность: средний

(предварительная версия) Сеть узлов и виртуальных машин должна быть защищена в локальных системах Azure

Описание. Защита данных в сети локального узла Azure и подключений к сети виртуальной машины. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: низкая

Установите решение для защиты конечных точек на виртуальных машинах

Описание. Установите решение защиты конечных точек на виртуальных машинах, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Отслеживайте отсутствие Endpoint Protection в Центр безопасности Azure).

Серьезность: высокий уровень

Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost

Описание. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при потоковой синхронизации между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Обзор вариантов шифрования управляемых дисков для сравнения предложений шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Дополнительные сведения см. в разделе "Общие сведения о конфигурации компьютера Azure". (Связанная политика: [Предварительная версия]: виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost).

Заменяет старые виртуальные машины рекомендаций , которые должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища. Эта рекомендация позволяет проверять соответствие шифрования виртуальных машин.

Серьезность: высокий уровень

Виртуальные машины Linux должны применять проверку подписи модуля ядра

Описание. Чтобы устранить проблемы с выполнением вредоносного или несанкционированного кода в режиме ядра, примените проверку подписи модуля ядра на поддерживаемых виртуальных машинах Linux. Проверка подписи модуля ядра гарантирует, что будет разрешаться выполнение только доверенных модулей ядра. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

Виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки

Описание. При включенной безопасной загрузке все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите идентифицированные компоненты. (Связанная политика отсутствует)

Серьезность: низкая

Виртуальные машины Linux должны использовать безопасную загрузку.

Описание. Чтобы защититься от установки вредоносных программ rootkits и загрузочных комплектов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах Azure Arc с Linux должен быть установлен агент Log Analytics

Описание. Defender для облака использует агент Log Analytics (также известный как OMS) для сбора событий безопасности с компьютеров Azure Arc. Чтобы развернуть агент на всех компьютерах Azure Arc, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

По мере поэтапного использования AMA и MMA в Defender для серверов рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г.

В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics

Описание. Defender для облака собирает данные из виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область для анализа. Также эту процедуру нужно выполнить, если виртуальные машины использует управляемая служба Azure, например Служба Azure Kubernetes или Azure Service Fabric. Невозможно настроить автоматическую подготовку агента для масштабируемых наборов виртуальных машин Azure. Чтобы развернуть агент в масштабируемых наборах виртуальных машин (включая те, которые используются в управляемых службах Azure, таких как Служба Azure Kubernetes и Azure Service Fabric), выполните процедуру, описанную в инструкциях по исправлению. (Связанная политика: Агент Log Analytics должен быть установлен на масштабируемых наборах виртуальных машин для Центр безопасности Azure мониторинга).

По мере поэтапного использования AMA и MMA в Defender для серверов рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г.

Серьезность: высокий уровень

На виртуальных машинах должен быть установлен агент Log Analytics

Описание. Defender для облака собирает данные из виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Этот агент также является обязательным, если виртуальные машины используются управляемой службой Azure, например Службой Azure Kubernetes или Azure Service Fabric. Мы рекомендуем настроить автоматическую подготовку для автоматического развертывания этого агента. Если вы решили не использовать автоматическую подготовку, вручную разверните агент на виртуальных машинах, следуя инструкциям в разделе действий по исправлению. (Связанная политика: Агент Log Analytics должен быть установлен на виртуальной машине для Центр безопасности Azure мониторинга).

По мере поэтапного использования AMA и MMA в Defender для серверов рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г.

Серьезность: высокий уровень

На компьютерах Azure Arc с Windows должен быть установлен агент Log Analytics

Описание: Defender для облака использует агент Log Analytics (также известный как MMA) для сбора событий безопасности с компьютеров Azure Arc. Чтобы развернуть агент на всех компьютерах Azure Arc, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

По мере поэтапного использования AMA и MMA в Defender для серверов рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г.

Компьютеры должны быть настроены в безопасном режиме

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах для защиты от атак. (Связанная политика: Уязвимости в конфигурации безопасности на компьютерах должны быть исправлены).

Эта рекомендация помогает повысить уровень безопасности сервера. Defender для облака улучшает тесты Центра интернет-безопасности (CIS), предоставляя базовые показатели безопасности, которые используются Управление уязвимостями Microsoft Defender. Подробнее.

Серьезность: низкая

Компьютеры должны быть перезапущены для применения обновлений конфигурации безопасности

Описание. Чтобы применить обновления конфигурации безопасности и защититься от уязвимостей, перезапустите компьютеры. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах должно быть доступно решение для оценки уязвимостей.

Описание: Defender для облака регулярно проверяет подключенные компьютеры, чтобы убедиться, что они выполняют средства оценки уязвимостей. Используйте эту рекомендацию для развертывания решения для оценки уязвимостей. (Связанная политика: Решение для оценки уязвимостей должно быть включено на виртуальных машинах.

Серьезность: средний

Уязвимости, обнаруженные на компьютерах, должны быть устранены

Описание. Устранение результатов решений оценки уязвимостей на виртуальных машинах. (Связанная политика: Решение для оценки уязвимостей должно быть включено на виртуальных машинах.

Серьезность: низкая

Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети

Описание: Defender для облака определили некоторые чрезмерно недопустимые правила входящего трафика для портов управления в группе безопасности сети. Включите JIT-управление доступом к сети, чтобы защитить ваши VM от интернет-атак методом подбора. Дополнительную информацию см. в разделе Основные сведения о JIT-доступе к виртуальной машине. (Связанная политика: Порты управления виртуальными машинами должны быть защищены с помощью JIT-управления доступом к сети).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для серверов

Описание. Microsoft Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности серверов.

Применение этой рекомендации предусматривает плату за защиту серверов. Если в этой подписке нет серверов, плата не будет взиматься. Если в будущем вы создадите в этой подписке сервера, они будут автоматически защищены, и с этого момента начнет начисляться плата. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика: Azure Defender для серверов следует включить).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для серверов в рабочей области

Описание: Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами. После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика отсутствует)

Серьезность: средний

На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка

Описание. Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows для устранения вредоносных и несанкционированных изменений в цепочке загрузки. После включения разрешено запускать только доверенные загрузчики, ядра и драйверы ядра. Эта оценка применяется только к доверенным виртуальным машинам Windows с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign

Описание. Service Fabric предоставляет три уровня защиты (None, Sign и EncryptAndSign) для обмена данными между узлами с помощью первичного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений, передаваемых между узлами. (Связанная политика: Кластеры Service Fabric должны иметь свойство ClusterProtectionLevel для EncryptAndSign.

Серьезность: высокий уровень

Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента

Описание. Выполнение проверки подлинности клиента только через Azure Active Directory в Service Fabric (связанная политика: кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента).

Серьезность: высокий уровень

В масштабируемых наборах виртуальных машин должны быть установлены обновления системы

Описание. Установка отсутствующих системных и критически важных обновлений для защиты масштабируемых наборов виртуальных машин Windows и Linux. (Связанная политика: Необходимо установить обновления системы для масштабируемых наборов виртуальных машин.

При использовании агента Azure Monitor (AMA) и агента Log Analytics (также известного как Microsoft Monitoring Agent (MMA)) будет прекращена в Defender для серверов, рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г. Эти рекомендации заменяются новыми.

Серьезность: высокий уровень

На компьютерах должны быть установлены обновления системы

Описание. Установка отсутствующих системных обновлений и критически важных обновлений для защиты виртуальных машин и компьютеров Windows и Linux (связанная политика: на компьютерах должны быть установлены обновления системы).

При использовании агента Azure Monitor (AMA) и агента Log Analytics (также известного как Microsoft Monitoring Agent (MMA)) будет прекращена в Defender для серверов, рекомендации, которые полагаются на этих агентов, как это, будут удалены. Вместо этого функции Defender для серверов будут использовать агент Microsoft Defender для конечной точки или сканирование без агента без зависимости от MMA или AMA.

Предполагаемое прекращение использования: июль 2024 г. Эти рекомендации заменяются новыми.

Серьезность: высокий уровень

На компьютерах должны быть установлены обновления системы (на базе Центра обновления)

Описание. Компьютеры отсутствуют в системе, безопасности и критически важных обновлениях. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле

Описание. Используйте шифрование на узле, чтобы получить сквозное шифрование для данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Дополнительные сведения см. в портал Azure, чтобы включить сквозное шифрование с помощью шифрования на узле. (Связанная политика: Виртуальные машины и масштабируемые наборы виртуальных машин должны иметь шифрование на узле.

Серьезность: средний

Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager

Описание. Виртуальные машины (классическая модель) устарели, и эти виртуальные машины следует перенести в Azure Resource Manager. Так как теперь Azure Resource Manager включает в себя полный набор возможностей инфраструктуры IaaS, а также другие инновационные технологии, начиная с 28 февраля 2020 г. мы прекратили осуществлять управление виртуальными машинами IaaS с помощью Azure Service Manager (ASM). Эта функциональность будет полностью удалена 1 марта 2023 г.

Чтобы просмотреть все затронутые классические виртуальные машины, обязательно выберите все подписки Azure на вкладке "Каталоги и подписки".

Доступные ресурсы и сведения об этом средстве и миграции. Обзор нерекомендуемых виртуальных машин (классических) пошаговый процесс миграции и доступных ресурсов Майкрософт.Сведения о миграции в средство миграции Azure Resource Manager.Миграция в средство миграции Azure Resource Manager с помощью PowerShell. (Связанная политика: Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager).

Серьезность: высокий уровень

Аттестация гостей виртуальных машин должна находиться в работоспособном состоянии.

Описание. Аттестация гостей выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для обнаружения компрометации цепочки загрузки, которая может быть результатом bootkit или rootkit инфекцией. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. (Связанная политика отсутствует)

Серьезность: средний

Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой

Описание. Для расширения гостевой конфигурации требуется управляемое удостоверение, назначенное системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения (связанная политика: расширение гостевой конфигурации должно быть развернуто на виртуальных машинах Azure с назначенным системой управляемым удостоверением).

Серьезность: средний

Масштабируемые наборы виртуальных машин должны быть настроены в безопасном режиме

Описание. В масштабируемых наборах виртуальных машин исправьте уязвимости, чтобы защитить их от атак. (Связанная политика: Уязвимости в конфигурации безопасности в масштабируемых наборах виртуальных машин должны быть устранены).

Серьезность: высокий уровень

Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища

Описание. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при потоковой синхронизации между вычислительными ресурсами и ресурсами хранилища. Сравнение различных технологий шифрования дисков в Azure см. в статье Общие сведения о возможностях шифрования управляемых дисков. Используйте службу "Шифрование дисков Azure" для шифрования всех этих данных. Пропустите эту рекомендацию, если:

Вы используете функцию шифрования на узле или шифрование на стороне сервера в Управляемые диски соответствует вашим требованиям безопасности. Дополнительные сведения см. в разделе "Шифрование дисков Azure на стороне сервера".

(Связанная политика: Шифрование дисков должно применяться на виртуальных машинах)

Серьезность: высокий уровень

На поддерживаемых виртуальных машинах должен быть включен модуль vTPM

Описание. Включите виртуальное устройство TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и другие функции безопасности ОС, требующие доверенного платформенного модуля. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском.

  • Для доверенного запуска требуется создание новых виртуальных машин.
  • Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

Уязвимости в конфигурации безопасности на компьютерах Linux должны быть устранены (на основе гостевой конфигурации)

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах Linux для защиты от атак. (Связанная политика: Компьютеры Linux должны соответствовать требованиям к базовой конфигурации безопасности Azure).

Серьезность: низкая

Уязвимости в конфигурации безопасности на компьютерах Windows должны быть устранены (на основе гостевой конфигурации)

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах Windows для защиты от атак. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах должны быть включены функции Exploit Guard в Windows Defender

Описание. В Защитнике Windows Exploit Guard используется агент конфигурации Политика Azure гостевой конфигурации. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). (Связанная политика: Аудит компьютеров Windows, на которых не включена защита эксплойтов Защитника Windows).

Серьезность: средний

Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost

Описание. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при потоковой синхронизации между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Обзор вариантов шифрования управляемых дисков для сравнения предложений шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Дополнительные сведения см. в разделе "Общие сведения о конфигурации компьютера Azure". (Связанная политика: [предварительная версия]: виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost).

Заменяет старые виртуальные машины рекомендаций, которые должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища. Эта рекомендация позволяет проверять соответствие шифрования виртуальных машин.

Серьезность: высокий уровень

Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными

Описание. Чтобы защитить конфиденциальность информации, переданной через Интернет, веб-серверы должны использовать последнюю версию стандартного криптографического протокола, протокола TLS. Протокол TLS обеспечивает защиту при передаче данных по сети с помощью сертификатов безопасности для шифрования подключений между компьютерами. (Связанная политика: Аудит веб-серверов Windows, которые не используют безопасные протоколы связи).

Серьезность: высокий уровень

Рекомендации по вычислению AWS

Экземпляры Amazon EC2, управляемые службой Systems Manager, должны иметь состояние соответствия исправления COMPLIANT после установки исправления

Описание. Этот элемент управления проверяет, соответствует ли соответствие требованиям соответствия требованиям amazon EC2 Systems Manager соответствие ТРЕБОВАНИЯМ или NON_COMPLIANT после установки исправлений в экземпляре. Он проверяет только экземпляры, управляемые диспетчером исправлений AWS Systems Manager. Он не проверяет, применен ли исправление в пределах 30-дневного ограничения, установленного требованием PCI DSS "6.2". Он также не проверяет, были ли применены исправления как исправления безопасности. Следует создать группы установки исправлений с соответствующими базовыми параметрами и обеспечить управление целевыми системами с помощью этих групп в Systems Manager. Дополнительные сведения о группах исправлений см . в руководстве пользователя AWS Systems Manager.

Серьезность: средний

Служба Amazon EFS должна быть настроена для шифрования неактивных данных файлов с помощью AWS KMS

Описание. Этот элемент управления проверяет, настроен ли Amazon Elastic File System для шифрования файловых данных с помощью AWS KMS. Проверка завершается ошибкой в следующих случаях: *"Encrypted" имеет значение false в ответе DescribeFileSystems. Ключ KmsKeyId в ответе DescribeFileSystems не соответствует параметру KmsKeyId для efs-encrypted-check. Обратите внимание, что этот элемент управления не использует параметр KmsKeyId для efs-encrypted-check. Он проверяет только значение Encrypted. Чтобы обеспечить дополнительный уровень безопасности конфиденциальных данных в Amazon EFS, следует создать зашифрованные файловые системы. Amazon EFS поддерживает шифрование неактивных данных в файловых системах. Шифрование неактивных данных можно включить при создании файловой системы Amazon EFS. Дополнительные сведения о шифровании Amazon EFS см. в разделе Data encryption in Amazon EFS (Шифрование данных в Amazon EFS) в руководстве пользователя файловой системы EFS.

Серьезность: средний

Тома Amazon EFS должны находиться в планах резервного копирования

Описание. Этот элемент управления проверяет, добавляются ли файловые системы Amazon Elastic File System (Amazon EFS) в планы резервного копирования в AWS Backup. Элемент управления завершается ошибкой, если файловые системы Amazon EFS не включены в планы резервного копирования. Включение файловых систем EFS в планы резервного копирования помогает защитить данные от удаления и потери.

Серьезность: средний

Необходимо включить защиту от удаления для Application Load Balancer

Описание. Этот элемент управления проверяет, включена ли защита от удаления в Приложении Load Balancer. Элемент управления завершается ошибкой, если защита от удаления не настроена. Включите защиту от удаления, чтобы защитить данные Application Load Balancer от удаления.

Серьезность: средний

Группы автомасштабирования, связанные с подсистемой балансировки нагрузки, должны использовать проверки работоспособности

Описание. Группы автомасштабирования, связанные с подсистемой балансировки нагрузки, используют проверки работоспособности эластичной балансировки нагрузки. PCI DSS не требует балансировки нагрузки или высокодоступных конфигураций. Это рекомендуется согласно лучшим методикам для AWS.

Серьезность: низкая

Для учетных записей AWS должна быть включена автоматическая подготовка Azure Arc

Описание. Для полной видимости содержимого безопасности из Microsoft Defender для серверов экземпляры EC2 должны быть подключены к Azure Arc. Чтобы все соответствующие экземпляры EC2 автоматически получали Azure Arc, включите автоматическую подготовку из Defender для облака на уровне учетной записи AWS. Узнайте больше о службе Azure Arc и Microsoft Defender для серверов.

Серьезность: высокий уровень

Для распределений CloudFront должна быть настроена отработка отказа источника

Описание. Этот элемент управления проверяет, настроен ли дистрибутив Amazon CloudFront с группой источников с двумя или более источниками. Отработка отказа источника CloudFront может повысить доступность. Отработка отказа источника автоматически перенаправляет трафик во вторичный источник, если основной источник недоступен или если он возвращает определенные коды состояния HTTP-ответа.

Серьезность: средний

URL-адреса исходного репозитория CodeBuild GitHub или Bitbucket должны использовать OAuth

Описание. Этот элемент управления проверяет, содержит ли URL-адрес репозитория исходного репозитория GitHub или Bitbucket личные маркеры доступа или имя пользователя и пароль. Учетные данные для проверки подлинности не должны сохраняться, передаваться в виде открытого текста или отображаться в URL-адресе репозитория. Вместо личных маркеров доступа или имени пользователя и пароля следует использовать OAuth, чтобы авторизовать доступ к репозиториям GitHub или Bitbucket. Использование личных маркеров доступа или имени пользователя и пароля может привести к непреднамеренному раскрытию данных и несанкционированному доступу.

Серьезность: высокий уровень

Переменные среды проекта CodeBuild не должны содержать учетные данные

Описание. Этот элемент управления проверяет, содержит ли проект переменные AWS_ACCESS_KEY_ID среды и AWS_SECRET_ACCESS_KEY. Учетные данные для проверки подлинности AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY никогда не должны храниться в виде открытого текста, так как это может привести к непреднамеренному раскрытию данных и несанкционированному доступу.

Серьезность: высокий уровень

Кластеры DynamoDB Accelerator (DAX) должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверяет, шифруется ли кластер DAX неактивных данных. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Шифрование добавляет еще один набор элементов управления доступом, чтобы ограничить доступ к данным для неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API.

Серьезность: средний

Таблицы DynamoDB должны автоматически масштабировать емкость по запросу

Описание. Этот элемент управления проверяет, может ли таблица Amazon DynamoDB масштабировать ее емкость чтения и записи по мере необходимости. Этот элемент управления возвращает положительный результат, если в таблице используется режим производительности по запросу или подготовленный режим с настроенным автомасштабированием. Масштабирование производительности по запросу позволяет избежать исключений регулирования, что помогает поддерживать доступность ваших приложений.

Серьезность: средний

Экземпляры EC2 должны быть подключены к Azure Arc

Описание. Подключите экземпляры EC2 к Azure Arc, чтобы обеспечить полную видимость содержимого безопасности Microsoft Defender для серверов. Узнайте больше об использовании Azure Arc и Microsoft Defender для серверов в гибридной облачной среде.

Серьезность: высокий уровень

Экземплярами EC2 должна управлять служба AWS Systems Manager

Описание. Состояние соответствия исправлений Amazon EC2 Systems Manager соответствует "СООТВЕТСТВИЕ" или "NON_COMPLIANT" после установки исправлений в экземпляре. Проверяются только экземпляры, управляемые диспетчером исправлений AWS Systems Manager. Исправления, которые были применены в пределах 30-дневного ограничения, предписанного стандартом PCI DSS, не проверяются.

Серьезность: средний

Проблемы с конфигурацией EDR следует устранить в EC2s

Описание. Чтобы защитить виртуальные машины от последних угроз и уязвимостей, устраните все выявленные проблемы конфигурации с установленным решением обнаружения и реагирования конечных точек (EDR). В настоящее время эта рекомендация применяется только к ресурсам с включенным Microsoft Defender для конечной точки.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: высокий уровень

Решение EDR должно быть установлено в EC2s

Описание. Чтобы защитить EC2s, установите решение обнаружения и ответа конечных точек (EDR). EDR помогает предотвратить, обнаруживать, исследовать и реагировать на сложные угрозы. Используйте Microsoft Defender для серверов для развертывания Microsoft Defender для конечной точки. Если ресурс классифицируется как "Неработоспособное", он не имеет поддерживаемого решения EDR. Если у вас установлено решение EDR, которое недоступно для обнаружения по этой рекомендации, его можно исключить.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: высокий уровень

У экземпляров, находящиеся под управлением Systems Manager, должно быть состояние соответствия связи COMPLIANT

Описание. Этот элемент управления проверяет, соответствует ли соответствие сопоставления AWS Systems Manager ТРЕБОВАНИЯМ или NON_COMPLIANT после запуска ассоциации на экземпляре. Элемент управления возвращает положительный результат, если состояние соответствия связи — COMPLIANT. Связь State Manager — это конфигурация, которая назначается управляемым экземплярам. Эта конфигурация определяет состояние, которое следует поддерживать в экземплярах. Например, связь может указывать, что на экземплярах должно быть установлено и запущено антивирусное программное обеспечение или должны быть закрыты некоторые порты. После создания одной или нескольких связей State Manager сведения о состоянии соответствия немедленно становятся доступными в консоли или возвращаются в ответ на команды интерфейса командной строки AWS либо соответствующие операции API Systems Manager. Для сопоставлений соответствие "Конфигурация" отображает состояния соответствия требованиям или несоответствующим требованиям и уровень серьезности, назначенный ассоциации, например "Критический " или "Средний". Дополнительные сведения о соответствии сопоставлений с диспетчером состояний см. в руководстве пользователя AWS Systems Manager. Необходимо настроить целевые экземпляры EC2 для связи с Systems Manager. Кроме того, необходимо настроить базовый план исправлений для оценки безопасности поставщика исправлений и задать дату автоматического применения для соответствия требованиям СТАНДАРТА PCI DSS 3.2.1 6.2. Дополнительные сведения о создании ассоциации см. в руководстве по созданию ассоциации в руководстве пользователя AWS Systems Manager. Дополнительные сведения о работе с исправлением в System Manager см . в руководстве пользователя AWS Systems Manager.

Серьезность: низкая

Для лямбда-функций должна быть настроена очередь недоставленных сообщений

Описание. Этот элемент управления проверяет, настроена ли лямбда-функция с очередью недоставленных букв. Элемент управления завершается ошибкой, если Лямбда-функция не настроена в очереди недоставленных писем. В качестве альтернативы назначению на случай сбоя можно настроить для функции очередь недоставленных сообщений, в которую будут сохраняться отклоненные события для дальнейшей обработки. Очередь недоставленных сообщений действует так же, как и назначение на случай сбоя. Он используется, когда событие завершается сбоем всех попыток обработки или истекает без обработки. Очередь недоставленных сообщений позволяет просматривать ошибки или неудачные запросы к лямбда-функции для отладки или выявления необычного поведения. С точки зрения безопасности важно понять, почему не удалось выполнить функцию, и убедиться, что ваша функция не удаляет данные или не компрометируют безопасность данных в результате. Например, если ваша функция не может взаимодействовать с базовым ресурсом, это может быть признаком атаки типа "отказ в обслуживании" (DoS) в других частях сети.

Серьезность: средний

Лямбда-функции должны использовать поддерживаемые среды выполнения

Описание. Этот элемент управления проверяет, соответствуют ли параметры лямбда-функции для сред выполнения ожидаемым значениям, заданным для поддерживаемых сред выполнения для каждого языка. Этот элемент управления проверяет наличие следующих сред выполнения: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8,java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1 Lambda runtimes создаются вокруг сочетания операционных систем, языка программирования и программных библиотек, которые подвергаются обслуживанию и обновлению системы безопасности. Если компонент среды выполнения больше не поддерживается в обновлениях системы безопасности, поддержка этой среды для лямбда-функций прекращается. Несмотря на то, что вы не можете создавать функции, использующие устаревшую среду выполнения, функция по-прежнему доступна для обработки событий вызова. Убедитесь, что лямбда-функции являются текущими и не используют устаревшие среды выполнения. Дополнительные сведения о поддерживаемых средах выполнения, которые этот элемент управления проверяет для поддерживаемых языков, см. в разделе AWS Lambda runtimes (Лямбда-среды выполнения AWS) в руководстве разработчика для AWS Lambda.

Серьезность: средний

Порты управления экземпляров EC2 должны быть защищены с помощью JIT-управления доступом к сети

Описание: Microsoft Defender для облака определили некоторые чрезмерно имитивные правила входящего трафика для портов управления в вашей сети. Включите JIT-управление доступом для защиты экземпляров от атак методом подбора через Интернет. Подробнее.

Серьезность: высокий уровень

Необходимо удалить неиспользуемые группы безопасности EC2

Описание. Группы безопасности должны быть присоединены к экземплярам Amazon EC2 или к ENI. Здоровый поиск может указывать на наличие неиспользуемых групп безопасности Amazon EC2.

Серьезность: низкая

Рекомендации по вычислению GCP

Виртуальные машины подсистемы вычислений должны использовать ос, оптимизированную для контейнеров

Описание. Эта рекомендация оценивает свойство конфигурации пула узлов для пары "ключ-значение", "imageType": "COS".

Серьезность: низкая

Проблемы с конфигурацией EDR следует устранить на виртуальных машинах GCP

Описание. Чтобы защитить виртуальные машины от последних угроз и уязвимостей, устраните все выявленные проблемы конфигурации с установленным решением обнаружения и реагирования конечных точек (EDR). В настоящее время эта рекомендация применяется только к ресурсам с включенным Microsoft Defender для конечной точки.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: высокий уровень

Решение EDR должно быть установлено в GCP Виртуальные машины

Описание. Чтобы защитить виртуальные машины, установите решение обнаружения и ответа конечной точки (EDR). EDR помогает предотвратить, обнаруживать, исследовать и реагировать на сложные угрозы. Используйте Microsoft Defender для серверов для развертывания Microsoft Defender для конечной точки. Если ресурс классифицируется как "Неработоспособное", он не имеет поддерживаемого решения EDR. Если у вас установлено решение EDR, которое недоступно для обнаружения по этой рекомендации, его можно исключить.

Эта рекомендация по конечной точке без агента доступна, если у вас есть план Defender для серверов 2 или план CSPM Defender. Дополнительные сведения о рекомендациях по защите конечных точек без агента.

Серьезность: высокий уровень

Убедитесь, что для экземпляров виртуальных машин включена блокировка ключей SSH на уровне проекта.

Описание. Рекомендуется использовать определенные ключи SSH экземпляра вместо использования общих ключей SSH на уровне общего проекта для доступа к экземплярам. Ключи SSH на уровне проекта хранятся в data Compute/Project-meta-data. Ключи SSH для проекта можно использовать для входа во все экземпляры проекта. Использование ключей SSH на уровне проекта упрощает управление ключами SSH, но при скомпрометации представляет угрозу безопасности, которая может повлиять на все экземпляры в проекте. Рекомендуется использовать определенные ключи SSH экземпляра, которые могут ограничить область атаки, если ключи SSH скомпрометируются.

Серьезность: средний

Убедитесь, что вычислительные экземпляры запускаются с включенной экранной виртуальной машиной

Описание. Чтобы защититься от расширенных угроз и убедиться, что загрузчик и встроенное ПО на виртуальных машинах подписаны и неимперированы, рекомендуется запускать экземпляры вычислений с поддержкой экранированных виртуальных машин. Экранированные виртуальные машины — это виртуальные машины в Google Cloud Platform, защищенные набором средств безопасности, которые помогают защититься от rootkits и bootkits. Экранированные виртуальные машины обеспечивают проверяемую целостность экземпляров виртуальных машин вычислительной подсистемы, поэтому вы можете быть уверены, что экземпляры не были скомпрометированы вредоносными программами на уровне загрузки или ядра или коркитами. Проверяемая целостность экранируемой виртуальной машины достигается с помощью безопасной загрузки, виртуального доверенного платформенного модуля (vTPM)с поддержкой измеряемой загрузки и мониторинга целостности. Экранированные экземпляры виртуальных машин выполняют встроенное ПО, подписанное и проверенное с помощью центра сертификации Google, гарантируя, что встроенное ПО экземпляра не изменено и устанавливает корень доверия для безопасной загрузки. Мониторинг целостности помогает понять и принять решения о состоянии экземпляров виртуальных машин и экранированных виртуальных машин vTPM позволяет измерять загрузку, выполняя измерения, необходимые для создания известного хорошего базового плана загрузки, называемого базовой политикой целостности. Базовая политика целостности используется для сравнения с измерениями из последующих загрузочных загрузок виртуальной машины, чтобы определить, изменилось ли что-либо. Безопасная загрузка помогает гарантировать, что система запускает только аутентичное программное обеспечение, проверяя цифровую подпись всех загрузочных компонентов, и останавливает процесс загрузки, если проверка подписи завершается ошибкой.

Серьезность: высокий уровень

Убедитесь, что параметр "Включить подключение к последовательным портам" не включен для экземпляра виртуальной машины

Описание. Взаимодействие с последовательным портом часто называется последовательной консолью, которая похожа на использование окна терминала, в этом режиме ввода и вывода полностью находится в текстовом режиме, и не поддерживается графический интерфейс или мышь. Если включить интерактивную последовательную консоль на экземпляре, клиенты могут попытаться подключиться к нему с любого IP-адреса. Поэтому поддержка интерактивной последовательной консоли должна быть отключена. Экземпляр виртуальной машины имеет четыре виртуальных последовательных порта. Взаимодействие с последовательным портом аналогично использованию окна терминала, в этом режиме ввода и вывода полностью находится в текстовом режиме, а графический интерфейс или поддержка мыши отсутствует. Операционная система экземпляра, BIOS и другие сущности на уровне системы часто записывают выходные данные в последовательные порты и могут принимать входные данные, такие как команды или ответы на запросы. Как правило, эти сущности уровня системы используют первый последовательный порт (порт 1) и последовательный порт 1 часто называют последовательным консолью. Интерактивная последовательная консоль не поддерживает ограничения доступа на основе IP-адресов, такие как списки разрешенных IP-адресов. Если включить интерактивную последовательную консоль на экземпляре, клиенты могут попытаться подключиться к нему с любого IP-адреса. Это позволяет любому пользователю подключаться к этому экземпляру, если они знают правильный ключ SSH, имя пользователя, идентификатор проекта, зону и имя экземпляра. Поэтому поддержка интерактивной последовательной консоли должна быть отключена.

Серьезность: средний

Убедитесь, что флаг базы данных "log_duration" для экземпляра Cloud SQL PostgreSQL имеет значение "включено"

Описание. Включение параметра log_hostname приводит к тому, что длительность каждой завершенной инструкции записывается в журнал. Это не регистрирует текст запроса и таким образом ведет себя по-разному от флага log_min_duration_statement. Этот параметр нельзя изменить после запуска сеанса. Мониторинг времени, затраченного на выполнение запросов, может иметь решающее значение при определении любых запросов на перехват ресурсов и оценке производительности сервера. Дальнейшие шаги, такие как балансировка нагрузки и использование оптимизированных запросов, можно выполнить для обеспечения производительности и стабильности сервера. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_executor_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Исполнитель PostgreSQL отвечает за выполнение плана, переданного планировщиком PostgreSQL. Исполнитель обрабатывает план рекурсивно, чтобы извлечь необходимый набор строк. Флаг "log_executor_stats" управляет включением статистики производительности исполнителя PostgreSQL в журналы PostgreSQL для каждого запроса. Флаг "log_executor_stats" включает метод грубого профилирования для ведения журнала статистики производительности исполнителя PostgreSQL, которая, несмотря на то, что может быть полезной для устранения неполадок, это может значительно увеличить количество журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_error_statement" для экземпляра Cloud SQL PostgreSQL имеет значение Error или stricter

Описание. Флаг "log_min_error_statement" определяет минимальный уровень серьезности сообщений, который считается оператором ошибки. Сообщения об ошибках регистрируются с помощью инструкции SQL. Допустимые значения: "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "УВЕДОМЛЕНИЕ", "ПРЕДУПРЕЖДЕНИЕ", "ОШИБКА", "LOG", "ФАТАЛЬНЫЙ" и "ПАНИКА". Каждый уровень серьезности включает следующие уровни, упомянутые выше. Убедитесь, что задано значение ERROR или более строгое значение. Аудит помогает устранять операционные проблемы, а также разрешает анализ судебно-медицинских данных. Если для параметра "log_min_error_statement" не задано правильное значение, сообщения могут не классифицироваться как сообщения об ошибках соответствующим образом. Учитывая общие сообщения журнала в качестве сообщений об ошибках, трудно найти фактические ошибки и рассмотреть только более строгие уровни серьезности, так как сообщения об ошибках могут пропускать фактические ошибки для регистрации их инструкций SQL. Флаг "log_min_error_statement" должен иметь значение ERROR или более строгий. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_parser_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Планировщик и оптимизатор PostgreSQL отвечает за анализ и проверку синтаксиса каждого запроса, полученного сервером. Если синтаксис исправлен, создается дерево синтаксического анализа. Флаг "log_parser_stats" управляет включением статистики производительности синтаксического анализа в журналы PostgreSQL для каждого запроса. Флаг "log_parser_stats" позволяет методу профилирования для статистики производительности синтаксического анализа журнала, которая, хотя и может быть полезной для устранения неполадок, может значительно увеличить количество журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_planner_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Один и тот же SQL-запрос может выполняться несколькими способами и по-прежнему создавать разные результаты. Планировщик и оптимизатор PostgreSQL отвечает за создание оптимального плана выполнения для каждого запроса. Флаг "log_planner_stats" управляет включением статистики производительности планировщика PostgreSQL в журналы PostgreSQL для каждого запроса. Флаг "log_planner_stats" позволяет методу профилирования для ведения журнала статистики производительности планировщика PostgreSQL, которая, хотя и может быть полезной для устранения неполадок, может значительно увеличить количество журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_statement_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Флаг "log_statement_stats" управляет включением сквозной статистики производительности SQL-запроса в журналах PostgreSQL для каждого запроса. Это не может быть включено с другой статистикой модуля (log_parser_stats, log_planner_stats, log_executor_stats). Флаг "log_statement_stats" позволяет методу грубого профилирования для ведения журнала сквозной статистики производительности SQL-запроса. Это может быть полезно для устранения неполадок, но может значительно увеличить количество журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что вычислительные экземпляры не имеют общедоступных IP-адресов

Описание. Вычислительные экземпляры не должны быть настроены на внешние IP-адреса. Чтобы уменьшить область атаки, вычислительные экземпляры не должны иметь общедоступные IP-адреса. Вместо этого экземпляры должны быть настроены за подсистемами балансировки нагрузки, чтобы свести к минимуму воздействие экземпляра в Интернете. Экземпляры, созданные GKE, должны быть исключены из-за того, что некоторые из них имеют внешние IP-адреса и не могут быть изменены путем редактирования параметров экземпляра. Эти виртуальные машины имеют имена, начинающиеся с gke- и помеченные goog-gke-node.

Серьезность: высокий уровень

Убедитесь, что экземпляры не настроены для использования учетной записи службы по умолчанию

Описание. Рекомендуется настроить экземпляр, чтобы не использовать учетную запись службы вычислительного ядра по умолчанию, так как она имеет роль редактора в проекте. Учетная запись службы вычислительной подсистемы по умолчанию имеет роль редактора проекта, которая позволяет просматривать и записывать доступ к большинству google Облачные службы. Чтобы защититься от эскалации привилегий, если виртуальная машина скомпрометирована, и запретить злоумышленнику получить доступ ко всем вашим проектам, рекомендуется не использовать учетную запись службы вычислительной подсистемы по умолчанию. Вместо этого необходимо создать новую учетную запись службы и назначить только разрешения, необходимые экземпляру. Учетная запись службы вычислительного ядра по умолчанию называется [PROJECT_NUMBER]- [email protected]. Виртуальные машины, созданные GKE, должны быть исключены. Эти виртуальные машины имеют имена, начинающиеся с gke- и помеченные goog-gke-node.

Серьезность: высокий уровень

Убедитесь, что экземпляры не настроены для использования учетной записи службы по умолчанию с полным доступом ко всем облачным API

Описание. Для поддержки принципа наименьших привилегий и предотвращения потенциальной эскалации привилегий рекомендуется, чтобы экземпляры не назначены учетной записи службы по умолчанию "Учетная запись службы по умолчанию вычислительного модуля" с областью "Разрешить полный доступ ко всем облачным API". Наряду с возможностью при необходимости создавать, управлять и использовать пользовательские пользовательские учетные записи служб, Google Compute Engine предоставляет учетную запись службы по умолчанию "Учетная запись службы по умолчанию вычислительного ядра" для экземпляра для доступа к необходимым облачным службам.

Роль "Редактор проектов" назначена учетной записи службы по умолчанию для вычислительной подсистемы, поэтому эта учетная запись службы имеет почти все возможности по всем облачным службам, кроме выставления счетов. Однако, если для экземпляра назначена учетная запись службы ядра вычислений по умолчанию, она может работать в трех областях.

  • Разрешить доступ по умолчанию: разрешает только минимальный доступ, необходимый для запуска экземпляра (минимальные привилегии).
  • Разрешить полный доступ ко всем облачным API: разрешить полный доступ ко всем облачным API/службам (слишком много доступа).
  • Задайте доступ для каждого API: позволяет администратору экземпляра выбирать только те API, которые необходимы для выполнения конкретных бизнес-функций, ожидаемых экземпляром.

Если экземпляр настроен с помощью учетной записи службы по умолчанию для вычислительной подсистемы с областью "Разрешить полный доступ ко всем облачным API", на основе ролей IAM, назначенных пользователю, доступ к экземпляру, может позволить пользователю выполнять облачные операции или вызовы API, которые пользователь не должен выполнять, что приведет к успешной эскалации привилегий.

Виртуальные машины, созданные GKE, должны быть исключены. Эти виртуальные машины имеют имена, начинающиеся с gke- и помеченные goog-gke-node.

Серьезность: средний

Убедитесь, что IP-пересылка не включена в экземплярах

Описание. Экземпляр вычислительного ядра не может пересылать пакет, если исходный IP-адрес пакета не соответствует IP-адресу экземпляра. Аналогичным образом GCP не доставляет пакет, целевой IP-адрес которого отличается от IP-адреса экземпляра, получающего пакет. Однако обе возможности необходимы, если вы хотите использовать экземпляры для маршрутизации пакетов. Переадресация пакетов данных должна быть отключена, чтобы предотвратить потерю данных или раскрытие информации. Экземпляр вычислительного ядра не может пересылать пакет, если исходный IP-адрес пакета не соответствует IP-адресу экземпляра. Аналогичным образом GCP не доставляет пакет, целевой IP-адрес которого отличается от IP-адреса экземпляра, получающего пакет. Однако обе возможности необходимы, если вы хотите использовать экземпляры для маршрутизации пакетов. Чтобы включить эту проверку исходного и целевого IP-адресов, отключите поле canIpForward, которое позволяет экземпляру отправлять и получать пакеты с несогласовающими назначениями или исходными IP-адресами.

Серьезность: средний

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_checkpoints" включено.

Описание. Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных log_checkpoints. Включение log_checkpoints приводит к регистрации контрольных точек и точек перезапуска в журнале сервера. Некоторые статистические данные включаются в сообщения журнала, включая количество записанных буферов и время их записи. Этот параметр можно задать только в файле postgresql.conf или в командной строке сервера. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_lock_waits" включено.

Описание. Включение флага "log_lock_waits" для экземпляра PostgreSQL создает журнал для любых ожиданий сеанса, которые занимают больше времени, чем выделенное "deadlock_timeout" время для получения блокировки. Время ожидания взаимоблокировки определяет время ожидания блокировки перед проверкой любых условий. Частые запуски при истечении времени ожидания взаимоблокировки могут быть признаком основной проблемы. Ведение журнала таких ожиданий при блокировках путем включения флага log_lock_waits можно использовать для выявления плохой производительности из-за задержек блокировки или если специально созданный SQL пытается голодать ресурсы путем хранения блокировок в течение чрезмерного количества времени. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_duration_statement" для экземпляра Cloud SQL PostgreSQL имеет значение "-1".

Описание. Флаг "log_min_duration_statement" определяет минимальное время выполнения инструкции в миллисекундах, в которых регистрируется общая длительность инструкции. Убедитесь, что параметр "log_min_duration_statement" отключен, то есть задано значение -1. Инструкции SQL для ведения журнала могут включать конфиденциальную информацию, которая не должна быть записана в журналах. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_messages" для экземпляра Cloud SQL PostgreSQL установлен соответствующим образом.

Описание. Флаг "log_min_error_statement" определяет минимальный уровень серьезности сообщений, который считается оператором ошибки. Сообщения об ошибках регистрируются с помощью инструкции SQL. Допустимые значения: "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "УВЕДОМЛЕНИЕ", "ПРЕДУПРЕЖДЕНИЕ", "ОШИБКА", "LOG", "ФАТАЛЬНЫЙ" и "ПАНИКА". Каждый уровень серьезности включает следующие уровни, упомянутые выше. Чтобы эффективно отключить операторы сбоя ведения журнала, задайте для этого параметра значение PANIC. Ошибка считается оптимальным параметром. Изменения следует вносить только в соответствии с политикой ведения журнала организации. Аудит помогает устранять операционные проблемы, а также разрешает анализ судебно-медицинских данных. Если для параметра "log_min_error_statement" не задано правильное значение, сообщения могут не классифицироваться как сообщения об ошибках соответствующим образом. Учитывая общие сообщения журнала в качестве сообщений об ошибках, было бы трудно найти фактические ошибки, учитывая только более строгие уровни серьезности, так как сообщения об ошибках могут пропускать фактические ошибки для регистрации инструкций SQL. Флаг "log_min_error_statement" должен быть задан в соответствии с политикой ведения журнала организации. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL для экземпляра базы данных "log_temp_files" задано значение "0".

Описание. PostgreSQL может создать временный файл для таких действий, как сортировка, хэширование и временные результаты запроса, если эти операции превышают значение "work_mem". Флаг "log_temp_files" управляет именами журналов и размером файла при удалении. При настройке параметра "log_temp_files" значение 0 приводит к регистрации всех временных данных файла, а положительные значения регистрируют только файлы, размер которых превышает или равен указанному числу килобайтов. Значение "-1" отключает временное ведение журнала сведений о файле. Если все временные файлы не регистрируются, возможно, будет сложнее определить потенциальные проблемы с производительностью, которые могут быть вызваны плохой кодировкой приложения или преднамеренной попыткой нехватки ресурсов.

Серьезность: низкая

Убедитесь, что диски виртуальных машин для критически важных виртуальных машин шифруются с помощью ключа шифрования, предоставленного клиентом

Описание. Ключи шифрования ( CSEK) — это функция в Google Cloud Storage и Google Compute Engine. Если вы предоставляете собственные ключи шифрования, Google использует ключ для защиты созданных Google ключей, используемых для шифрования и расшифровки данных. По умолчанию Google Compute Engine шифрует все неактивных данных. Модуль вычислений обрабатывает и управляет этим шифрованием без каких-либо дополнительных действий в вашей части. Однако если вы хотите самостоятельно управлять этим шифрованием и управлять ими, вы можете предоставить собственные ключи шифрования. По умолчанию Google Compute Engine шифрует все неактивных данных. Модуль вычислений обрабатывает и управляет этим шифрованием без каких-либо дополнительных действий в вашей части. Однако если вы хотите самостоятельно управлять этим шифрованием и управлять ими, вы можете предоставить собственные ключи шифрования. Если вы предоставляете собственные ключи шифрования, модуль вычислений использует ключ для защиты ключей, созданных Google, используемых для шифрования и расшифровки данных. Только пользователи, которые могут предоставить правильный ключ, могут использовать ресурсы, защищенные ключом шифрования, предоставленным клиентом. Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа. По крайней мере критически важные для бизнеса виртуальные машины должны иметь диски виртуальных машин, зашифрованные с помощью CSEK.

Серьезность: средний

Проекты GCP должны включать автоматическую подготовку Azure Arc

Описание. Для полной видимости содержимого безопасности из Microsoft Defender для серверов экземпляры виртуальных машин GCP должны быть подключены к Azure Arc. Чтобы все подходящие экземпляры виртуальных машин автоматически получали Azure Arc, включите автоматическую подготовку из Defender для облака на уровне проекта GCP. Узнайте больше о службе Azure Arc и Microsoft Defender для серверов.

Серьезность: высокий уровень

Экземпляры виртуальной машины GCP должны быть подключены к Azure Arc

Описание. Подключение GCP Виртуальные машины к Azure Arc для обеспечения полной видимости содержимого безопасности Microsoft Defender для серверов. Узнайте больше об использовании Azure Arc и Microsoft Defender для серверов в гибридной облачной среде.

Серьезность: высокий уровень

Для экземпляров виртуальной машины GCP должен быть установлен агент конфигурации ОС

Описание. Чтобы получить полные возможности Defender для серверов с помощью автоматической подготовки Azure Arc, виртуальные машины GCP должны включать агент конфигурации ОС.

Серьезность: высокий уровень

Функция автоматического восстановления кластера GKE должна быть включена

Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение", "key": "autoRepair", "value": true.

Серьезность: средний

Функция автоматического обновления кластера GKE должна быть включена

Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение": "key": "autoUpgrade", "value": true.

Серьезность: высокий уровень

Мониторинг кластеров GKE должен быть включен

Описание. Эта рекомендация определяет, должно ли свойство monitoringService кластера содержать расположение Cloud Monitoring, которое должно использоваться для записи метрик.

Серьезность: средний