توصيات الأمان لموارد Google Cloud Platform (GCP)

تسرد هذه المقالة جميع التوصيات التي قد تراها في Microsoft Defender for Cloud إذا قمت بتوصيل حساب Google Cloud Platform (GCP) باستخدام صفحة إعدادات البيئة. تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص.

للتعرف على الإجراءات التي يمكنك اتخاذها استجابة لهذه التوصيات، راجع معالجة التوصيات في Defender for Cloud.

تستند درجاتك الآمنة إلى عدد توصيات الأمان التي أكملتها. لتحديد التوصيات التي يجب حلها أولا، انظر إلى خطورة كل توصية وتأثيرها المحتمل على درجاتك الآمنة.

توصيات حساب GCP

يجب أن تستخدم الأجهزة الظاهرية لمحرك الحوسبة نظام التشغيل المحسن للحاويات

الوصف: تقيم هذه التوصية خاصية التكوين لتجمع عقدة لزوج قيمة المفتاح، 'imageType': 'COS.'

الخطورة: منخفض

يجب حل مشكلات التكوين الكشف التلقائي والاستجابة على النقط النهائية على الأجهزة الظاهرية ل GCP

الوصف: لحماية الأجهزة الظاهرية من أحدث التهديدات والثغرات الأمنية، قم بحل جميع مشكلات التكوين المحددة باستخدام حل اكتشاف نقطة النهاية والاستجابة (الكشف التلقائي والاستجابة على النقط النهائية) المثبت.
ملاحظة: حاليا، تنطبق هذه التوصية فقط على الموارد التي تم تمكين Microsoft Defender لنقطة النهاية (MDE).

الخطورة: عالية

يجب تثبيت الكشف التلقائي والاستجابة على النقط النهائية الحل على الأجهزة الظاهرية ل GCP

الوصف: لحماية الأجهزة الظاهرية، قم بتثبيت حل Endpoint Detection and Response (الكشف التلقائي والاستجابة على النقط النهائية). تساعد الكشف التلقائي والاستجابة على النقط النهائية في منع التهديدات المتقدمة واكتشافها والتحقيق فيها والاستجابة لها. استخدم Microsoft Defender for Servers لنشر Microsoft Defender لنقطة النهاية. إذا تم تصنيف المورد على أنه "غير صحي"، فإنه لا يحتوي على حل الكشف التلقائي والاستجابة على النقط النهائية مدعوم مثبت [ارتباط Place Holder - تعرف على المزيد]. إذا كان لديك حل الكشف التلقائي والاستجابة على النقط النهائية مثبت لا يمكن اكتشافه من خلال هذه التوصية، يمكنك إعفاؤه.

الخطورة: عالية

تأكد من تمكين "حظر مفاتيح SSH على مستوى المشروع" لمثيلات الجهاز الظاهري

الوصف: يوصى باستخدام مفتاح (مفاتيح) SSH محددة للمثيل بدلا من استخدام مفتاح (مفاتيح) SSH الشائعة/المشتركة على مستوى المشروع للوصول إلى المثيلات. يتم تخزين مفاتيح SSH على مستوى المشروع في Compute/Project-meta-data. يمكن استخدام مفاتيح SSH واسعة المشروع لتسجيل الدخول إلى جميع المثيلات داخل المشروع. يؤدي استخدام مفاتيح SSH على مستوى المشروع إلى تسهيل إدارة مفاتيح SSH، ولكن في حالة اختراقها، يشكل خطر الأمان الذي يمكن أن يؤثر على جميع المثيلات داخل المشروع. يوصى باستخدام مفاتيح SSH الخاصة بالمثيل التي يمكن أن تحد من سطح الهجوم إذا تم اختراق مفاتيح SSH.

الخطورة: متوسط

تأكد من تشغيل مثيلات الحوسبة مع تمكين الجهاز الظاهري المحمي

الوصف: للدفاع ضد التهديدات المتقدمة والتأكد من توقيع محمل التمهيد والبرامج الثابتة على الأجهزة الظاهرية الخاصة بك وuntampered، يوصى بتشغيل مثيلات الحوسبة مع تمكين الجهاز الظاهري المحمي. الأجهزة الظاهرية المحمية هي أجهزة ظاهرية (VMs) على Google Cloud Platform مشددة بمجموعة من عناصر التحكم الأمنية التي تساعد على الدفاع ضد rootkits و bootkits. يوفر الجهاز الظاهري المحمي تكاملا يمكن التحقق منه لمثيلات الجهاز الظاهري لمحرك الحوسبة الخاص بك، بحيث يمكنك أن تكون واثقا من أن مثيلاتك لم تتعرض للخطر من خلال البرامج الضارة على مستوى التمهيد أو النواة أو rootkits. يتم تحقيق تكامل الجهاز الظاهري المحمي الذي يمكن التحقق منه من خلال استخدام التمهيد الآمن ووحدة النظام الأساسي الموثوق به الظاهرية (vTPM) الممكنة للتمهيد المقاس ومراقبة التكامل. تعمل مثيلات الأجهزة الظاهرية المحمية على تشغيل البرامج الثابتة التي تم توقيعها والتحقق منها باستخدام المرجع المصدق من Google، ما يضمن عدم تعديل البرنامج الثابت للمثيل وإنشاء جذر الثقة للتمهيد الآمن. تساعدك مراقبة التكامل على فهم واتخاذ القرارات حول حالة مثيلات الجهاز الظاهري الخاص بك وتمكين VTPM للجهاز الظاهري المحمي من التمهيد المقاس من خلال إجراء القياسات اللازمة لإنشاء أساس تمهيد جيد معروف، يسمى أساس نهج التكامل. يتم استخدام أساس نهج التكامل للمقارنة مع القياسات من تمهيد الجهاز الظاهري اللاحق لتحديد ما إذا كان أي شيء قد تغير. يساعد التمهيد الآمن على ضمان تشغيل النظام للبرامج الأصلية فقط من خلال التحقق من التوقيع الرقمي لجميع مكونات التمهيد، ووقف عملية التمهيد في حالة فشل التحقق من التوقيع.

الخطورة: عالية

تأكد من عدم تمكين "تمكين الاتصال بالمنافذ التسلسلية" لمثيل الجهاز الظاهري

الوصف: غالبا ما يشار إلى التفاعل مع منفذ تسلسلي باسم وحدة التحكم التسلسلية، والتي تشبه استخدام نافذة المحطة الطرفية، في هذا الإدخال والإخراج بالكامل في وضع النص ولا توجد واجهة رسومية أو دعم الماوس. إذا قمت بتمكين وحدة التحكم التسلسلية التفاعلية على مثيل، يمكن للعملاء محاولة الاتصال بهذا المثيل من أي عنوان IP. لذلك يجب تعطيل دعم وحدة التحكم التسلسلية التفاعلية. يحتوي مثيل الجهاز الظاهري على أربعة منافذ تسلسلية ظاهرية. التفاعل مع منفذ تسلسلي مشابه لاستخدام نافذة طرفية، في هذا الإدخال والإخراج بالكامل في وضع النص ولا توجد واجهة رسومية أو دعم الماوس. غالبا ما يكتب نظام تشغيل المثيل وBIS والكيانات الأخرى على مستوى النظام الإخراج إلى المنافذ التسلسلية، ويمكن أن تقبل الإدخال مثل الأوامر أو الإجابات على المطالبات. عادة ما تستخدم هذه الكيانات على مستوى النظام المنفذ التسلسلي الأول (المنفذ 1) وغالبا ما يشار إلى المنفذ التسلسلي 1 باسم وحدة التحكم التسلسلية. لا تدعم وحدة التحكم التسلسلية التفاعلية قيود الوصول المستندة إلى IP مثل قوائم السماح ب IP. إذا قمت بتمكين وحدة التحكم التسلسلية التفاعلية على مثيل، يمكن للعملاء محاولة الاتصال بهذا المثيل من أي عنوان IP. يسمح هذا لأي شخص بالاتصال بهذا المثيل إذا كان يعرف مفتاح SSH الصحيح واسم المستخدم ومعرف المشروع والمنطقة واسم المثيل. لذلك يجب تعطيل دعم وحدة التحكم التسلسلية التفاعلية.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة بيانات "log_duration" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: يؤدي تمكين إعداد log_hostname إلى تسجيل مدة كل عبارة مكتملة. لا يسجل هذا نص الاستعلام وبالتالي يتصرف بشكل مختلف عن علامة log_min_duration_statement. لا يمكن تغيير هذه المعلمة بعد بدء جلسة العمل. يمكن أن تكون مراقبة الوقت المستغرق لتنفيذ الاستعلامات أمرا بالغ الأهمية في تحديد أي استعلامات صقل الموارد وتقييم أداء الخادم. يمكن اتخاذ خطوات إضافية مثل موازنة التحميل واستخدام الاستعلامات المحسنة لضمان أداء الخادم واستقراره. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_executor_stats" لمثيل Cloud SQL PostgreSQL على "إيقاف"

الوصف: منفذ PostgreSQL مسؤول عن تنفيذ الخطة التي سلمها مخطط PostgreSQL. يعالج المنفذ الخطة بشكل متكرر لاستخراج مجموعة الصفوف المطلوبة. تتحكم علامة "log_executor_stats" في تضمين إحصائيات أداء منفذ PostgreSQL في سجلات PostgreSQL لكل استعلام. تمكن علامة "log_executor_stats" أسلوب جمع المعلومات الخام لتسجيل إحصائيات أداء منفذ PostgreSQL، والتي على الرغم من أنها يمكن أن تكون مفيدة لاستكشاف الأخطاء وإصلاحها، إلا أنها قد تزيد من كمية السجلات بشكل كبير ويكون لها حمل في الأداء. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_min_error_statement" لمثيل Cloud SQL PostgreSQL على "خطأ" أو أكثر صرامة

الوصف: تحدد علامة "log_min_error_statement" الحد الأدنى لمستوى خطورة الرسالة التي تعتبر عبارة خطأ. يتم تسجيل رسائل عبارات الخطأ باستخدام عبارة SQL. تتضمن القيم الصالحة "DEBUG5" و"DEBUG4" و"DEBUG3" و"DEBUG2" و"DEBUG1" و"INFO" و"NOTICE" و"WARNING" و"ERROR" و"LOG" و"FATAL" و"PANIC". يتضمن كل مستوى خطورة المستويات اللاحقة المذكورة أعلاه. تأكد من تعيين قيمة ERROR أو أكثر صرامة. يساعد التدقيق في استكشاف المشكلات التشغيلية وإصلاحها ويسمح أيضا بتحليل الطب الشرعي. إذا لم يتم تعيين "log_min_error_statement" إلى القيمة الصحيحة، فقد لا يتم تصنيف الرسائل كرسائل خطأ بشكل مناسب. من الصعب العثور على الأخطاء الفعلية والنظر في رسائل السجل العامة كرسائل خطأ والنظر فقط في مستويات خطورة أكثر صرامة حيث قد تتخطى رسائل الخطأ الأخطاء الفعلية لتسجيل عبارات SQL الخاصة بها. يجب تعيين علامة "log_min_error_statement" إلى "ERROR" أو أكثر صرامة. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_parser_stats" لمثيل Cloud SQL PostgreSQL على "إيقاف التشغيل"

الوصف: مخطط/محسن PostgreSQL مسؤول عن تحليل بناء الجملة لكل استعلام يتلقاه الخادم والتحقق منها. إذا كان بناء الجملة صحيحا، يتم إنشاء "شجرة تحليل" وإلا يتم إنشاء خطأ. تتحكم علامة "log_parser_stats" في تضمين إحصائيات أداء المحلل في سجلات PostgreSQL لكل استعلام. تمكن العلامة "log_parser_stats" طريقة جمع المعلومات الخام لتسجيل إحصائيات أداء محلل التسجيل، والتي على الرغم من أنها يمكن أن تكون مفيدة لاستكشاف الأخطاء وإصلاحها، إلا أنها قد تزيد من كمية السجلات بشكل كبير ويكون لها حمل في الأداء. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_planner_stats" لمثيل Cloud SQL PostgreSQL على "إيقاف"

الوصف: يمكن تنفيذ استعلام SQL نفسه بطرق متعددة ولا يزال ينتج نتائج مختلفة. مخطط/محسن PostgreSQL مسؤول عن إنشاء خطة تنفيذ مثالية لكل استعلام. تتحكم علامة "log_planner_stats" في تضمين إحصائيات أداء مخطط PostgreSQL في سجلات PostgreSQL لكل استعلام. تمكن العلامة "log_planner_stats" أسلوب جمع المعلومات الخام لتسجيل إحصائيات أداء مخطط PostgreSQL، والتي على الرغم من أنها يمكن أن تكون مفيدة لاستكشاف الأخطاء وإصلاحها، إلا أنها قد تزيد من كمية السجلات بشكل كبير ويكون لها حمل في الأداء. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_statement_stats" لمثيل Cloud SQL PostgreSQL على "إيقاف"

الوصف: تتحكم علامة "log_statement_stats" في تضمين إحصائيات الأداء الشامل لاستعلام SQL في سجلات PostgreSQL لكل استعلام. لا يمكن تمكين هذا مع إحصائيات الوحدة النمطية الأخرى (log_parser_stats، log_planner_stats، log_executor_stats). تمكن العلامة "log_statement_stats" أسلوب جمع معلومات غير صحيح لتسجيل إحصائيات الأداء من طرف إلى طرف لاستعلام SQL. يمكن أن يكون هذا مفيدا لاستكشاف الأخطاء وإصلاحها ولكن قد يزيد من كمية السجلات بشكل كبير ويكون لها عبء الأداء. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من أن مثيلات الحساب لا تحتوي على عناوين IP عامة

الوصف: لا يجب تكوين مثيلات الحساب ليكون لها عناوين IP خارجية. لتقليل سطح الهجوم، لا يجب أن تحتوي مثيلات الحساب على عناوين IP عامة. بدلا من ذلك، يجب تكوين المثيلات خلف موازنات التحميل، لتقليل تعرض المثيل للإنترنت. يجب استبعاد المثيلات التي تم إنشاؤها بواسطة GKE لأن بعضها يحتوي على عناوين IP خارجية ولا يمكن تغييرها عن طريق تحرير إعدادات المثيل. تحتوي هذه الأجهزة الظاهرية على أسماء تبدأ ب gke- ويتم تسميتها goog-gke-node.

الخطورة: عالية

تأكد من عدم تكوين المثيلات لاستخدام حساب الخدمة الافتراضي

الوصف: يوصى بتكوين المثيل الخاص بك لعدم استخدام حساب خدمة Compute Engine الافتراضي لأنه له دور المحرر في المشروع. حساب خدمة Compute Engine الافتراضي له دور المحرر في المشروع، والذي يسمح بالوصول للقراءة والكتابة إلى معظم خدمات Google Cloud. للدفاع ضد تصعيدات الامتيازات إذا تم اختراق الجهاز الظاهري الخاص بك ومنع المهاجم من الوصول إلى كل مشروعك، يوصى بعدم استخدام حساب خدمة Compute Engine الافتراضي. بدلا من ذلك، يجب إنشاء حساب خدمة جديد وتعيين الأذونات التي يحتاجها المثيل فقط. يسمى [PROJECT_NUMBER]- compute@developer.gserviceaccount.comحساب خدمة Compute Engine الافتراضي . يجب استبعاد الأجهزة الظاهرية التي تم إنشاؤها بواسطة GKE. تحتوي هذه الأجهزة الظاهرية على أسماء تبدأ ب gke- ويتم تسميتها goog-gke-node.

الخطورة: عالية

تأكد من عدم تكوين المثيلات لاستخدام حساب الخدمة الافتراضي مع الوصول الكامل إلى جميع واجهات برمجة التطبيقات السحابية

الوصف: لدعم مبدأ الامتيازات الأقل ومنع تصعيد الامتيازات المحتمل، يوصى بعدم تعيين المثيلات إلى حساب الخدمة الافتراضي "حساب خدمة Compute Engine الافتراضي" مع النطاق "السماح بالوصول الكامل إلى جميع واجهات برمجة التطبيقات السحابية". جنبا إلى جنب مع القدرة على إنشاء حسابات الخدمة المخصصة المدارة من قبل المستخدم وإدارتها واستخدامها اختياريا، يوفر Google Compute Engine حساب خدمة افتراضي "حساب الخدمة الافتراضي لمحرك الحساب" لمثيل للوصول إلى الخدمات السحابية الضرورية. يتم تعيين دور "محرر المشروع" إلى "حساب الخدمة الافتراضي لمحرك الحوسبة" وبالتالي، فإن حساب الخدمة هذا يحتوي على جميع الإمكانات تقريبا على جميع الخدمات السحابية باستثناء الفوترة. ومع ذلك، عند تعيين "حساب الخدمة الافتراضي لمحرك الحوسبة" إلى مثيل يمكن أن يعمل في ثلاثة نطاقات.

1. السماح بالوصول الافتراضي: يسمح فقط بالحد الأدنى من الوصول المطلوب لتشغيل مثيل (الامتيازات الأقل).
2. السماح بالوصول الكامل إلى جميع واجهات برمجة التطبيقات السحابية: السماح بالوصول الكامل إلى جميع واجهات برمجة التطبيقات/الخدمات السحابية (وصول كبير جدا).
3. تعيين الوصول لكل واجهة برمجة تطبيقات: يسمح لمسؤول المثيل باختيار واجهات برمجة التطبيقات هذه المطلوبة فقط لأداء وظائف عمل معينة متوقعة بواسطة المثيل عند تكوين مثيل باستخدام "حساب الخدمة الافتراضي لمحرك الحساب" مع النطاق "السماح بالوصول الكامل إلى جميع واجهات برمجة التطبيقات السحابية"، استنادا إلى أدوار IAM المعينة للمستخدم (المستخدمين) الذين يصلون إلى المثيل، فقد يسمح للمستخدم بإجراء عمليات سحابية/استدعاءات واجهة برمجة التطبيقات التي لا يفترض أن يقوم بها المستخدم مما يؤدي إلى تصعيد امتياز ناجح. يجب استبعاد الأجهزة الظاهرية التي تم إنشاؤها بواسطة GKE. تحتوي هذه الأجهزة الظاهرية على أسماء تبدأ ب "gke-" وتسمى "goog-gke-node".

الخطورة: متوسط

تأكد من عدم تمكين إعادة توجيه IP على المثيلات

الوصف: لا يمكن لمثيل Compute Engine إعادة توجيه حزمة ما لم يتطابق عنوان IP المصدر للحزمة مع عنوان IP للمثيل. وبالمثل، لن يسلم GCP حزمة يكون عنوان IP الوجهة الخاص بها مختلفا عن عنوان IP للمثيل الذي يتلقى الحزمة. ومع ذلك، تكون كلتا الإمكانتين مطلوبتين إذا كنت تريد استخدام مثيلات للمساعدة في توجيه الحزم. يجب تعطيل إعادة توجيه حزم البيانات لمنع فقدان البيانات أو الكشف عن المعلومات. لا يمكن لمثيل Compute Engine إعادة توجيه حزمة ما لم يتطابق عنوان IP المصدر للحزمة مع عنوان IP للمثيل. وبالمثل، لن يسلم GCP حزمة يكون عنوان IP الوجهة الخاص بها مختلفا عن عنوان IP للمثيل الذي يتلقى الحزمة. ومع ذلك، تكون كلتا الإمكانتين مطلوبتين إذا كنت تريد استخدام مثيلات للمساعدة في توجيه الحزم. لتمكين التحقق من IP المصدر والوجهة هذا، قم بتعطيل حقل canIpForward، والذي يسمح للمثيل بإرسال الحزم وتلقيها مع وجهة غير متطابقة أو عناوين IP المصدر.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة البيانات "log_checkpoints" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: تأكد من تعيين علامة قاعدة بيانات log_checkpoints لمثيل Cloud SQL PostgreSQL إلى تشغيل. يؤدي تمكين log_checkpoints إلى تسجيل نقاط التحقق ونقاط إعادة التشغيل في سجل الخادم. يتم تضمين بعض الإحصائيات في رسائل السجل، بما في ذلك عدد المخازن المؤقتة المكتوبة والوقت المستغرق في كتابتها. يمكن تعيين هذه المعلمة فقط في ملف postgresql.conf أو على سطر أوامر الخادم. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة البيانات "log_lock_waits" لمثيل Cloud SQL PostgreSQL على "تشغيل"

الوصف: يؤدي تمكين علامة "log_lock_waits" لمثيل PostgreSQL إلى إنشاء سجل لأي انتظارات جلسة تستغرق وقتا أطول من وقت "deadlock_timeout" المخصص للحصول على تأمين. تحدد مهلة التوقف التام وقت الانتظار على تأمين قبل التحقق من أي شروط. يمكن أن يكون التشغيل المتكرر على مهلة التوقف التام مؤشرا على مشكلة أساسية. يمكن استخدام تسجيل مثل هذه الانتظارات على الأقفال عن طريق تمكين علامة log_lock_waits لتحديد الأداء الضعيف بسبب تأخيرات التأمين أو إذا كان SQL المصمم خصيصا يحاول تجويع الموارد من خلال الاحتفاظ بالأقفال لمقدار مفرط من الوقت. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة البيانات "log_min_duration_statement" لمثيل Cloud SQL PostgreSQL على "-1"

الوصف: تحدد علامة "log_min_duration_statement" الحد الأدنى لمقدار وقت التنفيذ لجملة بالمللي ثانية حيث يتم تسجيل المدة الإجمالية للبيان. تأكد من تعطيل "log_min_duration_statement"، أي تعيين قيمة -1. قد تتضمن عبارات تسجيل SQL معلومات حساسة لا ينبغي تسجيلها في السجلات. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة البيانات "log_min_messages" لمثيل Cloud SQL PostgreSQL بشكل مناسب

الوصف: تحدد علامة "log_min_error_statement" الحد الأدنى لمستوى خطورة الرسالة الذي يعتبر عبارة خطأ. يتم تسجيل رسائل عبارات الخطأ باستخدام عبارة SQL. تتضمن القيم الصالحة "DEBUG5" و"DEBUG4" و"DEBUG3" و"DEBUG2" و"DEBUG1" و"INFO" و"NOTICE" و"WARNING" و"ERROR" و"LOG" و"FATAL" و"PANIC". يتضمن كل مستوى خطورة المستويات اللاحقة المذكورة أعلاه. ملاحظة: لإيقاف تشغيل عبارات فشل التسجيل بشكل فعال، قم بتعيين هذه المعلمة إلى PANIC. يعتبر ERROR إعداد أفضل الممارسات. يجب إجراء التغييرات فقط وفقا لسياسة تسجيل المؤسسة. يساعد التدقيق في استكشاف المشكلات التشغيلية وإصلاحها ويسمح أيضا بتحليل الطب الشرعي. إذا لم يتم تعيين "log_min_error_statement" إلى القيمة الصحيحة، فقد لا يتم تصنيف الرسائل كرسائل خطأ بشكل مناسب. إن النظر في رسائل السجل العامة كرسائل خطأ سيجعل من الصعب العثور على أخطاء فعلية، مع مراعاة مستويات خطورة أكثر صرامة فقط حيث قد تتخطى رسائل الخطأ الأخطاء الفعلية لتسجيل عبارات SQL الخاصة بها. وينبغي وضع علامة "log_min_error_statement" وفقا لسياسة تسجيل المؤسسة. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة البيانات "log_temp_files" لمثيل Cloud SQL PostgreSQL على "0"

الوصف: يمكن ل PostgreSQL إنشاء ملف مؤقت لإجراءات مثل الفرز والتجزئة ونتائج الاستعلام المؤقت عندما تتجاوز هذه العمليات "work_mem". تتحكم علامة "log_temp_files" في أسماء التسجيل وحجم الملف عند حذفه. يؤدي تكوين "log_temp_files" إلى 0 إلى تسجيل كافة معلومات الملفات المؤقتة، بينما تسجل القيم الموجبة فقط الملفات التي يكون حجمها أكبر من أو يساوي العدد المحدد للكيلو بايت. القيمة "-1" تعطل تسجيل معلومات الملفات المؤقت. إذا لم يتم تسجيل جميع الملفات المؤقتة، فقد يكون من الصعب تحديد مشكلات الأداء المحتملة التي قد تكون بسبب سوء ترميز التطبيق أو محاولات تجويع الموارد المتعمدة.

الخطورة: منخفض

تأكد من تشفير أقراص الجهاز الظاهري للأجهزة الظاهرية الهامة باستخدام مفتاح التشفير الذي يوفره العميل

الوصف: مفاتيح التشفير التي يوفرها العميل (CSEK) هي ميزة في Google Cloud Storage وGoogle Compute Engine. إذا قمت بتوفير مفاتيح التشفير الخاصة بك، فإن Google تستخدم مفتاحك لحماية المفاتيح التي أنشأتها Google والمستخدمة لتشفير بياناتك وفك تشفيرها. بشكل افتراضي، يقوم Google Compute Engine بتشفير جميع البيانات الثابتة. يعالج Compute Engine هذا التشفير ويديره لك دون أي إجراءات إضافية من جانبك. ومع ذلك، إذا كنت تريد التحكم في هذا التشفير وإدارته بنفسك، يمكنك توفير مفاتيح التشفير الخاصة بك. بشكل افتراضي، يقوم Google Compute Engine بتشفير جميع البيانات الثابتة. يعالج Compute Engine هذا التشفير ويديره لك دون أي إجراءات إضافية من جانبك. ومع ذلك، إذا كنت تريد التحكم في هذا التشفير وإدارته بنفسك، يمكنك توفير مفاتيح التشفير الخاصة بك. إذا قمت بتوفير مفاتيح التشفير الخاصة بك، يستخدم Compute Engine مفتاحك لحماية المفاتيح التي أنشأتها Google والمستخدمة لتشفير بياناتك وفك تشفيرها. يمكن فقط للمستخدمين الذين يمكنهم توفير المفتاح الصحيح استخدام الموارد المحمية بواسطة مفتاح تشفير يوفره العميل. لا تخزن Google مفاتيحك على خوادمها ولا يمكنها الوصول إلى بياناتك المحمية إلا إذا قمت بتوفير المفتاح. وهذا يعني أيضا أنه إذا نسيت مفتاحك أو فقدته، فلا توجد طريقة ل Google لاسترداد المفتاح أو استرداد أي بيانات مشفرة بالمفتاح المفقود. يجب أن يكون لدى الأجهزة الظاهرية الهامة للأعمال على الأقل أقراص جهاز ظاهري مشفرة باستخدام CSEK.

الخطورة: متوسط

يجب أن يكون لدى مشاريع GCP تمكين التوفير التلقائي ل Azure Arc

الوصف: للرؤية الكاملة لمحتوى الأمان من Microsoft Defender للخوادم، يجب توصيل مثيلات GCP VM ب Azure Arc. للتأكد من أن جميع مثيلات الجهاز الظاهري المؤهلة تتلقى تلقائيا Azure Arc، قم بتمكين التوفير التلقائي من Defender for Cloud على مستوى مشروع GCP. تعرف على المزيد عن Azure Arc،وMicrosoft Defender for Servers.

الخطورة: عالية

يجب توصيل مثيلات GCP VM ب Azure Arc

الوصف: الاتصال أجهزة GCP الظاهرية إلى Azure Arc للحصول على رؤية كاملة لمحتوى أمان Microsoft Defender for Servers. تعرف على المزيد عنAzure Arc، وحول Microsoft Defender for Servers على بيئة السحابة المختلطة.

الخطورة: عالية

يجب أن يكون لدى مثيلات GCP VM عامل تكوين نظام التشغيل مثبت

الوصف: لتلقي قدرات Defender for Servers الكاملة باستخدام التزويد التلقائي ل Azure Arc، يجب أن يكون لدى الأجهزة الظاهرية ل GCP عامل تكوين نظام التشغيل ممكن.

الخطورة: عالية

يجب تمكين ميزة الإصلاح التلقائي لنظام مجموعة GKE

الوصف/ تعليمات: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، 'المفتاح': 'autoRepair'، 'value': true.

الخطورة: متوسط

يجب تمكين ميزة الترقية التلقائية لنظام مجموعة GKE

الوصف/ تعليمات: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، 'المفتاح': 'autoUpgrade'، 'value': true.

الخطورة: عالية

يجب تمكين المراقبة على مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية monitoringService لنظام مجموعة تحتوي على الموقع الذي يجب أن تستخدمه Cloud Monitoring لكتابة المقاييس.

الخطورة: متوسط

توصيات حاوية GCP

[معاينة] يجب أن تحتوي صور الحاوية في سجل GCP على نتائج الثغرات الأمنية التي تم حلها

الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

[معاينة] يجب أن تحتوي الحاويات التي تعمل في GCP على نتائج الثغرات الأمنية التي تم حلها

الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية قيد التشغيل حاليا في مجموعات Kubernetes ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور المستخدمة وتقارير الثغرات الأمنية التي تم إنشاؤها لصور التسجيل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.

الخطورة: عالية

النوع: تقييم الثغرات الأمنية

يجب تمكين التكوين المتقدم ل Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. للتأكد من توفير الحل بشكل صحيح، وإتاحة المجموعة الكاملة من الإمكانات، قم بتمكين جميع إعدادات التكوين المتقدمة.

الخطورة: عالية

يجب أن يكون ملحق Microsoft Defender لمجموعات GKE ل Azure Arc مثبتا

الوصف: يوفر ملحق نظام مجموعة Microsoft Defender إمكانات أمان لمجموعات GKE. يعمل الملحق على جمع البيانات من نظام مجموعة وعقده لتحديد الثغرات الأمنية والتهديدات. يعمل الملحق مع Kubernetes التي تدعم Azure Arc. تعرف على المزيد عن ميزات أمان Microsoft Defender for Cloud للبيئات المعبأة في حاويات.

الخطورة: عالية

يجب أن يكون ملحق نهج Azure مثبتا على مجموعات GKE

الوصف: ملحق نهج Azure ل Kubernetes يوسع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يعمل الملحق مع Kubernetes التي تدعم Azure Arc.

الخطورة: عالية

يجب تمكين Microsoft Defender for Containers على موصلات GCP

الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. تمكين خطة الحاويات على موصل GCP الخاص بك، لتقوية أمان مجموعات Kubernetes ومعالجة مشكلات الأمان. تعرّف على المزيد حول Microsoft Defender للحاويات.

الخطورة: عالية

يجب تمكين ميزة الإصلاح التلقائي لنظام مجموعة GKE

الوصف/ تعليمات: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، 'المفتاح': 'autoRepair'، 'value': true.

الخطورة: متوسط

يجب تمكين ميزة الترقية التلقائية لنظام مجموعة GKE

الوصف/ تعليمات: تقيم هذه التوصية خاصية إدارة تجمع عقدة لزوج قيمة المفتاح، 'المفتاح': 'autoUpgrade'، 'value': true.

الخطورة: عالية

يجب تمكين المراقبة على مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية monitoringService لنظام مجموعة تحتوي على الموقع الذي يجب أن تستخدمه Cloud Monitoring لكتابة المقاييس.

الخطورة: متوسط

يجب تمكين تسجيل مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية loggingService لنظام مجموعة تحتوي على الموقع الذي يجب أن يستخدمه Cloud Logging لكتابة السجلات.

الخطورة: عالية

يجب تعطيل لوحة معلومات ويب GKE

الوصف: تقيم هذه التوصية حقل kubernetesDashboard لخاصية addonsConfig لزوج قيمة المفتاح، "معطل": خطأ.

الخطورة: عالية

يجب تعطيل التخويل القديم على مجموعات GKE

الوصف: تقيم هذه التوصية خاصية legacyAbac لنظام مجموعة لزوج قيمة المفتاح، "ممكن": صحيح.

الخطورة: عالية

يجب تمكين الشبكات المعتمدة لمستوى التحكم على مجموعات GKE

الوصف: تقيم هذه التوصية الخاصية MasterAuthorizedNetworksConfig لنظام مجموعة لزوج قيمة المفتاح، 'enabled': false.

الخطورة: عالية

يجب تمكين نطاقات IP المستعارة لمجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كان يتم تعيين حقل useIPAliases الخاص ب ipAllocationPolicy في نظام مجموعة إلى false.

الخطورة: منخفض

يجب أن يكون لدى مجموعات GKE مجموعات خاصة ممكنة

الوصف: تقيم هذه التوصية ما إذا كان حقل enablePrivateNodes الخاص بخاصية privateClusterConfig معينا على false.

الخطورة: عالية

يجب تمكين نهج الشبكة على مجموعات GKE

الوصف/ تعليمات: تقيم هذه التوصية حقل networkPolicy لخاصية addonsConfig لزوج قيمة المفتاح، 'disabled': true.

الخطورة: متوسط

توصيات مستوى البيانات

يتم دعم جميع توصيات أمان مستوى بيانات Kubernetes ل GCP بعد تمكين نهج Azure ل Kubernetes.

توصيات بيانات GCP

تأكد من تعيين علامة قاعدة البيانات '3625 (علامة التتبع)' لمثيل Cloud SQL SQL Server إلى 'off'

الوصف: يوصى بتعيين علامة قاعدة البيانات "3625 (علامة التتبع)" لمثيل Cloud SQL SQL Server إلى "إيقاف التشغيل". تستخدم علامات التتبع بشكل متكرر لتشخيص مشكلات الأداء أو لتصحيح الإجراءات المخزنة أو أنظمة الكمبيوتر المعقدة، ولكن قد ينصح بها أيضا دعم Microsoft لمعالجة السلوك الذي يؤثر سلبا على حمل عمل معين. يتم دعم جميع علامات التتبع الموثقة وتلك الموصى بها من قبل دعم Microsoft بشكل كامل في بيئة إنتاج عند استخدامها حسب التوجيه. "3625(سجل التتبع)" يحد من كمية المعلومات التي يتم إرجاعها للمستخدمين الذين ليسوا أعضاء في دور الخادم الثابت مسؤول النظام، عن طريق إخفاء معلمات بعض رسائل الخطأ باستخدام "******". يمكن أن يساعد هذا في منع الكشف عن المعلومات الحساسة. ومن ثم يوصى بتعطيل هذه العلامة. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة بيانات "البرامج النصية الخارجية الممكنة" لمثيل Cloud SQL SQL Server على "إيقاف التشغيل"

الوصف: يوصى بتعيين علامة قاعدة بيانات "البرامج النصية الخارجية الممكنة" لمثيل Cloud SQL SQL Server إلى إيقاف التشغيل. تمكن "البرامج النصية الخارجية الممكنة" من تنفيذ البرامج النصية مع ملحقات لغة بعيدة معينة. هذه الخاصية متوقفة عن التشغيل بشكل افتراضي. عند تثبيت Advanced Analytics Services، يمكن للإعداد تعيين هذه الخاصية اختياريا إلى true. نظرا لأن ميزة "البرامج النصية الخارجية الممكنة" تسمح بتنفيذ البرامج النصية الخارجية ل SQL مثل الملفات الموجودة في مكتبة R، مما قد يؤثر سلبا على أمان النظام، وبالتالي يجب تعطيل هذا. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: عالية

تأكد من تعيين علامة قاعدة بيانات "الوصول عن بعد" لمثيل Cloud SQL SQL Server إلى "إيقاف"

الوصف: يوصى بتعيين علامة قاعدة بيانات "الوصول عن بعد" لمثيل Cloud SQL SQL Server إلى "إيقاف التشغيل". يتحكم خيار "الوصول عن بعد" في تنفيذ الإجراءات المخزنة من الخوادم المحلية أو البعيدة التي يتم تشغيل مثيلات SQL Server عليها. هذه القيمة الافتراضية لهذا الخيار هي 1. يمنح هذا الإذن لتشغيل الإجراءات المخزنة المحلية من الخوادم البعيدة أو الإجراءات المخزنة عن بعد من الخادم المحلي. لمنع تشغيل الإجراءات المخزنة المحلية من خادم بعيد أو من تشغيل الإجراءات المخزنة عن بعد على الخادم المحلي، يجب تعطيل ذلك. يتحكم خيار الوصول عن بعد في تنفيذ الإجراءات المخزنة المحلية على الخوادم البعيدة أو الإجراءات المخزنة عن بعد على الخادم المحلي. يمكن إساءة استخدام وظيفة "الوصول عن بعد" لبدء هجوم رفض الخدمة (DoS) على الخوادم البعيدة عن طريق إيقاف تحميل معالجة الاستعلام إلى هدف، ومن ثم يجب تعطيل هذا. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: عالية

تأكد من تعيين علامة قاعدة بيانات "skip_show_database" لمثيل Cloud SQL Mysql إلى "on"

الوصف: يوصى بتعيين علامة قاعدة بيانات "skip_show_database" لمثيل Cloud SQL Mysql إلى "on". تمنع علامة قاعدة البيانات "skip_show_database" الأشخاص من استخدام عبارة SHOW DATABASES إذا لم يكن لديهم امتياز SHOW DATABASES. يمكن أن يؤدي ذلك إلى تحسين الأمان إذا كانت لديك مخاوف بشأن قدرة المستخدمين على رؤية قواعد البيانات التي تنتمي إلى مستخدمين آخرين. يعتمد تأثيره على امتياز SHOW DATABASES: إذا كانت قيمة المتغير ON، فإن عبارة SHOW DATABASES مسموح بها فقط للمستخدمين الذين لديهم امتياز SHOW DATABASES، وتعرض العبارة كافة أسماء قواعد البيانات. إذا كانت القيمة متوقفة عن التشغيل، يسمح ب SHOW DATABASES لجميع المستخدمين، ولكنها تعرض أسماء قواعد البيانات التي يمتلك المستخدم قواعد بيانات SHOW أو امتيازا آخر لها فقط. تنطبق هذه التوصية على مثيلات قاعدة بيانات Mysql.

الخطورة: منخفض

تأكد من تحديد مفتاح تشفير افتراضي يديره العميل (CMEK) لجميع مجموعات بيانات BigQuery

الوصف: يقوم BigQuery بشكل افتراضي بتشفير البيانات كبقية عن طريق استخدام تشفير المغلفات باستخدام مفاتيح التشفير المدارة من Google. يتم تشفير البيانات باستخدام مفاتيح تشفير البيانات ويتم تشفير مفاتيح تشفير البيانات نفسها باستخدام مفاتيح تشفير المفاتيح. هذا سلس ولا يتطلب أي إدخال إضافي من المستخدم. ومع ذلك، إذا كنت ترغب في الحصول على تحكم أكبر، يمكن استخدام مفاتيح التشفير التي يديرها العميل (CMEK) كحل لإدارة مفاتيح التشفير لمجموعات بيانات BigQuery. يقوم BigQuery بشكل افتراضي بتشفير البيانات كبقية عن طريق استخدام تشفير المغلفات باستخدام مفاتيح التشفير المدارة من Google. هذا سلس ولا يتطلب أي إدخال إضافي من المستخدم. لمزيد من التحكم في التشفير، يمكن استخدام مفاتيح التشفير التي يديرها العميل (CMEK) كحل لإدارة مفتاح التشفير لمجموعات بيانات BigQuery. يضمن تعيين مفتاح تشفير افتراضي مدار من قبل العميل (CMEK) لمجموعة بيانات أن أي جداول تم إنشاؤها في المستقبل ستستخدم CMEK المحدد إذا لم يتم توفير أي جداول أخرى. ملاحظة: لا تخزن Google مفاتيحك على خوادمها ولا يمكنها الوصول إلى بياناتك المحمية ما لم توفر المفتاح. وهذا يعني أيضا أنه إذا نسيت مفتاحك أو فقدته، فلا توجد طريقة ل Google لاسترداد المفتاح أو استرداد أي بيانات مشفرة بالمفتاح المفقود.

الخطورة: متوسط

تأكد من تشفير جميع جداول BigQuery باستخدام مفتاح التشفير المدار من قبل العميل (CMEK)

الوصف: يقوم BigQuery بشكل افتراضي بتشفير البيانات كبقية عن طريق استخدام تشفير المغلفات باستخدام مفاتيح التشفير المدارة من Google. يتم تشفير البيانات باستخدام مفاتيح تشفير البيانات ويتم تشفير مفاتيح تشفير البيانات نفسها باستخدام مفاتيح تشفير المفاتيح. هذا سلس ولا يتطلب أي إدخال إضافي من المستخدم. ومع ذلك، إذا كنت ترغب في الحصول على تحكم أكبر، يمكن استخدام مفاتيح التشفير التي يديرها العميل (CMEK) كحل لإدارة مفاتيح التشفير لمجموعات بيانات BigQuery. إذا تم استخدام CMEK، يتم استخدام CMEK لتشفير مفاتيح تشفير البيانات بدلا من استخدام مفاتيح التشفير المدارة من Google. يقوم BigQuery بشكل افتراضي بتشفير البيانات كبقية عن طريق استخدام تشفير المغلفات باستخدام مفاتيح التشفير المدارة من Google. هذا سلس ولا يتطلب أي إدخال إضافي من المستخدم. لمزيد من التحكم في التشفير، يمكن استخدام مفاتيح التشفير التي يديرها العميل (CMEK) كحل لإدارة مفتاح التشفير لجداول BigQuery. يتم استخدام CMEK لتشفير مفاتيح تشفير البيانات بدلا من استخدام مفاتيح التشفير المدارة من Google. يخزن BigQuery الجدول واقتران CMEK ويتم التشفير/فك التشفير تلقائيا. يضمن تطبيق المفاتيح الافتراضية التي يديرها العميل على مجموعات بيانات BigQuery تشفير جميع الجداول الجديدة التي تم إنشاؤها في المستقبل باستخدام CMEK ولكن يجب تحديث الجداول الموجودة لاستخدام CMEK بشكل فردي. ملاحظة: لا تخزن Google مفاتيحك على خوادمها ولا يمكنها الوصول إلى بياناتك المحمية ما لم توفر المفتاح. وهذا يعني أيضا أنه إذا نسيت مفتاحك أو فقدته، فلا توجد طريقة ل Google لاسترداد المفتاح أو استرداد أي بيانات مشفرة بالمفتاح المفقود.

الخطورة: متوسط

تأكد من أن مجموعات بيانات BigQuery غير متاحة بشكل مجهول أو عام

الوصف: يوصى بأن لا يسمح نهج IAM على مجموعات بيانات BigQuery بالوصول المجهول و/أو العام. يسمح منح أذونات لجميع المستخدمين أو allAuthenticatedUsers لأي شخص بالوصول إلى مجموعة البيانات. قد لا يكون هذا الوصول مرغوبا فيه إذا تم تخزين البيانات الحساسة في مجموعة البيانات. لذلك، تأكد من عدم السماح بالوصول المجهول و/أو العام إلى مجموعة البيانات.

الخطورة: عالية

تأكد من تكوين مثيلات قاعدة بيانات Cloud SQL باستخدام النسخ الاحتياطية التلقائية

الوصف: يوصى بتعيين جميع مثيلات قاعدة بيانات SQL لتمكين النسخ الاحتياطية التلقائية. توفر النسخ الاحتياطية طريقة لاستعادة مثيل Cloud SQL لاسترداد البيانات المفقودة أو التعافي من مشكلة في هذا المثيل. يجب تعيين النسخ الاحتياطية التلقائية لأي مثيل يحتوي على بيانات يجب حمايتها من الفقدان أو التلف. تنطبق هذه التوصية على مثيلات SQL Server وPostgreSql وMySql generation 1 وMySql generation 2.

الخطورة: عالية

تأكد من أن مثيلات قاعدة بيانات Cloud SQL غير مفتوحة للعالم

الوصف: يجب أن يقبل خادم قاعدة البيانات الاتصالات من الشبكة (الشبكات) /IP الموثوق بها فقط وأن يقيد الوصول من العالم. لتقليل سطح الهجوم على مثيل خادم قاعدة بيانات، يجب الموافقة فقط على IP (عناوين IP) الموثوق بها/المعروفة والمطلوبة للاتصال به. يجب ألا تحتوي الشبكة المعتمدة على عناوين IP/شبكات تم تكوينها إلى "0.0.0.0/0"، مما سيسمح بالوصول إلى المثيل من أي مكان في العالم. لاحظ أن الشبكات المعتمدة تنطبق فقط على المثيلات ذات عناوين IP العامة.

الخطورة: عالية

تأكد من أن مثيلات قاعدة بيانات Cloud SQL ليس لديها عناوين IP عامة

الوصف: يوصى بتكوين مثيل Sql من الجيل الثاني لاستخدام عناوين IP الخاصة بدلا من عناوين IP العامة. لخفض سطح هجوم المؤسسة، يجب ألا تحتوي قواعد بيانات Cloud SQL على عناوين IP عامة. توفر عناوين IP الخاصة أمانا محسنا للشبكة وزمن انتقال أقل للتطبيق الخاص بك.

الخطورة: عالية

تأكد من أن مستودع التخزين السحابي غير متاح بشكل مجهول أو عام

الوصف: يوصى بأن نهج IAM على مستودع التخزين السحابي لا يسمح بالوصول المجهول أو العام. يمنح السماح بالوصول المجهول أو العام أذونات لأي شخص للوصول إلى محتوى المستودع. قد لا يكون هذا الوصول مطلوبا إذا كنت تخزن أي بيانات حساسة. وبالتالي، تأكد من عدم السماح بالوصول المجهول أو العام إلى المستودع.

الخطورة: عالية

تأكد من تمكين الوصول الموحد على مستوى المستودع إلى مستودعات التخزين السحابية

الوصف: يوصى بتمكين الوصول الموحد على مستوى المستودع على مستودعات التخزين السحابي. يوصى باستخدام الوصول الموحد على مستوى المستودع لتوحيد وتبسيط كيفية منح الوصول إلى موارد التخزين السحابي. يوفر التخزين السحابي نظامين لمنح المستخدمين الإذن للوصول إلى المستودعات والعناصر: إدارة الهوية والوصول السحابية (IAM السحابي) وقوائم التحكم بالوصول (ACLs).
تعمل هذه الأنظمة بالتوازي - لكي يتمكن المستخدم من الوصول إلى مورد التخزين السحابي، يحتاج أحد الأنظمة فقط إلى منح إذن المستخدم. يتم استخدام Cloud IAM في جميع أنحاء Google Cloud ويسمح لك بمنح مجموعة متنوعة من الأذونات على مستويات المستودع والمشروع. يتم استخدام قوائم التحكم في الوصول فقط من قبل التخزين السحابي ولديك خيارات أذونات محدودة، ولكنها تسمح لك بمنح أذونات على أساس كل كائن.

من أجل دعم نظام أذونات موحد، لدى التخزين السحابي وصول موحد على مستوى المستودع. يؤدي استخدام هذه الميزة إلى تعطيل قوائم التحكم في الوصول لجميع موارد التخزين السحابي: يتم منح الوصول إلى موارد التخزين السحابي حصريا من خلال Cloud IAM. يضمن تمكين الوصول الموحد على مستوى المستودع أنه إذا لم يكن مستودع التخزين متاحا للجمهور، فلا يمكن الوصول إلى أي كائن في المستودع بشكل عام أيضا.

الخطورة: متوسط

تأكد من تمكين الحوسبة السرية لمثيلات الحساب

الوصف: تقوم Google Cloud بتشفير البيانات الثابتة والمتنقلة، ولكن يجب فك تشفير بيانات العملاء للمعالجة. الحوسبة السرية هي تقنية اختراق تشفر البيانات قيد الاستخدام أثناء معالجتها. تحافظ بيئات الحوسبة السرية على تشفير البيانات في الذاكرة وأماكن أخرى خارج وحدة المعالجة المركزية (CPU). تستفيد الأجهزة الظاهرية السرية من ميزة الظاهرية المشفرة الآمنة (SEV) لوحدات المعالجة المركزية AMD EPYC. ستظل بيانات العملاء مشفرة أثناء استخدامها أو فهرستها أو الاستعلام عنها أو التدريب عليها. يتم إنشاء مفاتيح التشفير في الأجهزة، لكل جهاز ظاهري، وغير قابلة للتصدير. بفضل تحسينات الأجهزة المضمنة لكل من الأداء والأمان، لا توجد عقوبة أداء كبيرة لأحمال عمل الحوسبة السرية. تمكن الحوسبة السرية التعليمات البرمجية الحساسة للعملاء والبيانات الأخرى المشفرة في الذاكرة أثناء المعالجة. ليس لدى Google حق الوصول إلى مفاتيح التشفير. يمكن أن يساعد الجهاز الظاهري السري في التخفيف من المخاوف المتعلقة بالمخاطر المتعلقة إما بالاعتماد على البنية الأساسية ل Google أو وصول المشاركين في برنامج Google Insider إلى بيانات العملاء بشكل واضح.

الخطورة: عالية

تأكد من تكوين نهج الاستبقاء على مستودعات السجل باستخدام قفل المستودع

الوصف: سيؤدي تمكين نهج الاستبقاء على مستودعات السجل إلى حماية السجلات المخزنة في مستودعات التخزين السحابية من الكتابة فوقها أو حذفها عن طريق الخطأ. يوصى بإعداد نهج الاستبقاء وتكوين قفل المستودع على جميع مستودعات التخزين المستخدمة كمتلقيات السجل. يمكن تصدير السجلات عن طريق إنشاء متلقي واحد أو أكثر يتضمن عامل تصفية سجل ووجهة. نظرا لأن تسجيل Stackdriver يتلقى إدخالات سجل جديدة، تتم مقارنتها مع كل متلقي. إذا تطابق إدخال السجل مع عامل تصفية المتلقي، فستتم كتابة نسخة من إدخال السجل إلى الوجهة. يمكن تكوين المتلقيات لتصدير السجلات في مستودعات التخزين. يوصى بتكوين نهج استبقاء البيانات لمستودعات التخزين السحابية هذه وتأمين نهج استبقاء البيانات؛ وبالتالي منع السياسة بشكل دائم من تخفيضها أو إزالتها. بهذه الطريقة، إذا تم اختراق النظام من قبل مهاجم أو من الداخل الضار الذي يريد تغطية مساراته، يتم الاحتفاظ بسجلات النشاط بالتأكيد للتحقيقات الجنائية والأمنية.

الخطورة: منخفض

تأكد من أن مثيل قاعدة بيانات Cloud SQL يتطلب جميع الاتصالات الواردة لاستخدام SSL

الوصف: يوصى بفرض جميع الاتصالات الواردة إلى مثيل قاعدة بيانات SQL لاستخدام SSL. اتصالات قاعدة بيانات SQL إذا تم محاصرتها بنجاح (MITM)؛ يمكن أن تكشف عن البيانات الحساسة مثل بيانات الاعتماد واستعلامات قاعدة البيانات ومخرجات الاستعلام وما إلى ذلك. للأمان، يوصى دائما باستخدام تشفير SSL عند الاتصال بمثيلك. تنطبق هذه التوصية على مثيلات Postgresql وMySql من الجيل 1 وMySql من الجيل 2.

الخطورة: عالية

تأكد من تعيين علامة قاعدة البيانات "مصادقة قاعدة البيانات المضمنة" ل Cloud SQL على مثيل SQL Server إلى "إيقاف"

الوصف: يوصى بتعيين علامة قاعدة البيانات "مصادقة قاعدة البيانات المضمنة" ل Cloud SQL على مثيل SQL Server إلى "إيقاف التشغيل". تتضمن قاعدة البيانات المضمنة جميع إعدادات قاعدة البيانات وبيانات التعريف المطلوبة لتعريف قاعدة البيانات ولا تحتوي على تبعيات تكوين على مثيل مشغل قاعدة البيانات حيث تم تثبيت قاعدة البيانات. يمكن للمستخدمين الاتصال بقاعدة البيانات دون مصادقة تسجيل دخول على مستوى مشغل قاعدة البيانات. عزل قاعدة البيانات من مشغل قاعدة البيانات يجعل من الممكن نقل قاعدة البيانات بسهولة إلى مثيل آخر من SQL Server. تحتوي قواعد البيانات المضمنة على بعض التهديدات الفريدة التي يجب فهمها والتخفيف من حدتها من قبل مسؤولي SQL Server Database Engine. ترتبط معظم التهديدات بعملية مصادقة USER WITH PASSWORD، والتي تنقل حد المصادقة من مستوى مشغل قاعدة البيانات إلى مستوى قاعدة البيانات، ومن ثم يوصى بتعطيل هذه العلامة. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة البيانات 'cross db ownership chaining' لمثيل Cloud SQL SQL Server إلى 'off'

الوصف: يوصى بتعيين علامة قاعدة بيانات "سلسلة الملكية عبر قاعدة البيانات" لمثيل Cloud SQL SQL Server إلى "إيقاف التشغيل". استخدم خيار "الملكية عبر قاعدة البيانات" لتكوين تسلسل الملكية عبر قاعدة البيانات لمثيل Microsoft SQL Server. يسمح لك خيار الخادم هذا بالتحكم في تسلسل الملكية عبر قاعدة البيانات على مستوى قاعدة البيانات أو السماح بتسلسل الملكية عبر قاعدة البيانات لجميع قواعد البيانات. لا يوصى بتمكين "الملكية عبر قاعدة البيانات" ما لم تكن جميع قواعد البيانات التي يستضيفها مثيل SQL Server يجب أن تشارك في تسلسل الملكية عبر قواعد البيانات وأنت على دراية بالآثار الأمنية لهذا الإعداد. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة البيانات "local_infile" لمثيل Cloud SQL Mysql على "إيقاف التشغيل"

الوصف: يوصى بتعيين علامة قاعدة بيانات local_infile لمثيل Cloud SQL MySQL إلى إيقاف التشغيل. تتحكم علامة local_infile في القدرة المحلية من جانب الخادم لعبارات LOAD DATA. اعتمادا على إعداد local_infile، يرفض الخادم تحميل البيانات المحلية أو يسمح بها من قبل العملاء الذين تم تمكين LOCAL من جانب العميل. للتسبب صراحة في رفض الخادم عبارات LOAD DATA LOCAL (بغض النظر عن كيفية تكوين برامج العميل والمكتبات في وقت الإنشاء أو وقت التشغيل)، ابدأ mysqld مع تعطيل local_infile. يمكن أيضا تعيين local_infile في وقت التشغيل. نظرا لمشكلات الأمان المرتبطة بعلامة local_infile، يوصى بتعطيلها. تنطبق هذه التوصية على مثيلات قاعدة بيانات MySQL.

الخطورة: متوسط

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات إذن إدارة الهوية والوصول إلى التخزين السحابي

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات IAM لمستودع التخزين السحابي. قد تؤدي مراقبة التغييرات في أذونات مستودع التخزين السحابي إلى تقليل الوقت اللازم للكشف عن الأذونات وتصحيحها على مستودعات التخزين السحابي الحساسة والكائنات داخل المستودع.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات تكوين مثيل SQL

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات تكوين مثيل SQL. قد تؤدي مراقبة التغييرات في تغييرات تكوين مثيل SQL إلى تقليل الوقت اللازم للكشف عن التكوينات الخاطئة التي تم إجراؤها على خادم SQL وتصحيحها. فيما يلي بعض الخيارات القابلة للتكوين التي قد تؤثر على وضع الأمان لمثيل SQL:

• تمكين النسخ الاحتياطية التلقائية وقابلية الوصول العالية: قد يؤثر التكوين الخاطئ سلبا على استمرارية الأعمال والتعافي من الكوارث وقابلية الوصول العالية
• تخويل الشبكات: قد يؤدي التكوين الخاطئ إلى زيادة التعرض للشبكات غير الموثوق بها

الخطورة: منخفض

تأكد من وجود مفاتيح حساب خدمة مدارة بواسطة GCP فقط لكل حساب خدمة

الوصف: يجب ألا تحتوي حسابات الخدمة المدارة من قبل المستخدم على مفاتيح يديرها المستخدم. سيتمكن أي شخص لديه حق الوصول إلى المفاتيح من الوصول إلى الموارد من خلال حساب الخدمة. يتم استخدام المفاتيح المدارة بواسطة GCP بواسطة خدمات Cloud Platform مثل App Engine وCompute Engine. لا يمكن تنزيل هذه المفاتيح. سوف تحتفظ Google بالمفاتيح وتدويرها تلقائيا على أساس أسبوعي تقريبا. يتم إنشاء المفاتيح التي يديرها المستخدم، ويمكن تنزيلها، وإدارتها من قبل المستخدمين. تنتهي صلاحيتها بعد 10 سنوات من الإنشاء. بالنسبة للمفاتيح المدارة من قبل المستخدم، يجب على المستخدم أن يأخذ ملكية أنشطة إدارة المفاتيح، والتي تشمل:

• مخزن المفاتيح
• التوزيع القائم على الموقع الجغرافي
• إبطال المفتاح
• دوران المفتاح
• حماية المفاتيح من المستخدمين غير المصرح لهم
• استعادة المفتاح

حتى مع احتياطات مالك المفتاح، يمكن تسريب المفاتيح بسهولة من خلال عمليات التطوير الشائعة مثل التحقق من المفاتيح في التعليمات البرمجية المصدر أو تركها في دليل التنزيلات، أو تركها عن طريق الخطأ على مدونات/قنوات الدعم. يوصى بمنع مفاتيح حساب الخدمة المدارة من قبل المستخدم.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "اتصالات المستخدم" لمثيل Cloud SQL SQL Server حسب الاقتضاء

الوصف: يوصى بتعيين علامة قاعدة بيانات "اتصالات المستخدم" لمثيل Cloud SQL SQL Server وفقا للقيمة المعرفة من قبل المؤسسة. يحدد خيار "اتصالات المستخدم" الحد الأقصى لعدد اتصالات المستخدم المتزامنة المسموح بها على مثيل SQL Server. يعتمد العدد الفعلي لاتصالات المستخدم المسموح بها أيضا على إصدار SQL Server الذي تستخدمه، وكذلك حدود التطبيق أو التطبيقات والأجهزة. يسمح SQL Server بحد أقصى 32767 اتصال مستخدم. نظرا لأن اتصالات المستخدم هي خيار ديناميكي (تكوين ذاتي)، يقوم SQL Server بضبط الحد الأقصى لعدد اتصالات المستخدم تلقائيا حسب الحاجة، حتى الحد الأقصى للقيمة المسموح بها. على سبيل المثال، إذا تم تسجيل دخول 10 مستخدمين فقط، يتم تخصيص 10 كائنات اتصال مستخدم. في معظم الحالات، لا يتعين عليك تغيير قيمة هذا الخيار. الإعداد الافتراضي هو 0، ما يعني أن الحد الأقصى (32,767) اتصال مستخدم مسموح به. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: منخفض

تأكد من عدم تكوين علامة قاعدة بيانات "خيارات المستخدم" لمثيل Cloud SQL SQL Server

الوصف: يوصى بعدم تكوين علامة قاعدة بيانات "خيارات المستخدم" لمثيل Cloud SQL SQL Server. يحدد خيار "خيارات المستخدم" الإعدادات الافتراضية العمومية لجميع المستخدمين. يتم إنشاء قائمة بخيارات معالجة الاستعلام الافتراضية لمدة جلسة عمل المستخدم. يسمح لك خيار خيارات المستخدم بتغيير القيم الافتراضية لخيارات SET (إذا لم تكن الإعدادات الافتراضية للخادم مناسبة). يمكن للمستخدم تجاوز هذه الإعدادات الافتراضية باستخدام عبارة SET. يمكنك تكوين خيارات المستخدم ديناميكيا لتسجيلات الدخول الجديدة. بعد تغيير إعداد خيارات المستخدم، تستخدم جلسات تسجيل الدخول الجديدة الإعداد الجديد؛ لا تتأثر جلسات تسجيل الدخول الحالية. تنطبق هذه التوصية على مثيلات قاعدة بيانات SQL Server.

الخطورة: منخفض

يجب تمكين تسجيل مجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كانت خاصية loggingService لنظام مجموعة تحتوي على الموقع الذي يجب أن يستخدمه Cloud Logging لكتابة السجلات.

الخطورة: عالية

يجب تمكين تعيين إصدار الكائن على مستودعات التخزين حيث يتم تكوين المتلقيات

الوصف: تقيم هذه التوصية ما إذا كان الحقل الممكن في خاصية تعيين إصدار المستودع معينا إلى صحيح.

الخطورة: عالية

يجب التحقيق في الهويات التي تم توفيرها بشكل زائد في المشاريع لتقليل فهرس زحف الأذونات (PCI)

الوصف: يجب التحقيق في الهويات ذات التوفير الزائد في المشاريع لتقليل فهرس زحف الأذونات (PCI) وحماية البنية الأساسية الخاصة بك. تقليل PCI عن طريق إزالة تعيينات الأذونات عالية المخاطر غير المستخدمة. يعكس PCI العالي المخاطر المرتبطة بالهويات ذات الأذونات التي تتجاوز استخدامها العادي أو المطلوب.

الخطورة: متوسط

يجب ألا يكون لدى المشاريع التي تحتوي على مفاتيح تشفير مستخدمين لديهم أذونات المالك

الوصف: تقيم هذه التوصية نهج السماح IAM في بيانات تعريف المشروع للأدوار/المالك المعينة للمديرين.

الخطورة: متوسط

يجب ألا تكون مستودعات التخزين المستخدمة كمتلقي سجل متاحة للجمهور

الوصف: تقيم هذه التوصية نهج IAM لمستودع للمستخدمين الأساسيين أو allAuthenticatedUsers، والتي تمنح حق الوصول العام.

الخطورة: عالية

توصيات GCP IdentityAndAccess

يجب ألا تحتوي مفاتيح التشفير على أكثر من ثلاثة مستخدمين

الوصف: تقيم هذه التوصية نهج IAM للحلقات الرئيسية، المشاريع والمؤسسات، ويسترد الأساسيات بأدوار تسمح لهم بتشفير البيانات أو فك تشفيرها أو توقيعها باستخدام مفاتيح Cloud KMS: roles/owner، roles/cloudkms.cryptoKeyEncrypterDecrypter، roles/cloudkms.cryptoKeyEncrypter، roles/cloudkms.cryptoKeyDecrypter، roles/cloudkms.signer، والأدوار/cloudkms.signerVerifier.

الخطورة: متوسط

تأكد من عدم إنشاء مفاتيح API لمشروع

الوصف: المفاتيح غير آمنة لأنه يمكن عرضها بشكل عام، مثل من داخل المتصفح، أو يمكن الوصول إليها على جهاز حيث يوجد المفتاح. يوصى باستخدام تدفق المصادقة القياسي بدلا من ذلك.

تظهر المخاطر الأمنية التي ينطوي عليها استخدام API-Keys أدناه:

1. مفاتيح واجهة برمجة التطبيقات هي سلاسل مشفرة بسيطة
2. لا تحدد مفاتيح واجهة برمجة التطبيقات المستخدم أو التطبيق الذي يقوم بطلب واجهة برمجة التطبيقات
3. عادة ما يمكن للعملاء الوصول إلى مفاتيح واجهة برمجة التطبيقات، مما يسهل اكتشاف مفتاح واجهة برمجة التطبيقات وسرقته

لتجنب مخاطر الأمان في استخدام مفاتيح واجهة برمجة التطبيقات، يوصى باستخدام تدفق المصادقة القياسي بدلا من ذلك.

الخطورة: عالية

تأكد من تقييد مفاتيح واجهة برمجة التطبيقات على واجهات برمجة التطبيقات التي يحتاج التطبيق إلى الوصول إليها فقط

الوصف: مفاتيح واجهة برمجة التطبيقات غير آمنة لأنه يمكن عرضها بشكل عام، مثل من داخل المتصفح، أو يمكن الوصول إليها على جهاز حيث يوجد المفتاح. يوصى بتقييد مفاتيح واجهة برمجة التطبيقات لاستخدام (استدعاء) واجهات برمجة التطبيقات التي يتطلبها التطبيق فقط.

فيما يلي المخاطر الأمنية التي ينطوي عليها استخدام مفاتيح واجهة برمجة التطبيقات:

1. مفاتيح واجهة برمجة التطبيقات هي سلاسل مشفرة بسيطة
2. لا تحدد مفاتيح واجهة برمجة التطبيقات المستخدم أو التطبيق الذي يقوم بطلب واجهة برمجة التطبيقات
3. عادة ما يمكن للعملاء الوصول إلى مفاتيح واجهة برمجة التطبيقات، مما يسهل اكتشاف مفتاح واجهة برمجة التطبيقات وسرقته

في ضوء هذه المخاطر المحتملة، توصي Google باستخدام تدفق المصادقة القياسي بدلا من API-Keys. ومع ذلك، هناك حالات محدودة تكون فيها مفاتيح واجهة برمجة التطبيقات أكثر ملاءمة. على سبيل المثال، إذا كان هناك تطبيق جوال يحتاج إلى استخدام واجهة برمجة تطبيقات الترجمة السحابية من Google، ولكنه لا يحتاج إلى خادم خلفي، فإن مفاتيح واجهة برمجة التطبيقات هي أبسط طريقة للمصادقة على واجهة برمجة التطبيقات هذه.

لتقليل أسطح الهجوم من خلال توفير أقل الامتيازات، يمكن تقييد API-Keys لاستخدام (استدعاء) واجهات برمجة التطبيقات التي يتطلبها التطبيق فقط.

الخطورة: عالية

تأكد من تقييد استخدام مفاتيح واجهة برمجة التطبيقات من قبل المضيفين والتطبيقات المحددة فقط

الوصف: المفاتيح غير المقيدة غير آمنة لأنه يمكن عرضها بشكل عام، مثل من داخل المتصفح، أو يمكن الوصول إليها على جهاز حيث يوجد المفتاح. يوصى بتقييد استخدام مفتاح واجهة برمجة التطبيقات على المضيفين الموثوق بهم ومحيلي HTTP والتطبيقات.

تظهر المخاطر الأمنية التي ينطوي عليها استخدام API-Keys أدناه:

1. مفاتيح واجهة برمجة التطبيقات هي سلاسل مشفرة بسيطة
2. لا تحدد مفاتيح واجهة برمجة التطبيقات المستخدم أو التطبيق الذي يقوم بطلب واجهة برمجة التطبيقات
3. عادة ما يمكن للعملاء الوصول إلى مفاتيح واجهة برمجة التطبيقات، مما يسهل اكتشاف مفتاح واجهة برمجة التطبيقات وسرقته

في ضوء هذه المخاطر المحتملة، توصي Google باستخدام تدفق المصادقة القياسي بدلا من مفاتيح واجهة برمجة التطبيقات. ومع ذلك، هناك حالات محدودة تكون فيها مفاتيح واجهة برمجة التطبيقات أكثر ملاءمة. على سبيل المثال، إذا كان هناك تطبيق جوال يحتاج إلى استخدام واجهة برمجة تطبيقات الترجمة السحابية من Google، ولكنه لا يحتاج إلى خادم خلفي، فإن مفاتيح واجهة برمجة التطبيقات هي أبسط طريقة للمصادقة على واجهة برمجة التطبيقات هذه.

لتقليل متجهات الهجوم، يمكن تقييد API-Keys فقط على المضيفين الموثوق بهم ومحيلي HTTP والتطبيقات.

الخطورة: عالية

تأكد من تدوير مفاتيح واجهة برمجة التطبيقات كل 90 يوما

الوصف: يوصى بتدوير مفاتيح واجهة برمجة التطبيقات كل 90 يوما.

يتم سرد المخاطر الأمنية التي ينطوي عليها استخدام مفاتيح واجهة برمجة التطبيقات أدناه:

1. مفاتيح واجهة برمجة التطبيقات هي سلاسل مشفرة بسيطة
2. لا تحدد مفاتيح واجهة برمجة التطبيقات المستخدم أو التطبيق الذي يقوم بطلب واجهة برمجة التطبيقات
3. عادة ما يمكن للعملاء الوصول إلى مفاتيح واجهة برمجة التطبيقات، مما يسهل اكتشاف مفتاح واجهة برمجة التطبيقات وسرقته

وبسبب هذه المخاطر المحتملة، توصي Google باستخدام تدفق المصادقة القياسي بدلا من مفاتيح واجهة برمجة التطبيقات. ومع ذلك، هناك حالات محدودة تكون فيها مفاتيح واجهة برمجة التطبيقات أكثر ملاءمة. على سبيل المثال، إذا كان هناك تطبيق جوال يحتاج إلى استخدام واجهة برمجة تطبيقات الترجمة السحابية من Google، ولكنه لا يحتاج إلى خادم خلفي، فإن مفاتيح واجهة برمجة التطبيقات هي أبسط طريقة للمصادقة على واجهة برمجة التطبيقات هذه.

بمجرد سرقة المفتاح، لن يكون له انتهاء صلاحية، ما يعني أنه قد يتم استخدامه إلى أجل غير مسمى ما لم يقم مالك المشروع بإبطال المفتاح أو إعادة إنشائه. سيؤدي تدوير مفاتيح واجهة برمجة التطبيقات إلى تقليل نافذة الفرصة لمفتاح وصول مقترن بحساب تم اختراقه أو إنهائه لاستخدامه.

يجب تدوير مفاتيح واجهة برمجة التطبيقات للتأكد من أنه لا يمكن الوصول إلى البيانات باستخدام مفتاح قديم قد يكون فقد أو تشقق أو سرق.

الخطورة: عالية

تأكد من تدوير مفاتيح تشفير KMS خلال فترة 90 يوما

الوصف: تخزن خدمة إدارة مفاتيح Google Cloud مفاتيح التشفير في بنية هرمية مصممة لإدارة التحكم في الوصول المفيدة والأنيقة. يعتمد تنسيق جدول التدوير على مكتبة العميل المستخدمة. بالنسبة إلى أداة سطر الأوامر gcloud، يجب أن يكون وقت الاستدارة التالي بتنسيق "ISO" أو "RFC3339"، ويجب أن تكون فترة الاستدارة في شكل "INTEGER[UNIT]"، حيث يمكن أن تكون الوحدات واحدة من الثوان (s) أو الدقائق (m) أو الساعات (h) أو الأيام (d). تعيين فترة تدوير المفتاح ووقت البدء. يمكن إنشاء مفتاح ب "فترة تدوير" محددة، وهو الوقت بين وقت إنشاء إصدارات المفاتيح الجديدة تلقائيا. يمكن أيضا إنشاء مفتاح مع وقت تدوير محدد في المرة التالية. المفتاح هو كائن مسمى يمثل "مفتاح تشفير" يستخدم لغرض معين. يمكن أن تتغير المادة الرئيسية، وهي البتات الفعلية المستخدمة في "التشفير"، بمرور الوقت مع إنشاء إصدارات مفتاح جديدة. يتم استخدام مفتاح لحماية بعض "مجموعة من البيانات". يمكن تشفير مجموعة من الملفات بنفس المفتاح وسيتمكن الأشخاص الذين لديهم أذونات "فك التشفير" على هذا المفتاح من فك تشفير هذه الملفات. لذلك، من الضروري التأكد من تعيين "فترة الاستدارة" إلى وقت محدد.

الخطورة: متوسط

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتعيينات/تغييرات ملكية المشروع

الوصف: لمنع تعيينات ملكية المشروع غير الضرورية للمستخدمين/حسابات الخدمة والمزيد من إساءة استخدام المشاريع والموارد، يجب مراقبة جميع تعيينات "الأدوار/المالك". الأعضاء (المستخدمون/حسابات الخدمة) الذين لديهم تعيين دور للدور البدائي "الأدوار/المالك" هم مالكو المشاريع. يمتلك مالك المشروع جميع الامتيازات الموجودة في المشروع الذي ينتمي إليه الدور. يتم تلخيصها أدناه:

• كافة أذونات العارض على جميع خدمات GCP داخل المشروع
• أذونات الإجراءات التي تعدل حالة جميع خدمات GCP داخل المشروع
• إدارة الأدوار والأذونات لمشروع وكافة الموارد داخل المشروع
• إعداد الفوترة لمشروع منح دور المالك إلى عضو (المستخدم/حساب الخدمة) سيسمح لهذا العضو بتعديل نهج إدارة الهوية والوصول (IAM). لذلك، امنح دور المالك فقط إذا كان للعضو غرض مشروع لإدارة نهج إدارة الهوية والهوية. وذلك لأن نهج IAM للمشروع يحتوي على بيانات التحكم في الوصول الحساسة. إن وجود مجموعة صغيرة من المستخدمين المسموح لهم بإدارة نهج إدارة الهوية والوصول (IAM) سيبسط أي تدقيق قد يكون ضروريا. تتمتع ملكية المشروع بأعلى مستوى من الامتيازات في المشروع. لتجنب إساءة استخدام موارد المشروع، يجب مراقبة إجراءات تعيين/تغيير ملكية المشروع المذكورة أعلاه وتنبيهها إلى المستلمين المعنيين.
• إرسال دعوات ملكية المشروع
• قبول/رفض دعوة ملكية المشروع من قبل المستخدم
• إضافة role\Owner إلى حساب مستخدم/خدمة
• إزالة حساب مستخدم/خدمة من role\Owner

الخطورة: منخفض

تأكد من تمكين أوسلوجين لمشروع

الوصف: يؤدي تمكين تسجيل الدخول إلى نظام التشغيل إلى ربط شهادات SSH بمستخدمي IAM وتسهيل إدارة شهادات SSH الفعالة. يضمن تمكين osLogin تعيين مفاتيح SSH المستخدمة للاتصال بالمثيلات مع مستخدمي IAM. سيؤدي إبطال الوصول إلى مستخدم IAM إلى إبطال جميع مفاتيح SSH المقترنة بهذا المستخدم المحدد. وهو يسهل إدارة زوج مفاتيح SSH المركزية والآلية، وهو أمر مفيد في التعامل مع الحالات مثل الاستجابة لأزواج مفاتيح SSH المخترقة و/أو إبطال المستخدمين الخارجيين/الخارجيين/الموردين. لمعرفة المثيل الذي يتسبب في أن يكون المشروع غير سليم، راجع التوصية "تأكد من تمكين أوسلو لجميع المثيلات. "

الخطورة: متوسط

تأكد من تمكين أوسلوجين لجميع المثيلات

الوصف: يؤدي تمكين تسجيل الدخول إلى نظام التشغيل إلى ربط شهادات SSH بمستخدمي IAM وتسهيل إدارة شهادات SSH الفعالة. يضمن تمكين osLogin تعيين مفاتيح SSH المستخدمة للاتصال بالمثيلات مع مستخدمي IAM. سيؤدي إبطال الوصول إلى مستخدم IAM إلى إبطال جميع مفاتيح SSH المقترنة بهذا المستخدم المحدد. وهو يسهل إدارة زوج مفاتيح SSH المركزية والآلية، وهو أمر مفيد في التعامل مع الحالات مثل الاستجابة لأزواج مفاتيح SSH المخترقة و/أو إبطال المستخدمين الخارجيين/الخارجيين/الموردين.

الخطورة: متوسط

تأكد من تكوين تسجيل تدقيق السحابة بشكل صحيح عبر جميع الخدمات وجميع المستخدمين من مشروع

الوصف: يوصى بتكوين تسجيل تدقيق السحابة لتعقب جميع أنشطة المسؤول والقراءة والكتابة إلى بيانات المستخدم.

يحتفظ تسجيل تدقيق السحابة بسجلين للتدقيق لكل مشروع ومجلد ومؤسسة: مسؤول النشاط والوصول إلى البيانات.

1. مسؤول تحتوي سجلات النشاط على إدخالات سجل لمكالمات واجهة برمجة التطبيقات أو الإجراءات الإدارية الأخرى التي تعدل تكوين الموارد أو بيانات تعريفها. مسؤول يتم تمكين سجلات تدقيق النشاط لجميع الخدمات ولا يمكن تكوينها.
2. تسجل سجلات تدقيق الوصول إلى البيانات استدعاءات واجهة برمجة التطبيقات التي تنشئ البيانات التي يوفرها المستخدم أو تعدلها أو تقرأها. يتم تعطيل هذه بشكل افتراضي ويجب تمكينها. هناك ثلاثة أنواع من معلومات سجل تدقيق الوصول إلى البيانات:

• مسؤول القراءة: سجلات العمليات التي تقرأ بيانات التعريف أو معلومات التكوين. مسؤول سجلات تدقيق النشاط عمليات كتابة بيانات التعريف ومعلومات التكوين التي لا يمكن تعطيلها.
• قراءة البيانات: سجلات العمليات التي تقرأ البيانات التي يوفرها المستخدم.
• كتابة البيانات: سجلات العمليات التي تكتب البيانات التي يوفرها المستخدم.

يوصى بتكوين تكوين تدقيق افتراضي فعال بطريقة:

1. يتم تعيين logtype إلى DATA_READ (لتسجيل تعقب نشاط المستخدم) DATA_WRITES (لتسجيل التغييرات/العبث ببيانات المستخدم).
2. يتم تمكين تكوين التدقيق لجميع الخدمات التي تدعمها ميزة سجلات تدقيق الوصول إلى البيانات.
3. يجب تسجيل السجلات لجميع المستخدمين، أي أنه لا يوجد مستخدمون معفيون في أي من أقسام تكوين التدقيق. وهذا يضمن أن تجاوز تكوين التدقيق لن يتعارض مع المتطلبات.

الخطورة: متوسط

تأكد من أن مفاتيح تشفير Cloud KMS غير متاحة بشكل مجهول أو عام

الوصف: يوصى بأن يقيد نهج IAM على Cloud KMS "مفاتيح التشفير" الوصول المجهول و/أو العام. يسمح منح أذونات "allUsers" أو "allAuthenticatedUsers" لأي شخص بالوصول إلى مجموعة البيانات. قد لا يكون هذا الوصول مرغوبا فيه إذا تم تخزين البيانات الحساسة في الموقع. في هذه الحالة، تأكد من عدم السماح بالوصول المجهول و/أو العام إلى Cloud KMS "cryptokey".

الخطورة: عالية

تأكد من استخدام بيانات اعتماد تسجيل الدخول إلى الشركة

الوصف: استخدم بيانات اعتماد تسجيل الدخول إلى الشركة بدلا من الحسابات الشخصية، مثل حسابات Gmail. يوصى باستخدام حسابات Google الخاصة بالشركات المدارة بالكامل لزيادة الرؤية والتدقيق والتحكم في الوصول إلى موارد Cloud Platform. لا ينبغي استخدام حسابات Gmail المستندة إلى خارج مؤسسة المستخدم، مثل الحسابات الشخصية، لأغراض العمل.

الخطورة: عالية

تأكد من عدم تعيين مستخدمي IAM لأدوار مستخدم حساب الخدمة أو منشئ الرمز المميز لحساب الخدمة على مستوى المشروع

الوصف: يوصى بتعيين أدوار "مستخدم حساب الخدمة (iam.serviceAccountUser)" و"منشئ رمز حساب الخدمة (iam.serviceAccountTokenCreator)" إلى مستخدم لحساب خدمة معين بدلا من تعيين الدور لمستخدم على مستوى المشروع. حساب الخدمة هو حساب Google خاص ينتمي إلى تطبيق أو جهاز ظاهري (VM)، بدلا من المستخدم النهائي الفردي. يستخدم Application/VM-Instance حساب الخدمة للاتصال بواجهة برمجة تطبيقات Google للخدمة بحيث لا يشارك المستخدمون بشكل مباشر. بالإضافة إلى كونه هوية، فإن حساب الخدمة هو مورد يحتوي على نهج IAM مرفقة به. تحدد هذه النهج من يمكنه استخدام حساب الخدمة. يمكن للمستخدمين الذين لديهم أدوار IAM لتحديث مشغل التطبيق ومثيلات Compute Engine (مثل App Engine Deployer أو Compute Instance مسؤول) تشغيل التعليمات البرمجية بشكل فعال كحسابات الخدمة المستخدمة لتشغيل هذه المثيلات، والوصول بشكل غير مباشر إلى جميع الموارد التي يمكن لحسابات الخدمة الوصول إليها. وبالمثل، قد يوفر وصول SSH إلى مثيل Compute Engine أيضا القدرة على تنفيذ التعليمات البرمجية كحساب المثيل/الخدمة هذا. استنادا إلى احتياجات العمل، قد يكون هناك العديد من حسابات الخدمة المدارة من قبل المستخدم التي تم تكوينها لمشروع. منح أدوار "iam.serviceAccountUser" أو "iam.serviceAserviceAccountTokenCreatorccountUser" لمستخدم لمشروع يمنح المستخدم حق الوصول إلى جميع حسابات الخدمة في المشروع، بما في ذلك حسابات الخدمة التي قد يتم إنشاؤها في المستقبل. يمكن أن يؤدي هذا إلى رفع الامتيازات باستخدام حسابات الخدمة و"مثيلات محرك الحساب" المقابلة. من أجل تنفيذ أفضل الممارسات "الأقل امتيازات"، لا يجب تعيين أدوار "مستخدم حساب الخدمة" أو "منشئ الرمز المميز لحساب الخدمة" على مستوى المشروع. بدلا من ذلك، يجب تعيين هذه الأدوار لمستخدم لحساب خدمة معين، ما يمنح هذا المستخدم حق الوصول إلى حساب الخدمة. يسمح "مستخدم حساب الخدمة" للمستخدم بربط حساب خدمة بخدمة مهمة طويلة الأمد، بينما يسمح دور "منشئ الرمز المميز لحساب الخدمة" للمستخدم بانتحال شخصية (أو تأكيد) هوية حساب الخدمة مباشرة.

الخطورة: متوسط

تأكد من فرض فصل الواجبات أثناء تعيين أدوار KMS ذات الصلة للمستخدمين

الوصف: يوصى بفرض مبدأ "فصل الواجبات" أثناء تعيين أدوار KMS ذات الصلة للمستخدمين. يسمح دور IAM المضمن/المحدد مسبقا "cloud KMS مسؤول" للمستخدم/الهوية بإنشاء حساب (حسابات) الخدمة وحذفها وإدارتها. يسمح دور IAM المضمن/المحدد مسبقا "Cloud KMS CryptoKey Encrypter/Decrypter" للمستخدم/الهوية (مع امتيازات كافية على الموارد المعنية) بتشفير البيانات وفك تشفيرها في وضع السكون باستخدام مفتاح (مفاتيح) تشفير. يسمح دور IAM المضمن/المحدد مسبقا Cloud KMS CryptoKey Encrypter للمستخدم/الهوية (مع امتيازات كافية على الموارد المعنية) بتشفير البيانات الثابتة باستخدام مفتاح (مفاتيح) تشفير. يسمح دور IAM المضمن/المحدد مسبقا "Cloud KMS CryptoKey Decrypter" للمستخدم/الهوية (مع امتيازات كافية على الموارد المعنية) بفك تشفير البيانات الثابتة باستخدام مفتاح (مفاتيح) تشفير. الفصل بين الواجبات هو مفهوم ضمان عدم حصول فرد واحد على جميع الأذونات اللازمة للتمكن من إكمال إجراء ضار. في Cloud KMS، قد يكون هذا إجراء مثل استخدام مفتاح للوصول إلى البيانات وفك تشفيرها التي لا يجب أن يكون للمستخدم حق الوصول إليها عادة. الفصل بين الواجبات هو عنصر تحكم في الأعمال يستخدم عادة في المؤسسات الكبيرة، ويهدف إلى المساعدة في تجنب حوادث وأخطاء الأمان أو الخصوصية. إنها تعتبر أفضل الممارسات. يجب ألا يكون لدى أي مستخدم (مستخدمين) مسؤول Cloud KMS وأي من أدوار "Cloud KMS CryptoKey Encrypter/Decrypter" و"Cloud KMS CryptoKey Encrypter" و"Cloud KMS CryptoKey Decrypter" المعينة في نفس الوقت.

الخطورة: عالية

تأكد من فرض فصل الواجبات أثناء تعيين الأدوار المتعلقة بحساب الخدمة للمستخدمين

الوصف: يوصى بفرض مبدأ "فصل الواجبات" أثناء تعيين أدوار متعلقة بحساب الخدمة للمستخدمين. يسمح دور IAM المضمن/المحدد مسبقا "مسؤول حساب الخدمة" للمستخدم/الهوية بإنشاء حساب (حسابات) الخدمة وحذفها وإدارتها. يسمح دور IAM المضمن/المحدد مسبقا "مستخدم حساب الخدمة" للمستخدم/الهوية (مع امتيازات كافية على Compute وApp Engine) بتعيين حساب (حسابات) الخدمة إلى Apps/Compute Instances. الفصل بين الواجبات هو مفهوم ضمان عدم حصول فرد واحد على جميع الأذونات اللازمة للتمكن من إكمال إجراء ضار. في Cloud IAM - حسابات الخدمة، قد يكون هذا إجراء مثل استخدام حساب خدمة للوصول إلى الموارد التي لا ينبغي أن يكون للمستخدم حق الوصول إليها عادة. الفصل بين الواجبات هو عنصر تحكم في الأعمال يستخدم عادة في المؤسسات الكبيرة، ويهدف إلى المساعدة في تجنب حوادث وأخطاء الأمان أو الخصوصية. إنها تعتبر أفضل الممارسات. يجب ألا يكون لدى أي مستخدم أدوار "حساب الخدمة مسؤول" و"مستخدم حساب الخدمة" المعينة في نفس الوقت.

الخطورة: متوسط

تأكد من عدم وجود امتيازات مسؤول لحساب الخدمة

الوصف: حساب الخدمة هو حساب Google خاص ينتمي إلى تطبيق أو جهاز ظاهري، بدلا من المستخدم النهائي الفردي. يستخدم التطبيق حساب الخدمة للاتصال بواجهة برمجة تطبيقات Google الخاصة بالخدمة بحيث لا يشارك المستخدمون بشكل مباشر. يوصى بعدم استخدام وصول المسؤول ل ServiceAccount. تمثل حسابات الخدمة أمان مستوى الخدمة للموارد (التطبيق أو الجهاز الظاهري) والتي يمكن تحديدها بواسطة الأدوار المعينة لها. تسجيل ServiceAccount مع حقوق مسؤول يمنح الوصول الكامل إلى تطبيق معين أو جهاز ظاهري. يمكن لحامل ServiceAccount Access تنفيذ إجراءات مهمة مثل الحذف وتحديث إعدادات التغيير وما إلى ذلك دون تدخل المستخدم. لهذا السبب، يوصى بأن حسابات الخدمة ليس لها حقوق مسؤول.

الخطورة: متوسط

تأكد من تكوين المتلقيات لجميع إدخالات السجل

الوصف: يوصى بإنشاء متلقي يقوم بتصدير نسخ من جميع إدخالات السجل. يمكن أن يساعد هذا في تجميع السجلات من مشاريع متعددة وتصديرها إلى إدارة معلومات الأمان والأحداث (SIEM). يتم الاحتفاظ بإدخالات السجل في تسجيل Stackdriver. لتجميع السجلات، قم بتصديرها إلى SIEM. للاحتفاظ بها لفترة أطول، يوصى بإعداد متلقي سجل. يتضمن التصدير كتابة عامل تصفية يحدد إدخالات السجل للتصدير، واختيار وجهة في التخزين السحابي أو BigQuery أو Cloud Pub/Sub. يتم الاحتفاظ بعامل التصفية والوجهة في كائن يسمى المتلقي. لضمان تصدير جميع إدخالات السجل إلى المتلقيات، تأكد من عدم وجود عامل تصفية تم تكوينه للمتلقي. يمكن إنشاء المتلقيات في المشاريع والمؤسسات والمجلدات وحسابات الفوترة.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات تكوين التدقيق

الوصف: تكتب خدمات Google Cloud Platform (GCP) إدخالات سجل التدقيق إلى مسؤول النشاط وسجلات الوصول إلى البيانات للمساعدة في الإجابة عن أسئلة " من فعل ماذا وأين ومتى؟" ضمن مشاريع GCP. تتضمن معلومات تسجيل تدقيق السحابة هوية المتصل بواجهة برمجة التطبيقات ووقت استدعاء واجهة برمجة التطبيقات وعنوان IP المصدر لمتصل واجهة برمجة التطبيقات ومعلمات الطلب وعناصر الاستجابة التي تم إرجاعها بواسطة خدمات GCP. يوفر تسجيل تدقيق السحابة سجلا لمكالمات واجهة برمجة تطبيقات GCP لحساب، بما في ذلك استدعاءات واجهة برمجة التطبيقات التي يتم إجراؤها عبر وحدة التحكم وSDKs وأدوات سطر الأوامر وخدمات GCP الأخرى. تمكن مسؤول النشاط وسجلات الوصول إلى البيانات التي ينتجها تسجيل التدقيق السحابي من تحليل الأمان وتعقب تغيير الموارد ومراجعة التوافق. يضمن تكوين عامل التصفية القياسي والتنبيهات لتغييرات تكوين التدقيق الحفاظ على الحالة الموصى بها لتكوين التدقيق بحيث تكون جميع الأنشطة في المشروع قادرة على التدقيق في أي وقت.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات الدور المخصص

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه للتغييرات في أنشطة إنشاء دور إدارة الهوية والوصول (IAM) وحذفها وتحديثها. يوفر Google Cloud IAM أدوارا محددة مسبقا تمنح وصولا دقيقا إلى موارد محددة من Google Cloud Platform وتمنع الوصول غير المرغوب فيه إلى الموارد الأخرى. ومع ذلك، لتلبية الاحتياجات الخاصة بالمؤسسة، يوفر Cloud IAM أيضا القدرة على إنشاء أدوار مخصصة. يمكن لمالكي المشروع ومسؤولي دور المؤسسة مسؤول istrator أو دور IAM مسؤول istrator إنشاء أدوار مخصصة. ستساعد مراقبة أنشطة إنشاء الأدوار وحذفها وتحديثها في تحديد أي دور ذي امتيازات زائدة في المراحل المبكرة.

الخطورة: منخفض

تأكد من تدوير المفاتيح الخارجية/المدارة من قبل المستخدم لحسابات الخدمة كل 90 يوما أو أقل

الوصف: تتكون مفاتيح حساب الخدمة من معرف مفتاح (Private_key_Id) ومفتاح خاص، والتي تستخدم لتوقيع الطلبات البرمجية التي يقدمها المستخدمون لخدمات Google السحابية التي يمكن الوصول إليها لحساب الخدمة المحدد هذا. يوصى بتدوير جميع مفاتيح حساب الخدمة بانتظام. سيؤدي تدوير مفاتيح حساب الخدمة إلى تقليل نافذة الفرصة لمفتاح وصول مقترن بحساب تم اختراقه أو إنهائه لاستخدامه. يجب تدوير مفاتيح حساب الخدمة للتأكد من أنه لا يمكن الوصول إلى البيانات باستخدام مفتاح قديم قد يكون فقد أو تشقق أو سرق. يرتبط كل حساب خدمة بزوج مفاتيح يديره Google Cloud Platform (GCP). يتم استخدامه للمصادقة من خدمة إلى خدمة داخل GCP. تقوم Google بتدوير المفاتيح يوميا. يوفر GCP خيار إنشاء زوج مفاتيح واحد أو أكثر يديره المستخدم (يسمى أيضا أزواج المفاتيح الخارجية) للاستخدام من خارج GCP (على سبيل المثال، للاستخدام مع بيانات الاعتماد الافتراضية للتطبيق). عند إنشاء زوج مفاتيح جديد، يطلب من المستخدم تنزيل المفتاح الخاص (الذي لا تحتفظ به Google).

باستخدام المفاتيح الخارجية، يتحمل المستخدمون مسؤولية الحفاظ على أمان المفتاح الخاص وعمليات الإدارة الأخرى مثل تدوير المفاتيح. يمكن إدارة المفاتيح الخارجية بواسطة واجهة برمجة تطبيقات IAM أو أداة سطر الأوامر gcloud أو صفحة حسابات الخدمة في Google Cloud Platform Console.

يسهل GCP ما يصل إلى 10 مفاتيح حساب خدمة خارجية لكل حساب خدمة لتسهيل تدوير المفاتيح.

الخطورة: متوسط

يجب تعطيل لوحة معلومات ويب GKE

الوصف: تقيم هذه التوصية حقل kubernetesDashboard لخاصية addonsConfig لزوج قيمة المفتاح، "معطل": خطأ.

الخطورة: عالية

يجب تعطيل التخويل القديم على مجموعات GKE

الوصف: تقيم هذه التوصية خاصية legacyAbac لنظام مجموعة لزوج قيمة المفتاح، "ممكن": صحيح.

الخطورة: عالية

يجب عدم تعيين دور Redis IAM على مستوى المؤسسة أو المجلد

الوصف: تقيم هذه التوصية نهج السماح IAM في بيانات تعريف المورد للأدوار المعينة الأساسيات/redis.admin، الأدوار/redis.editor، roles/redis.viewer على مستوى المؤسسة أو المجلد.

الخطورة: عالية

يجب أن تكون حسابات الخدمة مقيدة بالوصول إلى المشروع في نظام مجموعة

الوصف: تقيم هذه التوصية خاصية التكوين لتجمع عقدة للتحقق مما إذا لم يتم تحديد أي حساب خدمة أو إذا تم استخدام حساب الخدمة الافتراضي.

الخطورة: عالية

يجب أن يكون لدى المستخدمين أقل وصول امتياز مع أدوار IAM دقيقة

الوصف: تقيم هذه التوصية نهج IAM في بيانات تعريف المورد لأي أدوار/مالك أو أدوار/كاتب أو أدوار/قارئ أدوار معينة.

الخطورة: عالية

يجب إزالة الهويات الفائقة في بيئة GCP الخاصة بك

الوصف: الهوية الفائقة لديها مجموعة قوية من الأذونات. المسؤولون الفائقون هم هويات بشرية أو هويات حمل العمل التي لديها حق الوصول إلى جميع الأذونات وجميع الموارد. يمكنهم إنشاء إعدادات التكوين وتعديلها إلى خدمة، وإضافة هويات أو إزالتها، والوصول إلى البيانات أو حتى حذفها. تركت دون مراقبة، تمثل هذه الهويات خطرا كبيرا من إساءة استخدام الإذن إذا تم اختراقها.

الخطورة: عالية

يجب إزالة الهويات غير المستخدمة في بيئة GCP

الوصف: من الضروري تحديد الهويات غير المستخدمة لأنها تشكل مخاطر أمنية كبيرة. غالبا ما تتضمن هذه الهويات ممارسات سيئة، مثل الأذونات المفرطة والمفاتيح المدارة بشكل خاطئ والتي تترك المؤسسات مفتوحة لإساءة استخدام بيانات الاعتماد أو الاستغلال وتزيد من سطح هجوم المورد الخاص بك. الهويات غير النشطة هي كيانات بشرية وغير بشرية لم تقم بأي إجراء على أي مورد في آخر 90 يوما. يمكن أن تصبح مفاتيح حساب الخدمة خطرا أمنيا إذا لم تتم إدارتها بعناية.

الخطورة: متوسط

يجب أن يكون للهويات الزائدة عن GCP الأذونات الضرورية فقط

الوصف: الهوية النشطة التي تم توفيرها بشكل مفرط هي هوية لديها حق الوصول إلى الامتيازات التي لم تستخدمها. يمكن للهويات النشطة ذات التوفير الزائد، خاصة بالنسبة للحسابات غير البشرية التي لها إجراءات ومسؤوليات محددة جدا، زيادة نصف قطر الانفجار في حالة تعرض المستخدم أو المفتاح أو المورد للخطر ينص مبدأ الامتياز الأقل على أنه يجب أن يكون للمورد حق الوصول فقط إلى الموارد الدقيقة التي يحتاجها من أجل العمل. تم تطوير هذا المبدأ لمعالجة مخاطر الهويات المخترقة التي تمنح المهاجم حق الوصول إلى مجموعة واسعة من الموارد.

الخطورة: متوسط

توصيات شبكة GCP

يجب تكوين مضيفي نظام المجموعة لاستخدام عناوين IP الخاصة والداخلية فقط للوصول إلى واجهات برمجة تطبيقات Google

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية PrivateIpGoogleAccess الخاصة بشبكة فرعية معينة إلى false.

الخطورة: عالية

يجب أن تستخدم مثيلات الحساب موازن تحميل تم تكوينه لاستخدام وكيل HTTPS الهدف

الوصف: تقيم هذه التوصية ما إذا كانت خاصية selfLink لموردHttpProxy الهدف تطابق السمة الهدف في قاعدة إعادة التوجيه، وإذا كانت قاعدة إعادة التوجيه تحتوي على حقل loadBalancingScheme معين إلى خارجي.

الخطورة: متوسط

يجب تمكين الشبكات المعتمدة لمستوى التحكم على مجموعات GKE

الوصف: تقيم هذه التوصية الخاصية MasterAuthorizedNetworksConfig لنظام مجموعة لزوج قيمة المفتاح، 'enabled': false.

الخطورة: عالية

يجب تعيين قاعدة رفض الخروج على جدار حماية لمنع حركة المرور الصادرة غير المرغوب فيها

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية destinationRanges في جدار الحماية معينة إلى 0.0.0.0/0 وتحتوي الخاصية مرفوضة على زوج قيم المفاتيح، 'IPProtocol': 'الكل'.

الخطورة: منخفض

تأكد من أن قواعد جدار الحماية للمثيلات الموجودة خلف الوكيل المدرك للهوية (IAP) تسمح فقط بنسبة استخدام الشبكة من Google Cloud Loadbalancer (GCLB) التحقق من الصحة وعناوين الوكيل

الوصف: يجب تقييد الوصول إلى الأجهزة الظاهرية بواسطة قواعد جدار الحماية التي تسمح فقط بحركة مرور IAP عن طريق ضمان السماح بالاتصالات التي يدعمها IAP فقط. للتأكد من أن موازنة التحميل تعمل بشكل صحيح، يجب أيضا السماح بالفحوصات الصحية. يضمن IAP التحكم في الوصول إلى الأجهزة الظاهرية من خلال مصادقة الطلبات الواردة. ومع ذلك إذا كان الجهاز الظاهري لا يزال يمكن الوصول إليه من عناوين IP بخلاف IAP، فقد لا يزال من الممكن إرسال طلبات غير مصادق عليها إلى المثيل. يجب توخي الحذر لضمان عدم حظر عمليات التحقق من صحة loadblancer لأن هذا من شأنه أن يمنع موازن التحميل من معرفة صحة الجهاز الظاهري بشكل صحيح وموازنة التحميل بشكل صحيح.

الخطورة: متوسط

تأكد من عدم وجود شبكات قديمة لمشروع

الوصف: لمنع استخدام الشبكات القديمة، لا ينبغي أن يكون للمشروع شبكة قديمة مكونة. تحتوي الشبكات القديمة على نطاق بادئة IPv4 شبكة واحدة وعنوان IP لبوابة واحدة للشبكة بأكملها. الشبكة عمومية في النطاق وتمتد عبر جميع مناطق السحابة. لا يمكن إنشاء الشبكات الفرعية في شبكة قديمة ولا يمكن التبديل من شبكات فرعية قديمة إلى شبكات فرعية تلقائية أو مخصصة. يمكن أن يكون للشبكات القديمة تأثير على مشاريع نسبة استخدام الشبكة العالية وتخضع لنقطة واحدة من الخلاف أو الفشل.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة بيانات "log_hostname" لمثيل Cloud SQL PostgreSQL بشكل مناسب

الوصف: يسجل PostgreSQL عنوان IP للمضيفين المتصلين فقط. تتحكم علامة "log_hostname" في تسجيل "أسماء المضيفين" بالإضافة إلى عناوين IP المسجلة. تعتمد نتيجة الأداء على تكوين البيئة وإعداد تحليل اسم المضيف. يمكن تعيين هذه المعلمة فقط في ملف "postgresql.conf" أو على سطر أوامر الخادم. يمكن أن تتكبد أسماء مضيفي التسجيل حملا على أداء الخادم كما هو الحال مع كل عبارة مسجلة، وستكون دقة DNS مطلوبة لتحويل عنوان IP إلى اسم المضيف. اعتمادا على الإعداد، قد يكون هذا غير مهم. بالإضافة إلى ذلك، يمكن حل عناوين IP التي تم تسجيلها إلى أسماء DNS الخاصة بهم لاحقا عند مراجعة السجلات باستثناء الحالات التي يتم فيها استخدام أسماء المضيفين الديناميكية. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: منخفض

تأكد من عدم السماح لموازنات تحميل وكيل HTTPS أو SSL بنهج SSL مع مجموعات تشفير ضعيفة

الوصف: تحدد نهج طبقة مآخذ التوصيل الآمنة (SSL) ميزات أمان طبقة النقل (TLS) التي يسمح للعملاء باستخدامها عند الاتصال بموازنات التحميل. لمنع استخدام الميزات غير الآمنة، يجب أن تستخدم نهج SSL (أ) TLS 1.2 على الأقل مع ملف التعريف MODERN؛ أو (ب) ملف التعريف المقيد، لأنه يتطلب بشكل فعال من العملاء استخدام TLS 1.2 بغض النظر عن الحد الأدنى من إصدار TLS المختار؛ أو (3) ملف تعريف مخصص لا يدعم أي من الميزات التالية: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

يتم استخدام موازنات التحميل لتوزيع نسبة استخدام الشبكة بكفاءة عبر خوادم متعددة. كل من وكيل SSL وموازنات تحميل HTTPS هي موازنات تحميل خارجية، ما يعني أنها توزع نسبة استخدام الشبكة من الإنترنت إلى شبكة GCP. يمكن لعملاء GCP تكوين نهج SSL لموازن التحميل مع الحد الأدنى من إصدار TLS (1.0 أو 1.1 أو 1.2) الذي يمكن للعملاء استخدامه لإنشاء اتصال، جنبا إلى جنب مع ملف تعريف (متوافق أو حديث أو مقيد أو مخصص) يحدد مجموعات التشفير المسموح بها. للامتثال للمستخدمين الذين يستخدمون بروتوكولات قديمة، يمكن تكوين موازنات تحميل GCP للسماح بأجنحة التشفير غير الآمنة. في الواقع، يستخدم نهج SSL الافتراضي GCP الحد الأدنى من إصدار TLS من 1.0 وملف تعريف متوافق، والذي يسمح بأوسع مجموعة من مجموعات التشفير غير الآمنة. ونتيجة لذلك، من السهل على العملاء تكوين موازن تحميل دون حتى معرفة أنهم يسمحون بأجنحة التشفير القديمة.

الخطورة: متوسط

تأكد من تمكين تسجيل DNS السحابي لجميع شبكات VPC

الوصف: يسجل تسجيل DNS السحابي الاستعلامات من خوادم الأسماء داخل VPC إلى Stackdriver. يمكن أن تأتي الاستعلامات المسجلة من أجهزة Compute Engine الظاهرية أو حاويات GKE أو موارد GCP الأخرى المتوفرة داخل VPC. لا يمكن أن تعتمد مراقبة الأمان والأدلة الجنائية فقط على عناوين IP من سجلات تدفق VPC، خاصة عند النظر في استخدام IP الديناميكي لموارد السحابة وتوجيه مضيف HTTP الظاهري والتقنيات الأخرى التي يمكن أن تحجب اسم DNS المستخدم من قبل العميل من عنوان IP. توفر مراقبة سجلات DNS السحابية رؤية لأسماء DNS التي يطلبها العملاء داخل VPC. يمكن مراقبة هذه السجلات لأسماء المجالات الشاذة، وتقييمها مقابل التحليل الذكي للمخاطر، والملاحظة: للحصول على التقاط كامل ل DNS، يجب أن يمنع جدار الحماية خروج UDP/53 (DNS) وTCP/443 (DNS عبر HTTPS) لمنع العميل من استخدام خادم اسم DNS الخارجي للتحليل.

الخطورة: عالية

تأكد من تمكين DNSSEC ل DNS السحابي

الوصف: نظام أسماء المجالات السحابية (DNS) هو نظام أسماء مجال سريع وموثوق وفعال من حيث التكلفة يشغل ملايين المجالات على الإنترنت. تتيح ملحقات أمان نظام أسماء المجالات (DNSSEC) في Cloud DNS لمالكي المجالات اتخاذ خطوات سهلة لحماية مجالاتهم من اختطاف DNS والهجمات التي تحدث في الوسط والهجمات الأخرى. تضيف ملحقات أمان نظام أسماء المجالات (DNSSEC) الأمان إلى بروتوكول DNS عن طريق تمكين التحقق من صحة استجابات DNS. يعد وجود DNS جدير بالثقة يترجم اسم مجال مثل www.example.com إلى عنوان IP المرتبط به كتلة بناء مهمة بشكل متزايد للتطبيقات المستندة إلى الويب اليوم. يمكن للمهاجمين اختطاف عملية البحث عن المجال/IP هذه وإعادة توجيه المستخدمين إلى موقع ضار من خلال اختطاف DNS وهجمات الدخيل. يساعد DNSSEC في التخفيف من مخاطر مثل هذه الهجمات من خلال توقيع سجلات DNS بشكل مشفر. ونتيجة لذلك، فإنه يمنع المهاجمين من إصدار استجابات DNS وهمية قد تخطئ في توجيه المتصفحات إلى مواقع الويب الشائنة.

الخطورة: متوسط

تأكد من تقييد وصول RDP من الإنترنت

الوصف: قواعد جدار حماية GCP خاصة بشبكة VPC. تسمح كل قاعدة بحركة المرور أو ترفضها عند استيفاء شروطها. تسمح شروطه للمستخدمين بتحديد نوع حركة المرور، مثل المنافذ والبروتوكولات، ومصدر أو وجهة حركة المرور، بما في ذلك عناوين IP والشبكات الفرعية والمثيلات. يتم تعريف قواعد جدار الحماية على مستوى شبكة VPC وهي خاصة بالشبكة التي يتم تعريفها فيها. لا يمكن مشاركة القواعد نفسها بين الشبكات. تدعم قواعد جدار الحماية حركة مرور IPv4 فقط. عند تحديد مصدر لقاعدة دخول أو وجهة لقاعدة خروج حسب العنوان، يمكن استخدام عنوان IPv4 أو كتلة IPv4 في رمز CIDR. يمكن تجنب نسبة استخدام الشبكة العامة (0.0.0.0/0) الواردة من الإنترنت إلى مثيل VPC أو VM باستخدام RDP على المنفذ 3389. قواعد جدار حماية GCP داخل شبكة VPC. تنطبق هذه القواعد على نسبة استخدام الشبكة الصادرة (الخروج) من المثيلات وحركة المرور الواردة (الدخول) إلى المثيلات في الشبكة. يتم التحكم في تدفقات حركة الخروج والدخول حتى إذا بقيت نسبة استخدام الشبكة داخل الشبكة (على سبيل المثال، الاتصال من مثيل إلى مثيل). لكي يكون لمثيل الوصول إلى الإنترنت الصادر، يجب أن يكون للشبكة مسار بوابة إنترنت صالح أو مسار مخصص يتم تحديد عنوان IP الوجهة الخاص به. يحدد هذا المسار ببساطة المسار إلى الإنترنت، لتجنب نطاق IP الأكثر عمومية (0.0.0.0/0) المحدد من الإنترنت من خلال RDP مع المنفذ الافتراضي 3389. يجب تقييد الوصول العام من الإنترنت إلى نطاق IP محدد.

الخطورة: عالية

تأكد من عدم استخدام RSASHA1 لمفتاح توقيع المفتاح في Cloud DNS DNSSEC

الوصف: قد يتم استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. قد تستخدم أرقام خوارزميات ملحقات أمان نظام أسماء المجالات (DNSSEC) في هذا السجل في CERT RRs. تستخدم آليات تعيين المناطق (DNSSEC) وآليات أمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. عند تمكين DNSSEC لمنطقة مدارة، أو إنشاء منطقة مدارة باستخدام DNSSEC، يمكن للمستخدم تحديد خوارزميات توقيع DNSSEC ونوع رفض الوجود. تغيير إعدادات DNSSEC فعال فقط لمنطقة مدارة إذا لم يتم تمكين DNSSEC بالفعل. إذا كانت هناك حاجة لتغيير إعدادات منطقة مدارة حيث تم تمكينها، فقم بإيقاف تشغيل DNSSEC ثم أعد تمكينه بإعدادات مختلفة.

الخطورة: متوسط

تأكد من عدم استخدام RSASHA1 لمفتاح توقيع المنطقة في Cloud DNS DNSSEC

الوصف: قد يتم استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات توقيع المنطقة (DNSSEC) وأمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. يمكن استخدام أرقام خوارزمية DNSSEC في هذا السجل في CERT RRs. تستخدم آليات تعيين المناطق (DNSSEC) وآليات أمان المعاملات (SIG(0) وTSIG) مجموعات فرعية معينة من هذه الخوارزميات. يجب أن تكون الخوارزمية المستخدمة لتوقيع المفتاح واحدة موصى بها ويجب أن تكون قوية. عند تمكين DNSSEC لمنطقة مدارة، أو إنشاء منطقة مدارة باستخدام DNSSEC، يمكن تحديد خوارزميات توقيع DNSSEC ونوع رفض الوجود. تغيير إعدادات DNSSEC فعال فقط لمنطقة مدارة إذا لم يتم تمكين DNSSEC بالفعل. إذا كانت هناك حاجة لتغيير إعدادات منطقة مدارة حيث تم تمكينها، فقم بإيقاف تشغيل DNSSEC ثم أعد تمكينه بإعدادات مختلفة.

الخطورة: متوسط

تأكد من تقييد وصول SSH من الإنترنت

الوصف: قواعد جدار حماية GCP خاصة بشبكة VPC. تسمح كل قاعدة بحركة المرور أو ترفضها عند استيفاء شروطها. تسمح شروطه للمستخدم بتحديد نوع حركة المرور، مثل المنافذ والبروتوكولات، ومصدر أو وجهة حركة المرور، بما في ذلك عناوين IP والشبكات الفرعية والمثيلات. يتم تعريف قواعد جدار الحماية على مستوى شبكة VPC وهي خاصة بالشبكة التي يتم تعريفها فيها. لا يمكن مشاركة القواعد نفسها بين الشبكات. تدعم قواعد جدار الحماية حركة مرور IPv4 فقط. عند تحديد مصدر لقاعدة دخول أو وجهة لقاعدة خروج حسب العنوان، يمكن استخدام عنوان IPv4 أو كتلة IPv4 فقط في رمز CIDR. يمكن تجنب نسبة استخدام الشبكة العامة (0.0.0.0/0) الواردة من الإنترنت إلى VPC أو مثيل الجهاز الظاهري باستخدام SSH على المنفذ 22. تنطبق قواعد جدار حماية GCP داخل شبكة VPC على نسبة استخدام الشبكة الصادرة (الخروج) من المثيلات وحركة المرور الواردة (الدخول) إلى المثيلات في الشبكة. يتم التحكم في تدفقات حركة الخروج والدخول حتى إذا بقيت نسبة استخدام الشبكة داخل الشبكة (على سبيل المثال، الاتصال من مثيل إلى مثيل). لكي يكون لمثيل الوصول إلى الإنترنت الصادر، يجب أن يكون للشبكة مسار بوابة إنترنت صالح أو مسار مخصص يتم تحديد عنوان IP الوجهة الخاص به. يحدد هذا المسار ببساطة المسار إلى الإنترنت، لتجنب نطاق IP الأكثر عمومية (0.0.0.0/0) المحدد من الإنترنت عبر SSH مع المنفذ الافتراضي '22'. يجب تقييد الوصول العام من الإنترنت إلى نطاق IP محدد.

الخطورة: عالية

تأكد من عدم وجود الشبكة الافتراضية في مشروع

الوصف: لمنع استخدام الشبكة "الافتراضية"، يجب ألا يحتوي المشروع على شبكة "افتراضية". تحتوي الشبكة الافتراضية على تكوين شبكة تم تكوينه مسبقا وتنشئ تلقائيا قواعد جدار الحماية غير الآمنة التالية:

• default-allow-internal: يسمح باتصالات الدخول لجميع البروتوكولات والمنافذ بين المثيلات في الشبكة.
• default-allow-ssh: يسمح باتصالات الدخول على منفذ TCP 22 (SSH) من أي مصدر إلى أي مثيل في الشبكة.
• default-allow-rdp: يسمح باتصالات الدخول على منفذ TCP 3389 (RDP) من أي مصدر إلى أي مثيل في الشبكة.
• default-allow-icmp: يسمح بدخول حركة مرور ICMP من أي مصدر إلى أي مثيل في الشبكة.

لا يتم تسجيل التدقيق في قواعد جدار الحماية التي تم إنشاؤها تلقائيا ولا يمكن تكوينها لتمكين تسجيل قاعدة جدار الحماية. علاوة على ذلك، الشبكة الافتراضية هي شبكة وضع تلقائي، ما يعني أن شبكاتها الفرعية تستخدم نفس النطاق المحدد مسبقا من عناوين IP، ونتيجة لذلك، لا يمكن استخدام Cloud VPN أو VPC Network Peering مع الشبكة الافتراضية. استنادا إلى متطلبات أمان المؤسسة والشبكات، يجب على المؤسسة إنشاء شبكة جديدة وحذف الشبكة الافتراضية.

الخطورة: متوسط

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات شبكة السحابة الخاصة الظاهرية (VPC). من الممكن أن يكون لديك أكثر من VPC واحد داخل المشروع. بالإضافة إلى ذلك، من الممكن أيضا إنشاء اتصال نظير بين اثنين من VPCs لتمكين حركة مرور الشبكة من التوجيه بين VPCs. ستساعد مراقبة التغييرات في VPC على ضمان عدم تأثر تدفق حركة مرور VPC.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات قاعدة جدار حماية شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات قاعدة جدار حماية الشبكة للسحابة الخاصة الظاهرية (VPC). المراقبة لإنشاء أو تحديث أحداث قاعدة جدار الحماية يعطي نظرة ثاقبة لتغييرات الوصول إلى الشبكة وقد يقلل من الوقت المستغرق للكشف عن النشاط المشبوه.

الخطورة: منخفض

تأكد من وجود عامل تصفية قياس السجل والتنبيهات لتغييرات مسار شبكة VPC

الوصف: يوصى بإنشاء عامل تصفية متري ومنبه لتغييرات مسار شبكة السحابة الخاصة الظاهرية (VPC). تحدد مسارات Google Cloud Platform (GCP) المسارات التي تأخذها نسبة استخدام الشبكة من مثيل الجهاز الظاهري إلى وجهة أخرى. يمكن أن تكون الوجهة الأخرى داخل شبكة VPC للمؤسسة (مثل جهاز ظاهري آخر) أو خارجها. يتكون كل مسار من وجهة ووثبة تالية. يتم إرسال نسبة استخدام الشبكة التي يقع عنوان IP الوجهة الخاص بها ضمن نطاق الوجهة إلى الوثبة التالية للتسليم. ستساعد مراقبة التغييرات على جداول التوجيه على ضمان تدفق جميع نسبة استخدام الشبكة VPC عبر مسار متوقع.

الخطورة: منخفض

تأكد من تعيين علامة قاعدة بيانات "log_connections" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: يؤدي تمكين إعداد log_connections إلى تسجيل كل محاولة اتصال بالخادم، بالإضافة إلى إكمال مصادقة العميل بنجاح. لا يمكن تغيير هذه المعلمة بعد بدء جلسة العمل. لا يقوم PostgreSQL بتسجيل الاتصالات التي تمت محاولة تنفيذها بشكل افتراضي. سيؤدي تمكين إعداد log_connections إلى إنشاء إدخالات السجل لكل محاولة اتصال بالإضافة إلى إكمال مصادقة العميل بنجاح، والتي يمكن أن تكون مفيدة في استكشاف المشكلات وإصلاحها وتحديد أي محاولات اتصال غير عادية بالخادم. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: متوسط

تأكد من تعيين علامة قاعدة البيانات "log_disconnections" لمثيل Cloud SQL PostgreSQL إلى "تشغيل"

الوصف: يؤدي تمكين إعداد log_disconnections إلى تسجيل نهاية كل جلسة عمل، بما في ذلك مدة الجلسة. لا يقوم PostgreSQL بتسجيل تفاصيل جلسة العمل مثل المدة ونهاية الجلسة بشكل افتراضي. سيؤدي تمكين إعداد log_disconnections إلى إنشاء إدخالات السجل في نهاية كل جلسة عمل، والتي يمكن أن تكون مفيدة في استكشاف الأخطاء وإصلاحها وتحديد أي نشاط غير عادي عبر فترة زمنية. log_disconnections والعمل log_connections جنبا إلى جنب وبشكل عام، سيتم تمكين /تعطيل الزوج معا. تنطبق هذه التوصية على مثيلات قاعدة بيانات PostgreSQL.

الخطورة: متوسط

تأكد من تمكين سجلات تدفق VPC لكل شبكة فرعية في شبكة VPC

الوصف: سجلات التدفق هي ميزة تمكن المستخدمين من التقاط معلومات حول حركة مرور IP التي تنتقل من وإلى واجهات الشبكة في الشبكات الفرعية VPC للمؤسسة. بمجرد إنشاء سجل تدفق، يمكن للمستخدم عرض بياناته واستردادها في تسجيل Stackdriver. يوصى بتمكين سجلات التدفق لكل شبكة VPC فرعية مهمة للأعمال. توفر شبكات VPC والشبكات الفرعية أقسام شبكة معزولة وآمنة منطقيا حيث يمكن تشغيل موارد GCP. عند تمكين سجلات التدفق لشبكة فرعية، تبدأ الأجهزة الظاهرية داخل تلك الشبكة الفرعية في الإبلاغ عن جميع تدفقات بروتوكول التحكم في الإرسال (TCP) وبروتوكول مخطط بيانات المستخدم (UDP). يقوم كل جهاز ظاهري بأخذ عينات من تدفقات TCP وUDP التي يراها، الواردة والصادرة، سواء كان التدفق من أو إلى جهاز ظاهري آخر، أو مضيف في مركز البيانات المحلي، أو خدمة Google، أو مضيف على الإنترنت. إذا كان جهازان ظاهريان ل GCP يتصلان، وكلاهما في شبكات فرعية تم تمكين سجلات تدفق VPC بها، فإن كلا الجهازين الظاهريين يبلغان عن التدفقات. تدعم سجلات التدفق حالات الاستخدام التالية: 1. مراقبة الشبكة. 2. فهم استخدام الشبكة وتحسين نفقات حركة مرور الشبكة. 3. الأدلة الجنائية للشبكة. 4. توفر سجلات تدفق تحليل الأمان في الوقت الحقيقي رؤية لنسبة استخدام الشبكة لكل جهاز ظاهري داخل الشبكة الفرعية ويمكن استخدامها للكشف عن نسبة استخدام الشبكة الشاذة أو الرؤى أثناء مهام سير عمل الأمان.

الخطورة: منخفض

يجب تمكين تسجيل قاعدة جدار الحماية

الوصف/ تعليمات: تقيم هذه التوصية خاصية logConfig في بيانات تعريف جدار الحماية لمعرفة ما إذا كانت فارغة أو تحتوي على زوج قيمة المفتاح "تمكين": خطأ.

الخطورة: متوسط

يجب عدم تكوين جدار الحماية ليكون مفتوحا للوصول العام

الوصف: تقيم هذه التوصية المصدرRanges والخصائص المسموح بها لأحد التكوينين:

تحتوي الخاصية sourceRanges على 0.0.0.0/0 وتحتوي الخاصية المسموح بها على مجموعة من القواعد التي تتضمن أي بروتوكول أو بروتوكول:منفذ، باستثناء ما يلي: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22

تحتوي الخاصية sourceRanges على مجموعة من نطاقات IP التي تتضمن أي عنوان IP غيرprivate وتحتوي الخاصية المسموح بها على مجموعة من القواعد التي تسمح إما بجميع منافذ tcp أو جميع منافذ udp.

الخطورة: عالية

يجب عدم تكوين جدار الحماية ليكون له منفذ CASSANDRA مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:7000-7001 و7199 و8888 و9042 و9160 و61620-61621.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ CISCOSECURE_WEBSM مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكول والمنفذ التاليين: TCP:9090.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ DIRECTORY_SERVICES مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:445 وUDP:445.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ DNS مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:53 وUDP:53.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ ELASTICSEARCH مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:9200، 9300.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ FTP مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكول والمنفذ التاليين: TCP:21.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ HTTP مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:80.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ LDAP مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:389 و636 وUDP:389.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ MEMCACHED مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:11211 و11214-11215 وUDP:11211 و11214-11215.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ MONGODB مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:27017-27019.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ MYSQL مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكول والمنفذ التاليين: TCP:3306.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون منفذ NE ТБ IOS مفتوحا يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:137-139 وUDP:137-139.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ ORACLEDB مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:1521 و2483-2484 وUDP:2483-2484.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ POP3 مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكول والمنفذ التاليين: TCP:110.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ PostgreSQL مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية الخاصية المسموح بها في بيانات تعريف جدار الحماية للبروتوكولات والمنافذ التالية: TCP:5432 وUDP:5432.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ REDIS مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية المسموح بها في بيانات تعريف جدار الحماية تحتوي على البروتوكول والمنفذ التاليين: TCP:6379.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ SMTP مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية المسموح بها في بيانات تعريف جدار الحماية تحتوي على البروتوكول والمنفذ التاليين: TCP:25.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ SSH مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية المسموح بها في بيانات تعريف جدار الحماية تحتوي على البروتوكولات والمنافذ التالية: TCP:22 وSCTP:22.

الخطورة: منخفض

يجب عدم تكوين جدار الحماية ليكون له منفذ TELNET مفتوح يسمح بالوصول العام

الوصف: تقيم هذه التوصية ما إذا كانت الخاصية المسموح بها في بيانات تعريف جدار الحماية تحتوي على البروتوكول والمنفذ التاليين: TCP:23.

الخطورة: منخفض

يجب تمكين نطاقات IP المستعارة لمجموعات GKE

الوصف: تقيم هذه التوصية ما إذا كان يتم تعيين حقل useIPAliases الخاص ب ipAllocationPolicy في نظام مجموعة إلى false.

الخطورة: منخفض

يجب أن يكون لدى مجموعات GKE مجموعات خاصة ممكنة

الوصف: تقيم هذه التوصية ما إذا كان حقل enablePrivateNodes الخاص بخاصية privateClusterConfig معينا على false.

الخطورة: عالية

يجب تمكين نهج الشبكة على مجموعات GKE

الوصف/ تعليمات: تقيم هذه التوصية حقل networkPolicy لخاصية addonsConfig لزوج قيمة المفتاح، 'disabled': true.

الخطورة: متوسط

المحتوى ذو الصلة

• توصيل مشروعات GCP الخاصة بك بخدمة Microsoft Defender for Cloud
• ما هي السياسات والمبادرات والتوصيات الأمنية؟
• مراجعة توصيات الأمان لديك