Doporučení zabezpečení pro prostředky Google Cloud Platform (GCP)

Tento článek uvádí všechna doporučení, která se můžou zobrazit v programu Microsoft Defender for Cloud, pokud připojíte účet GCP (Google Cloud Platform) pomocí stránky Nastavení prostředí. Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Vaše bezpečnostní skóre vychází z počtu doporučení zabezpečení, která jste dokončili. Pokud se chcete rozhodnout, která doporučení se mají nejprve vyřešit, podívejte se na závažnost každého doporučení a její potenciální vliv na bezpečnostní skóre.

Doporučení pro GCP Compute

Virtuální počítače výpočetního stroje by měly používat operační systém optimalizovaný pro kontejnery.

Popis: Toto doporučení vyhodnotí vlastnost konfigurace fondu uzlů pro dvojici klíč-hodnota imageType: COS.

Závažnost: Nízká

Problémy s konfigurací EDR by se měly vyřešit na virtuálních počítačích GCP.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR).
Poznámka: V současné době se toto doporučení vztahuje pouze na prostředky s povoleným řešením MDE (Microsoft Defender for Endpoint).

Závažnost: Vysoká

Řešení EDR by mělo být nainstalované na virtuálních počítačích GCP

Popis: Pokud chcete chránit virtuální počítače, nainstalujte řešení detekce koncových bodů a reakce (EDR). EDR pomáhají předcházet pokročilým hrozbám, zjišťovat je, zkoumat je a reagovat na ně. K nasazení programu Microsoft Defender for Endpoint použijte Microsoft Defender for Servers. Pokud je prostředek klasifikován jako "Není v pořádku", nemá nainstalované podporované řešení EDR [Odkaz Place Holder – Další informace]. Pokud máte nainstalované řešení EDR, které není v tomto doporučení zjistitelné, můžete ho vyloučit.

Závažnost: Vysoká

Ujistěte se, že je pro instance virtuálních počítačů povolené blokování klíčů SSH pro celý projekt.

Popis: Pro přístup k instancím se doporučuje místo použití běžných nebo sdílených klíčů SSH pro přístup k instancím použít konkrétní klíče SSH pro konkrétní instance. Klíče SSH pro celý projekt jsou uložené ve výpočetních prostředcích nebo meta-datech projektu. Pomocí klíčů SSH pro celý projekt se můžete přihlásit ke všem instancím v rámci projektu. Použití klíčů SSH pro celý projekt usnadňuje správu klíčů SSH, ale v případě ohrožení zabezpečení představuje bezpečnostní riziko, které může ovlivnit všechny instance v rámci projektu. Doporučuje se použít klíče SSH specifické pro instanci, které můžou omezit prostor pro útoky, pokud dojde k ohrožení zabezpečení klíčů SSH.

Závažnost: Střední

Ujistěte se, že jsou spuštěné výpočetní instance s povoleným chráněným virtuálním počítačem.

Popis: Pokud chcete bránit před pokročilými hrozbami a zajistit, aby spouštěcí zavaděč a firmware na virtuálních počítačích byly podepsané a neotěžované, doporučuje se spustit výpočetní instance s povoleným stíněným virtuálním počítačem. Chráněné virtuální počítače jsou virtuální počítače na platformě Google Cloud Platform posílené sadou kontrolních mechanismů zabezpečení, které pomáhají bránit před rootkity a bootkity. Stíněný virtuální počítač nabízí ověřitelnou integritu instancí virtuálních počítačů výpočetního modulu, takže můžete mít jistotu, že vaše instance nebyly ohroženy malwarem nebo rootkity na úrovni jádra nebo jejich spuštěním. Ověřitelná integrita chráněného virtuálního počítače se dosahuje pomocí zabezpečeného spouštění, modulu virtuální důvěryhodné platformy (vTPM) s podporou měřeného spouštění a monitorování integrity. Chráněné instance virtuálních počítačů spouštějí firmware, který je podepsaný a ověřený pomocí certifikační autority Společnosti Google, a zajišťuje, že firmware instance nenímodifikovaný a vytvoří kořen důvěryhodnosti zabezpečeného spouštění. Monitorování integrity pomáhá pochopit a rozhodovat se o stavu instancí virtuálních počítačů a stíněném virtuálním počítači vTPM umožňuje měřené spouštění provedením měření potřebných k vytvoření známého dobrého směrného plánu spouštění, označovaného jako směrný plán zásad integrity. Směrný plán zásad integrity se používá k porovnání s měřeními z následných spuštění virtuálních počítačů, abyste zjistili, jestli se něco změnilo. Zabezpečené spouštění pomáhá zajistit, aby systém spouštěl pouze autentický software tím, že ověří digitální podpis všech spouštěcích komponent a zastaví proces spouštění, pokud se ověření podpisu nezdaří.

Závažnost: Vysoká

Ujistěte se, že pro instanci virtuálního počítače není povolená možnost Povolit připojení k sériovým portům.

Popis: Interakce se sériovým portem se často označuje jako sériová konzola, která se podobá použití okna terminálu, v daném vstupu a výstupu je zcela v textovém režimu a není k dispozici žádné grafické rozhraní ani podpora myši. Pokud povolíte interaktivní sériovou konzolu v instanci, klienti se mohou pokusit připojit k této instanci z jakékoli IP adresy. Proto by měla být zakázána podpora interaktivní sériové konzoly. Instance virtuálního počítače má čtyři virtuální sériové porty. Interakce se sériovým portem se podobá použití okna terminálu, v daném vstupu a výstupu je zcela v textovém režimu a není k dispozici žádné grafické rozhraní ani podpora myši. Operační systém instance, SYSTÉM BIOS a další entity na úrovni systému často zapisují výstup do sériových portů a mohou přijímat vstupy, jako jsou příkazy nebo odpovědi na výzvy. Tyto entity na úrovni systému obvykle používají první sériový port (port 1) a sériový port 1 se často označuje jako sériová konzola. Interaktivní sériová konzola nepodporuje omezení přístupu na základě PROTOKOLU IP, jako jsou seznamy povolených IP adres. Pokud povolíte interaktivní sériovou konzolu v instanci, klienti se mohou pokusit připojit k této instanci z jakékoli IP adresy. To umožňuje každému připojit se k této instanci, pokud zná správný klíč SSH, uživatelské jméno, ID projektu, zónu a název instance. Proto by měla být zakázána podpora interaktivní sériové konzoly.

Závažnost: Střední

Ujistěte se, že příznak databáze log_duration pro instanci Cloud SQL PostgreSQL je nastavený na zapnuto.

Popis: Povolení nastavení log_hostname způsobí, že se protokoluje doba trvání každého dokončeného příkazu. Tento příkaz nezaprotokoluje text dotazu, a proto se chová jinak než příznak log_min_duration_statement. Tento parametr nelze po spuštění relace změnit. Monitorování doby potřebné ke spuštění dotazů může být zásadní při identifikaci jakýchkoli dotazů, které zabíhaly prostředky, a vyhodnocení výkonu serveru. Další kroky, jako je vyrovnávání zatížení a použití optimalizovaných dotazů, je možné provést k zajištění výkonu a stability serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_executor_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Exekutor PostgreSQL zodpovídá za provedení plánu předávané plánovačem PostgreSQL. Exekutor zpracuje plán rekurzivně za účelem extrakce požadované sady řádků. Příznak "log_executor_stats" řídí zahrnutí statistik výkonu exekutoru PostgreSQL do protokolů PostgreSQL pro každý dotaz. Příznak "log_executor_stats" umožňuje metodu hrubé profilace pro protokolování statistik výkonu exekutoru PostgreSQL, která může být užitečná pro řešení potíží, může výrazně zvýšit množství protokolů a mít režii na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že příznak databáze log_min_error_statement pro instanci Cloud SQL PostgreSQL je nastavený na Chyba nebo přísnější.

Popis: Příznak "log_min_error_statement" definuje minimální úroveň závažnosti zprávy, která se považuje za příkaz chyby. Zprávy pro chybové příkazy jsou protokolovány pomocí příkazu SQL. Mezi platné hodnoty patří DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL a PANIC. Každá úroveň závažnosti zahrnuje následující úrovně uvedené výše. Ujistěte se, že je nastavená hodnota ERROR nebo přísnější. Auditování pomáhá při řešení provozních problémů a umožňuje také forenzní analýzu. Pokud není hodnota log_min_error_statement nastavená na správnou hodnotu, zprávy se nemusí správně klasifikovat jako chybové zprávy. Zvažování obecných zpráv protokolu, protože chybové zprávy by mohly být obtížné najít skutečné chyby a zvážit pouze přísnější úrovně závažnosti, protože chybové zprávy můžou přeskočit skutečné chyby k protokolování jejich příkazů SQL. Příznak "log_min_error_statement" by měl být nastaven na hodnotu ERROR nebo přísnější. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_parser_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Plánovač/optimalizátor PostgreSQL zodpovídá za parsování a ověření syntaxe každého dotazu přijatého serverem. Pokud je syntaxe správná, vytvoří se "strom analýzy", jinak se vygeneruje chyba. Příznak "log_parser_stats" řídí zahrnutí statistik výkonu analyzátoru do protokolů PostgreSQL pro každý dotaz. Příznak "log_parser_stats" umožňuje hrubou metodu profilace pro statistiky výkonu analyzátoru protokolování, která může být užitečná pro řešení potíží, může výrazně zvýšit množství protokolů a mít režii na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_planner_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Stejný dotaz SQL lze spustit několika způsoby a přesto vytvořit různé výsledky. Plánovač/optimalizátor PostgreSQL zodpovídá za vytvoření optimálního plánu provádění pro každý dotaz. Příznak "log_planner_stats" řídí zahrnutí statistik výkonu Plánovače PostgreSQL do protokolů PostgreSQL pro každý dotaz. Příznak "log_planner_stats" umožňuje metodu hrubé profilace pro protokolování statistik výkonu Plánovače PostgreSQL, která může být užitečná pro řešení potíží, může výrazně zvýšit množství protokolů a mít režijní náklady na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_statement_stats pro instanci Cloud SQL PostgreSQL nastavený na vypnuto.

Popis: Příznak "log_statement_stats" řídí zahrnutí koncové statistiky výkonu dotazu SQL v protokolech PostgreSQL pro každý dotaz. To nejde povolit pomocí jiných statistik modulu (log_parser_stats, log_planner_stats, log_executor_stats). Příznak "log_statement_stats" umožňuje hrubou metodu profilace pro protokolování koncové až koncové statistiky výkonu dotazu SQL. To může být užitečné pro řešení potíží, ale může výrazně zvýšit množství protokolů a mít režijní náklady na výkon. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že výpočetní instance nemají veřejné IP adresy.

Popis: Výpočetní instance by neměly být nakonfigurované tak, aby měly externí IP adresy. Aby se snížil prostor pro útoky, výpočetní instance by neměly mít veřejné IP adresy. Místo toho by měly být instance nakonfigurované za nástroji pro vyrovnávání zatížení, aby se minimalizovala expozice instance internetu. Instance vytvořené GKE by měly být vyloučeny, protože některé z nich mají externí IP adresy a není možné je změnit úpravou nastavení instance. Tyto virtuální počítače mají názvy začínající gke a jsou označené jako goog-gke-node.

Závažnost: Vysoká

Ujistěte se, že instance nejsou nakonfigurované tak, aby používaly výchozí účet služby.

Popis: Doporučujeme nakonfigurovat instanci tak, aby nepoužíla výchozí účet služby Výpočetní modul, protože má v projektu roli Editor. Výchozí účet služby Výpočetní modul má v projektu roli Editor, která umožňuje přístup pro čtení a zápis do většiny služeb Google Cloud Services. Pokud chcete bránit před eskalací oprávnění, pokud je váš virtuální počítač napadený a zabránit útočníkovi v získání přístupu ke všemu vašemu projektu, doporučuje se nepoužívat výchozí účet služby Výpočetní modul. Místo toho byste měli vytvořit nový účet služby a přiřadit pouze oprávnění potřebná vaší instancí. Výchozí účet služby Výpočetní modul má název [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Virtuální počítače vytvořené GKE by měly být vyloučeny. Tyto virtuální počítače mají názvy začínající gke a jsou označené jako goog-gke-node.

Závažnost: Vysoká

Ujistěte se, že instance nejsou nakonfigurované tak, aby používaly výchozí účet služby s úplným přístupem ke všem cloudovým rozhraním API.

Popis: Pro podporu principu nejnižších oprávnění a zabránění potenciální eskalaci oprávnění se doporučuje, aby instance nejsou přiřazené k výchozímu účtu služby "Výchozí účet služby Výpočetní modul" s oborem "Povolit úplný přístup ke všem cloudovým rozhraním API". Kromě možnosti vytvářet, spravovat a používat účty vlastních služeb spravovaných uživatelem poskytuje Google Compute Engine výchozí účet služby "Výchozí účet výpočetního modulu" pro instanci pro přístup k nezbytným cloudovým službám. Role Editor projektu je přiřazená k výchozímu účtu služby Výpočetní modul, takže tento účet služby má téměř všechny funkce ve všech cloudových službách s výjimkou fakturace. Pokud je ale k instanci přiřazený výchozí účet služby Výpočetní modul, může fungovat ve třech oborech.

1. Povolit výchozí přístup: Povolí pouze minimální přístup potřebný ke spuštění instance (nejnižší oprávnění).
2. Povolit úplný přístup ke všem cloudovým rozhraním API: Povolte úplný přístup ke všem cloudovým rozhraním API/službám (příliš velký přístup).
3. Nastavit přístup pro každé rozhraní API: Umožňuje správci instance zvolit pouze ta rozhraní API, která jsou potřebná k provádění konkrétních obchodních funkcí očekávaných instancí v případě, že je instance nakonfigurovaná pomocí výchozího účtu služby Výpočetní modul s oborem Povolit úplný přístup ke všem cloudovým rozhraním API na základě rolí IAM přiřazených k instanci přistupující k instanci, může uživateli umožnit provádět cloudové operace nebo volání rozhraní API, které by nemělo vést k úspěšné eskalaci oprávnění. Virtuální počítače vytvořené GKE by měly být vyloučeny. Tyto virtuální počítače mají názvy začínající na "gke-" a mají označení "goog-gke-node".

Závažnost: Střední

Ujistěte se, že u instancí není povolené předávání IP.

Popis: Instance výpočetního modulu nemůže předávat paket, pokud zdrojová IP adresa paketu neodpovídá IP adrese instance. Podobně GCP nedoručí paket, jehož cílová IP adresa se liší od IP adresy instance, která paket přijímá. Obě možnosti jsou však potřeba, pokud chcete použít instance k usnadnění směrování paketů. Předávání datových paketů by mělo být zakázáno, aby se zabránilo ztrátě dat nebo zpřístupnění informací. Instance výpočetního modulu nemůže předávat paket, pokud zdrojová IP adresa paketu neodpovídá IP adrese instance. Podobně GCP nedoručí paket, jehož cílová IP adresa se liší od IP adresy instance, která paket přijímá. Obě možnosti jsou však potřeba, pokud chcete použít instance k usnadnění směrování paketů. Pokud chcete povolit tuto kontrolu zdrojové a cílové IP adresy, zakažte pole canIpForward, které instanci umožňuje odesílat a přijímat pakety s nedosažením cíle nebo zdrojovými IP adresami.

Závažnost: Střední

Ujistěte se, že je příznak databáze log_checkpoints pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Ujistěte se, že je příznak log_checkpoints databáze pro instanci Cloud SQL PostgreSQL nastavený na zapnutou. Povolení log_checkpoints způsobí, že se do protokolu serveru zaprotokolují kontrolní body a body restartování. Některé statistiky jsou zahrnuty do zpráv protokolu, včetně počtu zapsaných vyrovnávacích pamětí a času stráveného jejich zápisem. Tento parametr lze nastavit pouze v souboru postgresql.conf nebo na příkazovém řádku serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_lock_waits pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení příznaku "log_lock_waits" pro instanci PostgreSQL vytvoří protokol pro všechny relace čekání, které trvá déle, než je přidělený čas "deadlock_timeout" získat zámek. Časový limit zablokování definuje dobu čekání na zámek před kontrolou jakýchkoli podmínek. Častým překročením časového limitu zablokování může být označení základního problému. Protokolování takových čekání na zámky povolením příznaku log_lock_waits lze použít k identifikaci nízkého výkonu z důvodu zpoždění uzamčení nebo v případě, že se speciálně vytvořený SQL pokouší o hladovění prostředků prostřednictvím blokování zámků po nadměrnou dobu. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_min_duration_statement pro instanci Cloud SQL PostgreSQL nastavený na -1.

Popis: Příznak "log_min_duration_statement" definuje minimální dobu provádění příkazu v milisekundách, kde je zaznamenána celková doba trvání příkazu. Ujistěte se log_min_duration_statement, že je hodnota -1 zakázaná, tzn. že je nastavená hodnota -1. Protokolování příkazů SQL může zahrnovat citlivé informace, které by se neměly zaznamenávat v protokolech. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je správně nastavený příznak databáze log_min_messages pro instanci Cloud SQL PostgreSQL.

Popis: Příznak "log_min_error_statement" definuje minimální úroveň závažnosti zprávy, která je považována za chybovou zprávu. Zprávy pro chybové příkazy jsou protokolovány pomocí příkazu SQL. Mezi platné hodnoty patří DEBUG5, DEBUG4, DEBUG3, DEBUG2, DEBUG1, INFO, NOTICE, WARNING, ERROR, LOG, FATAL a PANIC. Každá úroveň závažnosti zahrnuje následující úrovně uvedené výše. Poznámka: Chcete-li efektivně vypnout příkazy selhání protokolování, nastavte tento parametr na PANIC. CHYBA se považuje za nastavení osvědčených postupů. Změny by měly být provedeny pouze v souladu se zásadami protokolování organizace. Auditování pomáhá při řešení provozních problémů a umožňuje také forenzní analýzu. Pokud není hodnota log_min_error_statement nastavená na správnou hodnotu, zprávy se nemusí správně klasifikovat jako chybové zprávy. Vzhledem k tomu, že obecné zprávy protokolu jako chybové zprávy by bylo obtížné najít skutečné chyby, zatímco zvažování pouze přísnějších úrovní závažnosti, protože chybové zprávy můžou přeskočit skutečné chyby k protokolování jejich příkazů SQL. Příznak "log_min_error_statement" by měl být nastavený v souladu se zásadami protokolování organizace. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_temp_files pro instanci Cloud SQL PostgreSQL nastavený na hodnotu 0.

Popis: PostgreSQL může vytvořit dočasný soubor pro akce, jako je řazení, hashování a dočasné výsledky dotazů, pokud tyto operace překročí "work_mem". Příznak "log_temp_files" řídí názvy protokolování a velikost souboru při odstranění. Konfigurace "log_temp_files" na hodnotu 0 způsobí, že se zaprotokolují všechny dočasné informace o souborech, zatímco kladné hodnoty protokolují pouze soubory, jejichž velikost je větší nebo rovna zadanému počtu kilobajtů. Hodnota -1 zakáže protokolování informací o dočasném souboru. Pokud se všechny dočasné soubory nezaprotokolují, může být obtížnější identifikovat potenciální problémy s výkonem, které můžou být způsobené špatným kódováním aplikace nebo úmyslnými pokusy o hladovění prostředků.

Závažnost: Nízká

Ujistěte se, že jsou disky virtuálních počítačů pro důležité virtuální počítače šifrované pomocí šifrovacího klíče dodaného zákazníkem.

Popis: Šifrovací klíče zadané zákazníkem (CSEK) jsou funkce v google cloudovém úložišti a výpočetním stroji Google. Pokud zadáte vlastní šifrovací klíče, Google ho použije k ochraně klíčů generovaných Googlem, které slouží k šifrování a dešifrování dat. Google Compute Engine ve výchozím nastavení šifruje všechna neaktivní uložená data. Výpočetní modul zpracovává a spravuje toto šifrování za vás bez jakýchkoli dalších akcí na vaší straně. Pokud ale chcete toto šifrování řídit a spravovat sami, můžete zadat vlastní šifrovací klíče. Google Compute Engine ve výchozím nastavení šifruje všechna neaktivní uložená data. Výpočetní modul zpracovává a spravuje toto šifrování za vás bez jakýchkoli dalších akcí na vaší straně. Pokud ale chcete toto šifrování řídit a spravovat sami, můžete zadat vlastní šifrovací klíče. Pokud zadáte vlastní šifrovací klíče, výpočetní modul použije váš klíč k ochraně klíčů generovaných Googlem, které slouží k šifrování a dešifrování vašich dat. Prostředky chráněné šifrovacím klíčem zadaným zákazníkem můžou používat jenom uživatelé, kteří můžou poskytnout správný klíč. Google vaše klíče neukládá na svých serverech a nemá přístup k chráněným datům, pokud ho nezadáte. To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem. Minimálně důležité obchodní virtuální počítače by měly mít disky virtuálních počítačů šifrované pomocí CSEK.

Závažnost: Střední

Projekty GCP by měly mít povolené automatické zřizování Azure Arc

Popis: Pro zajištění úplné viditelnosti obsahu zabezpečení z programu Microsoft Defender pro servery by měly být instance virtuálních počítačů GCP připojené ke službě Azure Arc. Pokud chcete zajistit, aby všechny oprávněné instance virtuálních počítačů automaticky přijímaly Azure Arc, povolte automatické zřizování z defenderu pro cloud na úrovni projektu GCP. Přečtěte si další informace o Službě Azure Arc a Programu Microsoft Defender for Servers.

Závažnost: Vysoká

Instance virtuálních počítačů GCP by měly být připojené ke službě Azure Arc.

Popis: Připojení virtuálních počítačů GCP do služby Azure Arc, abyste měli úplný přehled o obsahu zabezpečení v programu Microsoft Defender for Servers. Přečtěte si další informace o službě Azure Arc a o programu Microsoft Defender for Servers v hybridním cloudovém prostředí.

Závažnost: Vysoká

Instance virtuálních počítačů GCP by měly mít nainstalovaného agenta konfigurace operačního systému.

Popis: Pokud chcete získat úplné funkce Defenderu pro servery pomocí automatického zřizování Azure Arc, měly by mít virtuální počítače GCP povoleného agenta konfigurace operačního systému.

Závažnost: Vysoká

Funkce automatické opravy clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, key: autoRepair, value: true.

Závažnost: Střední

Funkce automatického upgradu clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, klíč: autoUpgrade, value: true.

Závažnost: Vysoká

Monitorování clusterů GKE by mělo být povolené.

Popis: Toto doporučení vyhodnotí, jestli vlastnost monitoringService clusteru obsahuje umístění Monitorování cloudu k zápisu metrik.

Závažnost: Střední

Doporučení ke kontejnerům GCP

[Preview] Vyřešené zjištěných ohrožení zabezpečení imagí kontejnerů v registru GCP

Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

[Preview] Kontejnery spuštěné v GCP by měly mít vyřešená zjištění ohrožení zabezpečení

Popis: Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá použitým imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

U konektorů GCP by se měla povolit pokročilá konfigurace defenderu pro kontejnery.

Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Abyste měli jistotu, že je řešení správně zřízené a máte k dispozici úplnou sadu funkcí, povolte všechna pokročilá nastavení konfigurace.

Závažnost: Vysoká

Clustery GKE by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.

Popis: Rozšíření clusteru v programu Microsoft Defender poskytuje možnosti zabezpečení pro vaše clustery GKE. Rozšíření shromažďuje data z clusteru a jeho uzlů za účelem identifikace ohrožení zabezpečení a hrozeb. Rozšíření funguje s Kubernetes s podporou Azure Arc. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.

Závažnost: Vysoká

Clustery GKE by měly mít nainstalované rozšíření Azure Policy.

Popis: Rozšíření Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. Rozšíření funguje s Kubernetes s podporou Azure Arc.

Závažnost: Vysoká

V konektorech GCP by měl být povolený Microsoft Defender for Containers.

Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Povolte v konektoru GCP plány kontejnerů, abyste mohli posílit zabezpečení clusterů Kubernetes a napravit problémy se zabezpečením. Přečtěte si další informace o programu Microsoft Defender for Containers.

Závažnost: Vysoká

Funkce automatické opravy clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, key: autoRepair, value: true.

Závažnost: Střední

Funkce automatického upgradu clusteru GKE by měla být povolená.

Popis: Toto doporučení vyhodnotí vlastnost správy fondu uzlů pro dvojici klíč-hodnota, klíč: autoUpgrade, value: true.

Závažnost: Vysoká

Monitorování clusterů GKE by mělo být povolené.

Popis: Toto doporučení vyhodnotí, jestli vlastnost monitoringService clusteru obsahuje umístění Monitorování cloudu k zápisu metrik.

Závažnost: Střední

Protokolování clusterů GKE by mělo být povolené.

Popis: Toto doporučení vyhodnocuje, jestli vlastnost loggingService clusteru obsahuje umístění Cloudové protokolování, které by mělo použít k zápisu protokolů.

Závažnost: Vysoká

Webový řídicí panel GKE by měl být zakázaný.

Popis: Toto doporučení vyhodnocuje pole KubernetesDashboard vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: false.

Závažnost: Vysoká

V clusterech GKE by se měla zakázat starší verze autorizace.

Popis: Toto doporučení vyhodnotí starší vlastnost Abac clusteru pro dvojici klíč-hodnota, povoleno: true.

Závažnost: Vysoká

V clusterech GKE by měly být povolené autorizované sítě řídicí roviny.

Popis: Toto doporučení vyhodnotí vlastnost masterAuthorizedNetworksConfig clusteru pro dvojici klíč-hodnota s povolenou hodnotou: false.

Závažnost: Vysoká

Clustery GKE by měly mít povolené rozsahy IP adres aliasů.

Popis: Toto doporučení vyhodnotí, jestli je pole useIPAliases ipAllocationPolicy v clusteru nastaveno na false.

Závažnost: Nízká

Clustery GKE by měly mít povolené privátní clustery.

Popis: Toto doporučení vyhodnotí, zda je pole enablePrivateNodes vlastnosti privateClusterConfig nastaveno na false.

Závažnost: Vysoká

V clusterech GKE by se měly povolit zásady sítě.

Popis: Toto doporučení vyhodnotí pole networkPolicy vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: true.

Závažnost: Střední

Doporučení roviny dat

Po povolení služby Azure Policy pro Kubernetes se podporují všechna doporučení zabezpečení roviny dat Kubernetes pro GCP.

Doporučení GCP Data

Ujistěte se, že je příznak databáze 3625 (příznak trasování) pro instanci cloudového SQL Serveru nastavený na vypnuto.

Popis: Doporučuje se nastavit příznak databáze 3625 (příznak trasování) pro cloudovou instanci SQL Serveru na vypnuto. Příznaky trasování se často používají k diagnostice problémů s výkonem nebo k ladění uložených procedur nebo složitých počítačových systémů, ale můžou je také doporučit podpora Microsoftu k řešení chování, které má negativní dopad na konkrétní úlohu. Všechny zdokumentované příznaky trasování a příznaky doporučené podpora Microsoftu jsou plně podporovány v produkčním prostředí, pokud se používají podle pokynů. "3625(trasovací protokol)" Omezuje množství informací vrácených uživatelům, kteří nejsou členy pevné role serveru správce systému, maskováním parametrů některých chybových zpráv pomocí funkce "******". To může pomoct zabránit zpřístupnění citlivých informací. Proto se doporučuje tento příznak zakázat. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Střední

Ujistěte se, že je příznak databáze s povolenou externími skripty pro instanci Cloudového SQL Serveru SQL Server vypnutý.

Popis: Doporučuje se nastavit příznak databáze s povolenou externími skripty pro cloudovou instanci SQL Serveru na vypnutou. "Povolené externí skripty" umožňují spouštění skriptů s určitými rozšířeními vzdáleného jazyka. Tato vlastnost je ve výchozím nastavení vypnutá. Pokud je nainstalována služba Advanced Analytics Services, může nastavení volitelně nastavit tuto vlastnost na hodnotu true. Protože funkce "Externí skripty povoleny" umožňuje spouštění skriptů externích pro SQL, jako jsou soubory umístěné v knihovně jazyka R, které by mohly nepříznivě ovlivnit zabezpečení systému, proto by to mělo být zakázáno. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Vysoká

Ujistěte se, že je příznak databáze vzdáleného přístupu pro instanci cloudového SQL Serveru SQL Server vypnutý.

Popis: Doporučuje se nastavit příznak databáze vzdáleného přístupu pro instanci Cloudového SQL Serveru na vypnuto. Možnost "vzdálený přístup" řídí spouštění uložených procedur z místních nebo vzdálených serverů, na kterých jsou spuštěné instance SQL Serveru. Tato výchozí hodnota pro tuto možnost je 1. To uděluje oprávnění ke spouštění místních uložených procedur ze vzdálených serverů nebo vzdálených uložených procedur z místního serveru. Chcete-li zabránit spouštění místních uložených procedur ze vzdáleného serveru nebo vzdálených uložených procedur na místním serveru, musí být zakázány. Možnost Vzdáleného přístupu řídí spouštění místních uložených procedur na vzdálených serverech nebo vzdálených uložených procedurách na místním serveru. Funkce vzdáleného přístupu může být zneužita ke spuštění útoku DoS (Denial-of-Service) na vzdálené servery tím, že se zpracování dotazů do cíle nenačítá, proto by mělo být zakázané. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Vysoká

Ujistěte se, že příznak databáze skip_show_database pro instanci Cloud SQL Mysql je nastavený na zapnuto.

Popis: Doporučuje se nastavit příznak databáze "skip_show_database" pro instanci Cloud SQL Mysql na zapnuto. Příznak databáze skip_show_database brání uživatelům v používání příkazu SHOW DATABASES, pokud nemají oprávnění SHOW DATABASES. To může zlepšit zabezpečení, pokud máte obavy o uživatele, kteří vidí databáze patřící jiným uživatelům. Jeho účinek závisí na oprávnění SHOW DATABASES: Pokud je hodnota proměnné zapnutá, příkaz SHOW DATABASES je povolen pouze uživatelům s oprávněním SHOW DATABASES a příkaz zobrazí všechny názvy databází. Pokud je tato hodnota vypnutá, funkce SHOW DATABASES je povolena všem uživatelům, ale zobrazí názvy pouze těch databází, pro které má uživatel oprávnění ZOBRAZIT DATABÁZE nebo jiné oprávnění. Toto doporučení platí pro instance databáze Mysql.

Závažnost: Nízká

Ujistěte se, že pro všechny sady dat BigQuery je zadaný výchozí šifrovací klíč spravovaný zákazníkem (CMEK).

Popis: BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. Data se šifrují pomocí šifrovacích klíčů dat a samotné šifrovací klíče dat se dále šifrují pomocí šifrovacích klíčů klíčů. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pokud ale chcete mít větší kontrolu, můžete šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pro větší kontrolu nad šifrováním je možné šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. Nastavení výchozího šifrovacího klíče spravovaného zákazníkem (CMEK) pro sadu dat zajistí, aby všechny tabulky vytvořené v budoucnu používaly zadaný klíč CMEK, pokud není k dispozici žádný jiný. Poznámka: Google neukládá klíče na svých serverech a nemá přístup k chráněným datům, pokud klíč nezadáte. To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem.

Závažnost: Střední

Ujistěte se, že všechny tabulky BigQuery jsou šifrované pomocí šifrovacího klíče spravovaného zákazníkem (CMEK).

Popis: BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. Data se šifrují pomocí šifrovacích klíčů dat a samotné šifrovací klíče dat se dále šifrují pomocí šifrovacích klíčů klíčů. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pokud ale chcete mít větší kontrolu, můžete šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro sady dat BigQuery. Pokud se použije KLÍČ CMEK, použije se k šifrování šifrovacích klíčů dat místo použití šifrovacích klíčů spravovaných googlem. BigQuery ve výchozím nastavení šifruje data jako zbytek pomocí šifrování obálky pomocí kryptografických klíčů spravovaných Googlem. To je bezproblémové a nevyžaduje žádné další vstupy od uživatele. Pro větší kontrolu nad šifrováním je možné šifrovací klíče spravované zákazníkem (CMEK) použít jako řešení správy šifrovacích klíčů pro tabulky BigQuery. Klíč CMEK slouží k šifrování šifrovacích klíčů dat místo použití šifrovacích klíčů spravovaných googlem. BigQuery ukládá přidružení tabulky a CMEK a šifrování/dešifrování se provádí automaticky. Použití výchozích klíčů spravovaných zákazníkem v datových sadách BigQuery zajišťuje, že všechny nové tabulky vytvořené v budoucnu budou zašifrovány pomocí CMEK, ale stávající tabulky je potřeba aktualizovat tak, aby používaly CMEK jednotlivě. Poznámka: Google neukládá klíče na svých serverech a nemá přístup k chráněným datům, pokud klíč nezadáte. To také znamená, že pokud zapomenete nebo ztratíte svůj klíč, neexistuje způsob, jak google klíč obnovit nebo obnovit všechna data zašifrovaná ztraceným klíčem.

Závažnost: Střední

Ujistěte se, že datové sady BigQuery nejsou anonymně nebo veřejně přístupné.

Popis: Doporučuje se, aby zásady IAM u datových sad BigQuery nepovolily anonymní nebo veřejný přístup. Udělení oprávnění všem uživatelům nebo allAuthenticatedUsers umožňuje každému přístup k datové sadě. Takový přístup nemusí být žádoucí, pokud jsou citlivá data uložená v datové sadě. Proto se ujistěte, že anonymní nebo veřejný přístup k datové sadě není povolený.

Závažnost: Vysoká

Ujistěte se, že jsou instance cloudové databáze SQL nakonfigurované s automatizovanými zálohami.

Popis: Doporučuje se nastavit všechny instance databáze SQL tak, aby umožňovaly automatizované zálohování. Zálohy poskytují způsob obnovení cloudové instance SQL za účelem obnovení ztracených dat nebo obnovení z problému s danou instancí. Automatizované zálohy je potřeba nastavit pro všechny instance, které obsahují data, která by měla být chráněna před ztrátou nebo poškozením. Toto doporučení platí pro instance SQL Serveru, PostgreSql, MySql generace 1 a MySql generace 2.

Závažnost: Vysoká

Ujistěte se, že cloudové instance databáze SQL nejsou otevřené pro svět.

Popis: Databázový server by měl přijímat připojení pouze z důvěryhodných sítí nebo IP adres a omezit přístup ze světa. Pokud chcete minimalizovat prostor pro útoky na instanci databázového serveru, musí být pro připojení k ní schváleny pouze důvěryhodné/známé a požadované IP adresy. Autorizovaná síť by neměla mít IP adresy nebo sítě nakonfigurované na 0.0.0.0/0, což umožní přístup k instanci odkudkoli na světě. Upozorňujeme, že autorizované sítě se vztahují pouze na instance s veřejnými IP adresami.

Závažnost: Vysoká

Ujistěte se, že instance cloudové databáze SQL nemají veřejné IP adresy.

Popis: Doporučujeme nakonfigurovat instanci SQL druhé generace tak, aby místo veřejných IP adres používala privátní IP adresy. Aby se snížil prostor pro útoky organizace, cloudové databáze SQL by neměly mít veřejné IP adresy. Privátní IP adresy poskytují lepší zabezpečení sítě a nižší latenci vaší aplikace.

Závažnost: Vysoká

Ujistěte se, že kontejner cloudového úložiště není anonymně nebo veřejně přístupný.

Popis: Doporučuje se, aby zásady IAM v kontejneru cloudového úložiště nepo povolily anonymní nebo veřejný přístup. Povolení anonymního nebo veřejného přístupu uděluje oprávnění každému, kdo má přístup k obsahu kontejneru. Takový přístup nemusí být žádoucí, pokud ukládáte citlivá data. Proto se ujistěte, že anonymní nebo veřejný přístup k kbelíku není povolený.

Závažnost: Vysoká

Ujistěte se, že kontejnery cloudového úložiště mají povolený jednotný přístup na úrovni kbelíku.

Popis: V kontejnerech cloudového úložiště se doporučuje povolit jednotný přístup na úrovni kbelíku. Ke sjednocení a zjednodušení přístupu k prostředkům cloudového úložiště se doporučuje použít jednotný přístup na úrovni kbelíku. Cloud Storage nabízí dva systémy pro udělení oprávnění uživatelům pro přístup k vašim kontejnerům a objektům: CloudOvá správa identit a přístupu (Cloud IAM) a seznamy řízení přístupu (ACL).
Tyto systémy fungují paralelně – aby uživatel mohl přistupovat k prostředku cloudového úložiště, musí mu udělit oprávnění jenom jeden ze systémů. Cloud IAM se používá v celém Google Cloudu a umožňuje udělit celou řadu oprávnění na úrovni kontejneru a projektu. Seznamy ACL používají jenom cloudová úložiště a mají omezené možnosti oprávnění, ale umožňují udělit oprávnění pro jednotlivé objekty.

Aby bylo možné podporovat systém jednotného oprávnění, má cloudové úložiště jednotný přístup na úrovni kbelíku. Pomocí této funkce zakážete seznamy ACL pro všechny prostředky cloudového úložiště: přístup k prostředkům cloudového úložiště se pak uděluje výhradně prostřednictvím Cloud IAM. Povolení jednotného přístupu na úrovni kbelíku zaručuje, že pokud kontejner úložiště není veřejně přístupný, není v kontejneru veřejně přístupný žádný objekt.

Závažnost: Střední

Ujistěte se, že výpočetní instance mají povolené důvěrné výpočetní operace.

Popis: Google Cloud šifruje neaktivní uložená data a přenášená data, ale zákaznická data musí být dešifrována ke zpracování. Důvěrné výpočetní prostředí je převratná technologie, která šifruje data při jejich zpracování. Důvěrná výpočetní prostředí udržují data zašifrovaná v paměti a jinde mimo jednotku centrálního zpracování (CPU). Důvěrné virtuální počítače využívají funkci SEV (Secure Encrypted Virtualization) procesorů AMD EPYC. Zákaznická data zůstanou zašifrovaná, když se používají, indexují, dotazují nebo natrénují. Šifrovací klíče se generují v hardwaru, na virtuálním počítači a nedají se exportovat. Díky integrovaným optimalizacím hardwaru jak výkonu, tak zabezpečení, neexistuje žádné významné snížení výkonu pro úlohy důvěrného computingu. Důvěrné výpočetní prostředí umožňuje citlivému kódu zákazníků a dalším datům zašifrovaným v paměti během zpracování. Google nemá přístup k šifrovacím klíčům. Důvěrný virtuální počítač může zmírnit obavy týkající se rizik souvisejících se závislostí na infrastruktuře Google nebo přístupu účastníků programu Google insider k zákaznickým datům v jasné podobě.

Závažnost: Vysoká

Ujistěte se, že zásady uchovávání informací v kontejnerech protokolů jsou nakonfigurované pomocí bucket Locku.

Popis: Povolení zásad uchovávání informací v kontejnerech protokolů chrání protokoly uložené v kontejnerech cloudového úložiště před přepsáním nebo neúmyslným odstraněním. Doporučujeme nastavit zásady uchovávání informací a nakonfigurovat Bucket Lock pro všechny kontejnery úložiště, které se používají jako jímky protokolů. Protokoly je možné exportovat vytvořením jedné nebo více jímek, které obsahují filtr protokolu a cíl. Vzhledem k tomu, že protokolování StackDriveru přijímá nové položky protokolu, porovnává se s jednotlivými jímky. Pokud položka protokolu odpovídá filtru jímky, zapíše se do cíle kopie položky protokolu. Jímky je možné nakonfigurovat tak, aby exportovaly protokoly do kontejnerů úložiště. Doporučujeme nakonfigurovat zásady uchovávání dat pro tyto kontejnery cloudového úložiště a uzamknout zásady uchovávání dat; trvale brání tomu, aby byla zásada snížena nebo odebrána. To znamená, že pokud by útočník nebo zlými úmysly, kteří chtějí pokrýt stopy systému, protokoly aktivit se určitě zachovají pro forenzní a bezpečnostní šetření.

Závažnost: Nízká

Ujistěte se, že cloudová instance databáze SQL vyžaduje, aby všechna příchozí připojení používala protokol SSL.

Popis: Doporučujeme vynutit všechna příchozí připojení k instanci databáze SQL, aby používala protokol SSL. Připojení k databázi SQL, pokud byla úspěšně zachycena (MITM); může odhalit citlivá data, jako jsou přihlašovací údaje, databázové dotazy, výstupy dotazů atd. Pro zabezpečení se doporučuje při připojování k instanci vždy používat šifrování SSL. Toto doporučení platí pro instance Postgresql, MySql generation 1 a MySql generation 2.

Závažnost: Vysoká

Ujistěte se, že je příznak databáze s omezením ověřování databáze pro Cloud SQL v instanci SQL Serveru nastavený na vypnuto.

Popis: Doporučuje se nastavit příznak databáze s omezením ověřování databáze pro Cloud SQL v instanci SQL SERVERU na hodnotu Vypnuto. Obsažená databáze obsahuje všechna nastavení databáze a metadata potřebná k definování databáze a nemá žádné závislosti konfigurace na instanci databázového stroje, kde je databáze nainstalovaná. Uživatelé se můžou k databázi připojit bez ověřování přihlášení na úrovni databázového stroje. Izolace databáze z databázového stroje umožňuje snadno přesunout databázi do jiné instance SQL Serveru. Databáze s omezením mají určité jedinečné hrozby, které by měli správci databázového stroje SQL Serveru pochopit a zmírnit. Většina hrozeb souvisí s procesem ověřování USER WITH PASSWORD, který přesune hranici ověřování z úrovně databázového stroje na úroveň databáze, proto se doporučuje tento příznak zakázat. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Střední

Ujistěte se, že je příznak databáze řetězení vlastnictví napříč databázemi pro instanci Cloudového SQL SQL Serveru nastavený na vypnuto.

Popis: Doporučuje se nastavit příznak databáze "řetězení vlastnictví mezi databázemi" pro instanci Cloud SQL Serveru na vypnuto. Pomocí možnosti zřetězování vlastnictví mezi databázemi můžete nakonfigurovat řetězení vlastnictví mezi databázemi pro instanci Microsoft SQL Serveru. Tato možnost serveru umožňuje řídit řetězení vlastnictví mezi databázemi na úrovni databáze nebo povolit řetězení vlastnictví mezi databázemi pro všechny databáze. Povolení "vlastnictví napříč databázemi" se nedoporučuje, pokud se všechny databáze hostované instancí SQL Serveru nesmí účastnit řetězení vlastnictví mezi databázemi a víte o bezpečnostních dopadech tohoto nastavení. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Střední

Ujistěte se, že je příznak databáze local_infile pro instanci Cloud SQL Mysql nastavený na vypnuto.

Popis: Doporučujeme nastavit příznak databáze local_infile pro instanci Cloud SQL MySQL na vypnutou. Příznak local_infile řídí funkci LOCAL na straně serveru pro příkazy LOAD DATA. V závislosti na nastavení local_infile server odmítne nebo povolí místní načítání dat klienty, kteří mají na straně klienta povolenou funkci LOCAL. Pokud chcete explicitně způsobit, že server odmítne příkazy LOAD DATA LOCAL (bez ohledu na to, jak se klientské programy a knihovny konfigurují v době sestavení nebo za běhu), spusťte mysqld s local_infile zakázáno. local_infile lze také nastavit za běhu. Kvůli problémům se zabezpečením souvisejícím s příznakem local_infile se doporučuje ho zakázat. Toto doporučení platí pro instance databáze MySQL.

Závažnost: Střední

Ujistěte se, že pro změny oprávnění IAM cloudového úložiště existují filtr metriky protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny IAM ve službě Cloud Storage Bucket. Monitorování změn v oprávněních kontejneru cloudového úložiště může zkrátit dobu potřebnou k detekci a opravám oprávnění u citlivých kontejnerů a objektů cloudového úložiště v kontejneru.

Závažnost: Nízká

Ujistěte se, že pro změny konfigurace instance SQL existuje filtr metrik protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metriky a alarm pro změny konfigurace instance SQL. Monitorování změn konfigurace instance SQL může zkrátit dobu potřebnou ke zjištění a opravě chybných konfigurací provedených na SQL Serveru. Níže je několik konfigurovatelných možností, které můžou ovlivnit stav zabezpečení instance SQL:

• Povolení automatických záloh a vysoké dostupnosti: Chybná konfigurace může nepříznivě ovlivnit provozní kontinuitu, zotavení po havárii a vysokou dostupnost.
• Autorizace sítí: Chybná konfigurace může zvýšit vystavení nedůvěryhodným sítím.

Závažnost: Nízká

Ujistěte se, že pro každý účet služby existují pouze klíče účtu spravovaného GCP.

Popis: Účty služby spravované uživatelem by neměly mít klíče spravované uživatelem. Každý, kdo má přístup ke klíčům, bude mít přístup k prostředkům prostřednictvím účtu služby. Klíče spravované GCP používají služby cloudové platformy, jako je app engine a výpočetní modul. Tyto klíče nelze stáhnout. Google klíče nechá a automaticky je otočí přibližně týdně. Uživatelem spravované klíče se vytvářejí, stahují a spravují uživatelé. Platnost vyprší 10 let od vytvoření. U klíčů spravovaných uživatelem musí uživatel převzít vlastnictví aktivit správy klíčů, mezi které patří:

• Úložiště klíčů
• Distribuce klíčů
• Odvolání klíče
• Obměna klíčů
• Ochrana klíčů před neoprávněnými uživateli
• Obnovení klíče

I s bezpečnostními opatřeními vlastníka klíče mohou být klíče snadno unikly běžnými vývojářskými malpracticemi, jako je kontrola klíčů ve zdrojovém kódu nebo jejich ponechání v adresáři Stažené soubory nebo náhodné opuštění klíčů na blogu podpory nebo kanálech. Doporučuje se zabránit klíčům účtu služby spravované uživatelem.

Závažnost: Nízká

Ujistěte se, že je pro instanci Cloudového SQL Serveru nastaven příznak připojení uživatelů.

Popis: Doporučuje se nastavit příznak databáze "připojení uživatelů" pro instanci cloudového SQL Serveru SQL Server podle hodnoty definované organizací. Možnost Připojení uživatelů určuje maximální počet souběžných uživatelských připojení, která jsou povolena v instanci SQL Serveru. Skutečný počet povolených uživatelských připojení závisí také na verzi SQL Serveru, kterou používáte, a také omezení aplikací nebo aplikací a hardwaru. SQL Server umožňuje maximálně 32 767 uživatelských připojení. Vzhledem k tomu, že uživatelská připojení jsou dynamická (samoobslužná konfigurace), SQL Server podle potřeby upraví maximální počet uživatelských připojení automaticky až do maximální povolené hodnoty. Pokud je například přihlášeno pouze 10 uživatelů, přidělí se 10 objektů připojení uživatelů. Ve většině případů nemusíte měnit hodnotu této možnosti. Výchozí hodnota je 0, což znamená, že jsou povolená maximální (32 767) uživatelská připojení. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Nízká

Ujistěte se, že není nakonfigurovaný příznak databáze možnosti uživatele pro instanci cloudového SQL Serveru SQL.

Popis: Doporučuje se, aby se příznak databáze "možnosti uživatele" pro instanci Cloudového SQL Serveru SQL Server nenakonfiguroval. Možnost Možnosti uživatele určuje globální výchozí hodnoty pro všechny uživatele. Seznam výchozích možností zpracování dotazů se vytvoří po dobu trvání pracovní relace uživatele. Možnost možnosti uživatele umožňuje změnit výchozí hodnoty možností SET (pokud výchozí nastavení serveru není vhodné). Uživatel může tyto výchozí hodnoty přepsat pomocí příkazu SET. Možnosti uživatelů můžete dynamicky konfigurovat pro nová přihlášení. Po změně nastavení uživatelských možností nové přihlašovací relace používají nové nastavení; aktuální relace přihlášení nejsou ovlivněny. Toto doporučení platí pro instance databáze SQL Serveru.

Závažnost: Nízká

Protokolování clusterů GKE by mělo být povolené.

Popis: Toto doporučení vyhodnocuje, jestli vlastnost loggingService clusteru obsahuje umístění Cloudové protokolování, které by mělo použít k zápisu protokolů.

Závažnost: Vysoká

Správa verzí objektů by měla být povolená v kontejnerech úložiště, kde jsou nakonfigurované jímky.

Popis: Toto doporučení vyhodnotí, jestli je povolené pole ve vlastnosti správy verzí kbelíku nastaveno na true.

Závažnost: Vysoká

V projektech by se měly vyšetřovat nadřízené identity, aby se snížil index oprávnění (PCI).

Popis: Nadřízené identity v projektech by se měly prozkoumat, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití.

Závažnost: Střední

Projekty s kryptografickými klíči by neměly mít uživatele s oprávněními vlastníka.

Popis: Toto doporučení vyhodnocuje zásadu povolení IAM v metadatech projektu pro objekty zabezpečení přiřazené role nebo vlastníka.

Závažnost: Střední

Kontejnery úložiště používané jako jímka protokolů by neměly být veřejně přístupné

Popis: Toto doporučení vyhodnotí zásady IAM kontejneru pro objekty zabezpečení allUsers nebo allAuthenticatedUsers, které udělují veřejný přístup.

Závažnost: Vysoká

Doporučení GCP IdentityAndAccess

Kryptografické klíče by neměly mít více než tři uživatele.

Popis: Toto doporučení vyhodnocuje zásady IAM pro okruhy klíčů. projekty a organizace a načítá objekty zabezpečení s rolemi, které jim umožňují šifrovat, dešifrovat nebo podepsat data pomocí klíčů cloudových Služba správy klíčů: role/vlastník, role/cloudkms.cryptoKeyEncrypterDecrypter, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyDecrypter, role/cloudkms.signer a role/cloudkms.signerVerifier.

Závažnost: Střední

Ujistěte se, že se pro projekt nevytvořily klíče rozhraní API.

Popis: Klíče jsou nezabezpečené, protože je můžete zobrazit veřejně, například z prohlížeče, nebo je můžete získat přístup na zařízení, kde se nachází klíč. Místo toho se doporučuje použít standardní ověřovací tok.

Rizika zabezpečení spojená s používáním klíčů API se zobrazují níže:

1. Klíče rozhraní API jsou jednoduché šifrované řetězce.
2. Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
3. Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Pokud se chcete vyhnout riziku zabezpečení při používání klíčů rozhraní API, doporučujeme místo toho použít standardní ověřovací tok.

Závažnost: Vysoká

Ujistěte se, že klíče rozhraní API jsou omezené jenom na rozhraní API, která aplikace potřebuje přístup.

Popis: Klíče rozhraní API jsou nezabezpečené, protože se dají zobrazit veřejně, například z prohlížeče, nebo se dají získat přístup na zařízení, kde se nachází klíč. Doporučujeme omezit klíče rozhraní API tak, aby používaly (volat) pouze rozhraní API požadovaná aplikací.

Rizika zabezpečení spojená s používáním klíčů ROZHRANÍ API jsou následující:

1. Klíče rozhraní API jsou jednoduché šifrované řetězce.
2. Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
3. Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Vzhledem k těmto potenciálním rizikům google doporučuje místo klíčů API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Aby se omezily možnosti útoku poskytnutím nejnižších oprávnění, je možné omezit použití (volání) pouze rozhraní API vyžadovaná aplikací.

Závažnost: Vysoká

Ujistěte se, že klíče rozhraní API jsou omezené jenom na zadané hostitele a aplikace.

Popis: Neomezené klíče jsou nezabezpečené, protože je lze zobrazit veřejně, například z prohlížeče, nebo je lze získat přístup na zařízení, kde se nachází klíč. Doporučujeme omezit použití klíče rozhraní API na důvěryhodné hostitele, referery HTTP a aplikace.

Rizika zabezpečení spojená s používáním klíčů API se zobrazují níže:

1. Klíče rozhraní API jsou jednoduché šifrované řetězce.
2. Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
3. Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Vzhledem k těmto potenciálním rizikům google doporučuje místo klíčů rozhraní API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Aby se snížily vektory útoku, mohou být klíče ROZHRANÍ API omezeny pouze na důvěryhodné hostitele, referery HTTP a aplikace.

Závažnost: Vysoká

Ujistěte se, že se klíče rozhraní API obměňují každých 90 dnů.

Popis: Doporučuje se obměňovat klíče rozhraní API každých 90 dnů.

Rizika zabezpečení spojená s používáním klíčů API jsou uvedena níže:

1. Klíče rozhraní API jsou jednoduché šifrované řetězce.
2. Klíče rozhraní API neidentifikuje uživatele ani aplikaci provádějící požadavek rozhraní API.
3. Klíče rozhraní API jsou obvykle přístupné pro klienty, což usnadňuje zjišťování a krádež klíče rozhraní API.

Kvůli těmto potenciálním rizikům Google doporučuje místo klíčů rozhraní API používat standardní ověřovací tok. Existují však omezené případy, kdy jsou klíče rozhraní API vhodnější. Pokud je například mobilní aplikace, která potřebuje používat rozhraní GOOGLE Cloud Translation API, ale nepotřebuje jinak back-endový server, jsou klíče rozhraní API nejjednodušším způsobem ověření v tomto rozhraní API.

Jakmile dojde k odcizení klíče, nemá žádné vypršení platnosti, což znamená, že se může používat po neomezenou dobu, pokud vlastník projektu neodvolá nebo znovu vygeneruje klíč. Obměna klíčů rozhraní API sníží možnost použití přístupového klíče přidruženého k napadenému nebo ukončeného účtu.

Klíče rozhraní API by se měly otočit, aby se zajistilo, že data nebudou přístupná starým klíčem, který by mohl být ztracený, prasklý nebo odcizený.

Závažnost: Vysoká

Ujistěte se, že se šifrovací klíče Služba správy klíčů obměňují během 90 dnů.

Popis: Google Cloud Služba správy klíčů ukládá kryptografické klíče v hierarchické struktuře navržené pro užitečnou a elegantní správu řízení přístupu. Formát plánu otáčení závisí na použité klientské knihovně. Pro nástroj příkazového řádku gcloud musí být čas příštího otáčení ve formátu ISO nebo "RFC3339" a období otáčení musí být ve formátu INTEGER[UNIT], kde jednotky mohou být jedna z sekund (s), minut (m), hodin (h) nebo dnů (d). Nastavte období obměně klíčů a počáteční čas. Klíč lze vytvořit se zadaným "obdobím obměnky", což je čas mezi automatickým generováním nových verzí klíčů. Klíč lze také vytvořit se zadaným časem příští rotace. Klíč je pojmenovaný objekt představující "kryptografický klíč" používaný pro konkrétní účel. Materiál klíče, skutečné bity používané pro "šifrování", se můžou v průběhu času měnit při vytváření nových verzí klíčů. Klíč se používá k ochraně některého "korpusu dat". Kolekci souborů je možné zašifrovat pomocí stejného klíče a osoby s oprávněním k dešifrování tohoto klíče by tyto soubory mohly dešifrovat. Proto je nutné zajistit, aby "období obměně" bylo nastaveno na určitý čas.

Závažnost: Střední

Ujistěte se, že existuje filtr metrik protokolu a upozornění pro přiřazení nebo změny vlastnictví projektu.

Popis: Aby se zabránilo zbytečným přiřazením vlastnictví projektu uživatelům nebo účtům služeb a dalšímu zneužití projektů a zdrojů, je třeba monitorovat všechna přiřazení rolí/vlastníka. Členové (uživatelé/účty služby) s přiřazením role k primitivní roli "role/vlastník" jsou vlastníci projektů. Vlastník projektu má všechna oprávnění k projektu, ke které role patří. Toto jsou shrnuté níže:

• Všechna oprávnění prohlížeče pro všechny služby GCP v rámci projektu
• Oprávnění pro akce, které upravují stav všech služeb GCP v rámci projektu
• Správa rolí a oprávnění pro projekt a všechny zdroje v projektu
• Nastavení fakturace projektu Udělení role vlastníka členu (uživatel nebo účet služby) umožní ho upravit zásady správy identit a přístupu (IAM). Proto udělte roli vlastníka pouze v případě, že má člen oprávněný účel spravovat zásady IAM. Důvodem je to, že zásady IAM projektu obsahují citlivá data řízení přístupu. Minimální sada uživatelů, kteří můžou spravovat zásady IAM, zjednoduší veškeré auditování, které může být nezbytné. Vlastnictví projektu má nejvyšší úroveň oprávnění k projektu. Aby nedocházelo ke zneužití zdrojů projektu, je třeba monitorovat a upozorňovat na příslušné příjemce akce týkající se vlastnictví projektu nebo změny uvedené výše.
• Odesílání pozvánek na vlastnictví projektu
• Přijetí/odmítnutí pozvání vlastnictví projektu uživatelem
• Přidání role\Owner k uživateli nebo účtu služby
• Odebrání účtu uživatele nebo služby z role\Owner

Závažnost: Nízká

Ujistěte se, že je pro projekt povolený oslogin.

Popis: Povolení přihlášení operačního systému sváže certifikáty SSH s uživateli IAM a usnadňuje efektivní správu certifikátů SSH. Povolení protokolu osLogin zajišťuje, aby se klíče SSH používané pro připojení k instancím mapovaly s uživateli IAM. Odvolání přístupu k uživateli IAM odvolá všechny klíče SSH přidružené k danému uživateli. Usnadňuje centralizovanou a automatizovanou správu párů klíčů SSH, což je užitečné při zpracování případů, jako je reakce na ohrožené páry klíčů SSH nebo odvolání externích/externích/externích/externích/dodavatelů/dodavatelů. Pokud chcete zjistit, která instance způsobí, že projekt není v pořádku, přečtěte si doporučení "Ujistěte se, že je pro všechny instance povolený oslogin".

Závažnost: Střední

Ujistěte se, že je pro všechny instance povolený oslogin.

Popis: Povolení přihlášení operačního systému sváže certifikáty SSH s uživateli IAM a usnadňuje efektivní správu certifikátů SSH. Povolení protokolu osLogin zajišťuje, aby se klíče SSH používané pro připojení k instancím mapovaly s uživateli IAM. Odvolání přístupu k uživateli IAM odvolá všechny klíče SSH přidružené k danému uživateli. Usnadňuje centralizovanou a automatizovanou správu párů klíčů SSH, což je užitečné při zpracování případů, jako je reakce na ohrožené páry klíčů SSH nebo odvolání externích/externích/externích/externích/dodavatelů/dodavatelů.

Závažnost: Střední

Ujistěte se, že je protokolování auditu cloudu správně nakonfigurované napříč všemi službami a všemi uživateli z projektu.

Popis: Doporučuje se, aby protokolování auditu v cloudu bylo nakonfigurováno tak, aby sledovalo všechny aktivity správců a čtení, přístup k zápisu do uživatelských dat.

Protokolování auditu v cloudu udržuje pro každý projekt, složku a organizaci dva protokoly auditu: Správa aktivita a přístup k datům.

1. Správa protokoly aktivit obsahují položky protokolu pro volání rozhraní API nebo jiné akce správy, které upravují konfiguraci nebo metadata prostředků. Správa protokoly auditu aktivit jsou povolené pro všechny služby a není možné je nakonfigurovat.
2. Protokoly auditu přístupu k datům zaznamenávají volání rozhraní API, která vytvářejí, upravují nebo čtou uživatelsky poskytnutá data. Ve výchozím nastavení jsou zakázané a měly by být povolené. Existují tři druhy informací protokolu auditování přístupu k datům:

• Správa číst: Zaznamenává operace, které čtou metadata nebo informace o konfiguraci. Správa protokoly auditu aktivit zaznamenávají zápisy metadat a konfiguračních informací, které nelze zakázat.
• Čtení dat: Zaznamenává operace, které čtou data poskytnutá uživatelem.
• Zápis dat: Zaznamenává operace, které zapisuje data poskytnutá uživatelem.

Doporučuje se mít nakonfigurovanou efektivní výchozí konfiguraci auditu tak, aby:

1. Typ protokolu je nastavený na DATA_READ (pro protokolování sledování aktivit uživatelů) a DATA_WRITES (pro protokolování změn nebo manipulaci s uživatelskými daty).
2. Konfigurace auditu je povolená pro všechny služby podporované funkcí protokolů auditu Přístupu k datům.
3. Protokoly by se měly zaznamenávat pro všechny uživatele, to znamená, že v žádné části konfigurace auditu nejsou žádní vyloučení uživatelé. Tím zajistíte, že přepsání konfigurace auditu nebude v rozporu s požadavkem.

Závažnost: Střední

Ujistěte se, že kryptografické klíče Služba správy klíčů cloudu nejsou anonymně nebo veřejně přístupné.

Popis: Doporučuje se, aby zásady IAM v cloudu Služba správy klíčů "cryptokeys" měly omezit anonymní nebo veřejný přístup. Udělení oprávnění "allUsers" nebo "allAuthenticatedUsers" umožňuje každému přístup k datové sadě. Takový přístup nemusí být žádoucí, pokud jsou citlivá data uložená v umístění. V takovém případě se ujistěte, že anonymní nebo veřejný přístup ke cloudovému Služba správy klíčů "cryptokey" není povolený.

Závažnost: Vysoká

Ujistěte se, že se používají přihlašovací údaje podnikového přihlášení.

Popis: Místo osobních účtů, jako jsou účty Gmail, použijte firemní přihlašovací údaje. Doporučuje se používat plně spravované podnikové účty Google pro zajištění vyšší viditelnosti, auditování a řízení přístupu k prostředkům cloudové platformy. Účty Gmail založené mimo organizaci uživatele, jako jsou osobní účty, by se neměly používat pro obchodní účely.

Závažnost: Vysoká

Ujistěte se, že uživatelé IAM nemají přiřazené role uživatele účtu služby nebo tokenu účtu služby na úrovni projektu.

Popis: Doporučujeme uživateli přiřadit role Uživatel účtu služby (iam.serviceAccountUser) a Autor tokenu účtu služby (iam.serviceAccountTokenCreator) pro konkrétní účet služby místo přiřazení role uživateli na úrovni projektu. Účet služby je speciální účet Google, který patří k aplikaci nebo virtuálnímu počítači místo k individuálnímu koncovému uživateli. Aplikace nebo instance virtuálního počítače používá účet služby k volání rozhraní Google API služby, aby se uživatelé přímo nezapojili. Kromě identity je účet služby prostředkem, který má připojené zásady IAM. Tyto zásady určují, kdo může účet služby používat. Uživatelé s rolemi IAM, kteří aktualizují instance modulu App Engine a výpočetního modulu (jako je nasazení modulu app engine nebo výpočetní instance Správa), můžou efektivně spouštět kód jako účty služby používané ke spuštění těchto instancí a nepřímo získají přístup ke všem prostředkům, ke kterým mají účty služeb přístup. Podobně může mít přístup SSH k instanci výpočetního modulu také možnost spouštět kód jako tento účet instance nebo služby. V závislosti na obchodních potřebách může být pro projekt nakonfigurovaných více účtů služby spravovaných uživatelem. Udělení rolí iam.serviceAccountUser nebo iam.serviceAserviceAccountTokenCreatorccountUser uživateli pro projekt dává uživateli přístup ke všem účtům služeb v projektu, včetně účtů služeb, které se můžou v budoucnu vytvořit. To může vést ke zvýšení oprávnění pomocí účtů služeb a odpovídajících instancí výpočetního stroje. Aby bylo možné implementovat osvědčené postupy pro "nejnižší oprávnění", neměli by se uživatelům IAM na úrovni projektu přiřazovat role "Uživatel účtu služby" ani "Tvůrce tokenů účtu služby". Místo toho by se tyto role měly přiřadit uživateli pro konkrétní účet služby, aby měl tento uživatel přístup k účtu služby. Uživatel účtu služby umožňuje uživateli svázat účet služby s dlouho běžící službou úloh, zatímco role Autor tokenu účtu služby umožňuje uživateli přímo zosobnit (nebo uplatnit) identitu účtu služby.

Závažnost: Střední

Zajištění vynucení oddělení povinností při přiřazování Služba správy klíčů souvisejících rolí uživatelům

Popis: Doporučuje se, aby se při přiřazování Služba správy klíčů souvisejících rolí uživatelům vynucuje princip oddělení povinností. Předdefinovaná nebo předdefinovaná role IAM Cloud Služba správy klíčů Správa umožňuje uživateli nebo identitě vytvářet, odstraňovat a spravovat účty služeb. Předdefinovaná nebo předdefinovaná role IAM Cloud Služba správy klíčů CryptoKey Encrypter/Decrypter umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) šifrovat a dešifrovat neaktivní uložená data pomocí šifrovacích klíčů. Integrovaná/předdefinovaná role IAM Cloud Služba správy klíčů CryptoKey Encrypter umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) šifrovat neaktivní uložená data pomocí šifrovacích klíčů. Předdefinovaná nebo předdefinovaná role IAM "Cloud Služba správy klíčů CryptoKey Decrypter" umožňuje uživateli nebo identitě (s odpovídajícími oprávněními k příslušným prostředkům) dešifrovat neaktivní uložená data pomocí šifrovacích klíčů. Oddělení povinností je koncept zajištění, že jeden jednotlivec nemá všechna potřebná oprávnění k tomu, aby mohl dokončit škodlivou akci. V cloudových Služba správy klíčů to může být akce, jako je použití klíče pro přístup k datům a jejich dešifrování, ke kterým by uživatel normálně neměl mít přístup. Oddělení povinností je obchodní kontrola, která se obvykle používá ve větších organizacích, která pomáhá vyhnout se incidentům a chybám zabezpečení nebo ochrany osobních údajů. Považuje se za osvědčený postup. Žádný uživatel by neměl mít cloudovou Služba správy klíčů Správa a žádnou z rolí Cloud Služba správy klíčů CryptoKey Encrypter/Decrypter, Cloud Služba správy klíčů CryptoKey Encrypter, Cloud Služba správy klíčů CryptoKey Decrypter přiřazené současně.

Závažnost: Vysoká

Zajištění vynucení oddělení povinností při přiřazování rolí souvisejících s účtem služby uživatelům

Popis: Doporučuje se, aby se při přiřazování rolí souvisejících s účtem služby uživatelům vynucuje princip oddělení povinností. Předdefinovaná nebo předdefinovaná role IAM "Správce účtu služby" umožňuje uživateli nebo identitě vytvářet, odstraňovat a spravovat účty služeb. Předdefinovaná nebo předdefinovaná role IAM "Uživatel účtu služby" umožňuje uživateli nebo identitě (s odpovídajícími oprávněními pro Výpočty a App Engine) přiřazovat účty služeb k instancím Apps/Compute. Oddělení povinností je koncept zajištění, že jeden jednotlivec nemá všechna potřebná oprávnění k tomu, aby mohl dokončit škodlivou akci. V cloudových účtech IAM – účty služeb to může být akce, jako je použití účtu služby pro přístup k prostředkům, ke kterým by uživatel normálně neměl mít přístup. Oddělení povinností je obchodní kontrola, která se obvykle používá ve větších organizacích, která pomáhá vyhnout se incidentům a chybám zabezpečení nebo ochrany osobních údajů. Považuje se za osvědčený postup. Žádný uživatel by neměl mít přiřazené role Účet služby Správa a Uživatel účtu služby najednou.

Závažnost: Střední

Ujistěte se, že účet služby nemá žádná oprávnění Správa.

Popis: Účet služby je speciální účet Google, který patří do aplikace nebo virtuálního počítače, a ne k jednotlivým koncovým uživatelům. Aplikace používá účet služby k volání rozhraní Google API služby, aby uživatelé nebyli přímo zapojeni. Pro účet ServiceAccount se nedoporučuje používat přístup správce. Účty služeb představují zabezpečení prostředků (aplikace nebo virtuálního počítače) na úrovni služeb, které můžou určovat role, které k němu byly přiřazeny. Registrace účtu ServiceAccount s právy Správa poskytuje úplný přístup k přiřazené aplikaci nebo virtuálnímu počítači. Držitel přístupu ServiceAccount může provádět kritické akce, jako je odstranění, aktualizace nastavení změn atd. bez zásahu uživatele. Z tohoto důvodu se doporučuje, aby účty služeb neměly Správa práva.

Závažnost: Střední

Ujistěte se, že jsou jímky nakonfigurované pro všechny položky protokolu.

Popis: Doporučujeme vytvořit jímku, která bude exportovat kopie všech položek protokolu. To může pomoct agregovat protokoly z více projektů a exportovat je do správy informací o zabezpečení a událostí (SIEM). Položky protokolu se uchovávají v protokolování stackdriveru. Pokud chcete agregovat protokoly, exportujte je do SIEM. Pokud je chcete zachovat déle, doporučujeme nastavit jímku protokolu. Export zahrnuje zápis filtru, který vybere položky protokolu k exportu, a výběr cíle v Cloudovém úložišti, BigQuery nebo Pub/Sub cloudu. Filtr a cíl se uchovávají v objektu nazývaném jímka. Pokud chcete zajistit export všech položek protokolu do jímek, ujistěte se, že pro jímku není nakonfigurovaný žádný filtr. Jímky je možné vytvářet v projektech, organizacích, složkách a fakturačních účtech.

Závažnost: Nízká

Ujistěte se, že pro změny konfigurace auditu existuje filtr metrik protokolu a upozornění.

Popis: Služby Google Cloud Platform (GCP) zapisují položky protokolu auditu do protokolů aktivit Správa a přístupu k datům, aby pomohly zodpovědět otázky "kdo co, kde a kdy?" v rámci projektů GCP. Informace o protokolování auditu cloudu zahrnují identitu volajícího rozhraní API, čas volání rozhraní API, zdrojovou IP adresu volajícího rozhraní API, parametry požadavku a prvky odpovědi vrácené službami GCP. Protokolování auditu cloudu poskytuje historii volání rozhraní GCP API pro účet, včetně volání rozhraní API provedených prostřednictvím konzoly, sad SDK, nástrojů příkazového řádku a dalších služeb GCP. Správa protokoly aktivit a přístupu k datům vytvořené protokolováním auditu cloudu umožňují analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů. Konfigurace filtru metrik a výstrah pro změny konfigurace auditu zajišťuje, že se zachová doporučený stav konfigurace auditu, aby všechny aktivity v projektu byly kdykoli možné auditovat.

Závažnost: Nízká

Ujistěte se, že pro změny vlastní role existuje filtr metrik protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metriky a upozornění pro změny vytváření, odstraňování a aktualizace aktivit role Správa identit a přístupu (IAM). Google Cloud IAM poskytuje předdefinované role, které poskytují podrobný přístup ke konkrétním prostředkům Google Cloud Platform a brání nežádoucímu přístupu k jiným prostředkům. Cloudová služba IAM ale poskytuje možnost vytvářet vlastní role, aby vyhovovala konkrétním potřebám organizace. Vlastníci a správci projektů s rolí organizace Správa istrator nebo rolí IAM Správa istrator mohou vytvářet vlastní role. Monitorování vytváření, odstraňování a aktualizace rolí vám pomůže při identifikaci jakékoli nadprivilegované role v počátečních fázích.

Závažnost: Nízká

Zajištění obměna uživatelských nebo externích klíčů pro účty služeb každých 90 dnů nebo méně

Popis: Klíče účtu služby se skládají z ID klíče (Private_key_Id) a privátního klíče, které se používají k podepisování programových žádostí uživatelů, které uživatelé zpřístupnili cloudovým službám Google pro daný účet služby. Doporučuje se pravidelně obměňovat všechny klíče účtu služby. Obměná klíče účtu služby sníží možnost použití přístupového klíče přidruženého k napadenému nebo ukončeného účtu. Klíče účtu služby by se měly otočit, aby se zajistilo, že data nebudou přístupná pomocí starého klíče, který by mohl být ztracený, prasklý nebo odcizený. Každý účet služby je přidružený ke páru klíčů spravovaným platformou Google Cloud Platform (GCP). Používá se pro ověřování mezi službami v rámci GCP. Google obměňuje klíče každý den. GCP nabízí možnost vytvořit jeden nebo více párů klíčů spravovaných uživatelem (označovaných také jako páry externích klíčů) pro použití mimo GCP (například pro použití s výchozími přihlašovacími údaji aplikace). Když se vytvoří nový pár klíčů, uživatel si musí stáhnout privátní klíč (který si Google nezachovává).

S externími klíči zodpovídají uživatelé za zabezpečení privátního klíče a další operace správy, jako je obměně klíčů. Externí klíče je možné spravovat pomocí rozhraní API IAM, nástroje příkazového řádku gcloudu nebo stránky Účty služeb v konzole Google Cloud Platform Console.

GCP usnadňuje až 10 klíčů externích účtů služeb na jeden účet služby, aby se usnadnila obměně klíčů.

Závažnost: Střední

Webový řídicí panel GKE by měl být zakázaný.

Popis: Toto doporučení vyhodnocuje pole KubernetesDashboard vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: false.

Závažnost: Vysoká

V clusterech GKE by se měla zakázat starší verze autorizace.

Popis: Toto doporučení vyhodnotí starší vlastnost Abac clusteru pro dvojici klíč-hodnota, povoleno: true.

Závažnost: Vysoká

Role Redis IAM by neměla být přiřazená na úrovni organizace nebo složky.

Popis: Toto doporučení vyhodnotí zásadu povolení IAM v metadatech prostředků pro objekty zabezpečení přiřazené role/redis.admin, role/redis.editor, role/redis.viewer na úrovni organizace nebo složky.

Závažnost: Vysoká

Účty služeb by měly mít omezený přístup k projektu v clusteru.

Popis: Toto doporučení vyhodnotí vlastnost konfigurace fondu uzlů a zkontroluje, jestli není zadaný žádný účet služby nebo jestli se používá výchozí účet služby.

Závažnost: Vysoká

Uživatelé by měli mít přístup s nejnižšími oprávněními s podrobnými rolemi IAM.

Popis: Toto doporučení vyhodnocuje zásadu IAM v metadatech prostředků pro všechny objekty zabezpečení přiřazené role, role, zapisovače nebo role/Čtenář.

Závažnost: Vysoká

Super identity ve vašem prostředí GCP by se měly odebrat (Preview)

Popis: Super identita má výkonnou sadu oprávnění. Supersprávci jsou lidské identity nebo identity úloh, které mají přístup ke všem oprávněním a všem prostředkům. Můžou vytvářet a upravovat nastavení konfigurace pro službu, přidávat nebo odebírat identity a přistupovat k nim nebo dokonce odstraňovat data. Ponechání bez monitorování představují tyto identity významné riziko zneužití oprávnění v případě porušení zabezpečení.

Závažnost: Vysoká

Nepoužívané identity v prostředí GCP by se měly odebrat (Preview)

Popis: Je nezbytné identifikovat nepoužívané identity, protože představují významná bezpečnostní rizika. Tyto identity často zahrnují chybné postupy, jako jsou nadměrné oprávnění a nesprávně spravované klíče, které organizacím otevírají zneužití nebo zneužití přihlašovacích údajů a zvyšují prostor pro útoky vašeho prostředku. Neaktivní identity jsou lidské a nelidské entity, které za posledních 90 dnů neprovedli žádnou akci u žádného prostředku. Klíče účtu služby se můžou stát bezpečnostním rizikem, pokud nejsou spravovány pečlivě.

Závažnost: Střední

Nadměrné zřízení identit GCP by mělo mít pouze potřebná oprávnění (Preview).

Popis: Nadměrně zřízená aktivní identita je identita, která má přístup k oprávněním, která nepoužívají. Nadměrně zřízené aktivní identity, zejména pro nelidské účty s velmi definovanými akcemi a zodpovědnostmi, můžou zvýšit poloměr výbuchu v případě ohrožení uživatele, klíče nebo prostředku. Princip nejnižších oprávnění znamená, že prostředek by měl mít přístup pouze k přesným prostředkům, které potřebuje k fungování. Tento princip byl vyvinut tak, aby řešil riziko ohrožení identit, které útočníkovi udělily přístup k široké škále prostředků.

Závažnost: Střední

Doporučení pro sítě GCP

Hostitelé clusteru by měli být nakonfigurovaní tak, aby používali jenom privátní interní IP adresy pro přístup k rozhraním GOOGLE API.

Popis: Toto doporučení vyhodnotí, jestli je vlastnost privateIpGoogleAccess podsítě nastavená na false.

Závažnost: Vysoká

Výpočetní instance by měly používat nástroj pro vyrovnávání zatížení nakonfigurovaný tak, aby používaly cílový proxy server HTTPS.

Popis: Toto doporučení vyhodnotí, jestli vlastnost selfLink cílového prostředkuHttpProxy odpovídá cílovému atributu v pravidle předávání a pokud pravidlo předávání obsahuje pole loadBalancingScheme nastavené na External.

Závažnost: Střední

V clusterech GKE by měly být povolené autorizované sítě řídicí roviny.

Popis: Toto doporučení vyhodnotí vlastnost masterAuthorizedNetworksConfig clusteru pro dvojici klíč-hodnota s povolenou hodnotou: false.

Závažnost: Vysoká

Pravidlo zamítnutí odchozího přenosu dat by mělo být nastavené na bráně firewall, aby blokoval nežádoucí odchozí provoz.

Popis: Toto doporučení vyhodnotí, jestli je vlastnost destinationRanges v bráně firewall nastavená na hodnotu 0.0.0.0/0 a vlastnost denied obsahuje dvojici klíč-hodnota, IPProtocol: all.

Závažnost: Nízká

Ujistěte se, že pravidla brány firewall pro instance za proxy serverem IAP (Identity Aware Proxy) povolují pouze provoz z kontroly stavu a proxy adres Google Cloud Loadbalancer (GCLB).

Popis: Přístup k virtuálním počítačům by měl být omezen pravidly brány firewall, která povolují pouze přenosy protokolu IAP tím, že zajišťují, že jsou povolená pouze připojení přesměrovaná protokolem IAP. Aby vyrovnávání zatížení fungovalo správně, měly by být také povoleny kontroly stavu. Protokol IAP zajišťuje, aby byl přístup k virtuálním počítačům řízen ověřováním příchozích požadavků. Pokud je ale virtuální počítač stále přístupný z IP adres kromě protokolu IAP, může být stále možné do instance odesílat neověřené požadavky. Je potřeba dbát na to, aby se zajistilo, že kontroly stavu loadblanceru nejsou zablokované, protože by nástroj pro vyrovnávání zatížení správně věděl o stavu virtuálního počítače a vyrovnávání zatížení.

Závažnost: Střední

Ujistěte se, že starší verze sítí pro projekt neexistuje.

Popis: Aby se zabránilo použití starších sítí, projekt by neměl mít nakonfigurovanou starší síť. Starší sítě mají jeden rozsah předpon IPv4 sítě a jednu IP adresu brány pro celou síť. Síť je globální v oboru a zahrnuje všechny cloudové oblasti. Podsíť nelze vytvořit ve starší síti a nejde přepnout ze starší verze na sítě automatických nebo vlastních podsítí. Starší sítě můžou mít vliv na projekty s vysokým síťovým provozem a podléhají jedinému kolizímu nebo selhání.

Závažnost: Střední

Ujistěte se, že je správně nastaven příznak databáze log_hostname pro instanci Cloud SQL PostgreSQL.

Popis: PostgreSQL protokoluje pouze IP adresu připojujících se hostitelů. Příznak "log_hostname" řídí protokolování názvů hostitelů kromě zaprotokolovaných IP adres. Dosažení výkonu závisí na konfiguraci prostředí a nastavení překladu názvů hostitelů. Tento parametr lze nastavit pouze v souboru postgresql.conf nebo na příkazovém řádku serveru. Protokolování názvů hostitelů může mít za následek režii na výkon serveru, protože každý protokolovaný příkaz vyžaduje překlad DNS pro převod IP adresy na název hostitele. V závislosti na nastavení to může být nezanedbatelné. Ip adresy, které jsou protokolované, se navíc dají později přeložit na jejich názvy DNS při kontrole protokolů s výjimkou případů, kdy se používají dynamické názvy hostitelů. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Nízká

Ujistěte se, že žádné nástroje pro vyrovnávání zatížení proxy protokolu HTTPS nebo SSL nepovolí zásady SSL se slabými šifrovacími sadami.

Popis: Zásady SSL (Secure Sockets Layer) určují, jaké funkce protokolu TLS (Port Transport Layer Security) mají klienti povoleno používat při připojování k nástrojům pro vyrovnávání zatížení. Aby se zabránilo použití nezabezpečených funkcí, měly by zásady SSL používat (a) alespoň TLS 1.2 s profilem MODERN; nebo (b) profil RESTRICTED, protože efektivně vyžaduje, aby klienti používali protokol TLS 1.2 bez ohledu na zvolenou minimální verzi protokolu TLS; nebo (3) vlastní profil, který nepodporuje žádnou z následujících funkcí: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Nástroje pro vyrovnávání zatížení se používají k efektivní distribuci provozu mezi více serverů. Proxy server SSL i nástroje pro vyrovnávání zatížení HTTPS jsou externí nástroje pro vyrovnávání zatížení, což znamená, že distribuují provoz z internetu do sítě GCP. Zákazníci GCP můžou nakonfigurovat zásady SSL nástroje pro vyrovnávání zatížení s minimální verzí protokolu TLS (1.0, 1.1 nebo 1.2), kterou můžou klienti použít k navázání připojení spolu s profilem (kompatibilní, moderní, omezený nebo vlastní), který určuje přípustné šifrovací sady. Aby bylo možné vyhovět uživatelům, kteří používají zastaralé protokoly, je možné nakonfigurovat nástroje pro vyrovnávání zatížení GCP tak, aby povolovaly nezabezpečené šifrovací sady. Výchozí zásady SSL GCP ve skutečnosti používají minimální verzi protokolu TLS 1.0 a kompatibilní profil, který umožňuje nejširší škálu nezabezpečených šifrovacích sad. V důsledku toho je pro zákazníky snadné nakonfigurovat nástroj pro vyrovnávání zatížení, aniž by museli vědět, že povolují zastaralé šifrovací sady.

Závažnost: Střední

Ujistěte se, že je povolené protokolování DNS cloudu pro všechny sítě VPC.

Popis: Protokolování DNS v cloudu zaznamenává dotazy z názvových serverů v rámci vašeho VPC na StackDriver. Protokolované dotazy můžou pocházet z virtuálních počítačů výpočetního stroje, kontejnerů GKE nebo jiných prostředků GCP zřízených v rámci VPC. Monitorování zabezpečení a forenzní analýza nemohou záviset výhradně na IP adresách z protokolů toku VPC, zejména při zvažování dynamického využití IP adres cloudových prostředků, směrování virtuálního hostitele HTTP a dalších technologií, které můžou zakrýt název DNS používaný klientem z IP adresy. Monitorování protokolů Cloud DNS poskytuje přehled o názvech DNS požadovaných klienty v rámci VPC. Tyto protokoly je možné monitorovat z neobvyklých názvů domén, vyhodnotit na základě analýzy hrozeb a poznámka: Pro úplné zachytávání DNS musí brána firewall blokovat odchozí přenosy UDP/53 (DNS) a TCP/443 (DNS přes HTTPS), aby klient nemohl k překladu používat externí názvový server DNS.

Závažnost: Vysoká

Ujistěte se, že je pro Cloud DNS povolený protokol DNSSEC.

Popis: Cloud Domain Name System (DNS) je rychlý, spolehlivý a nákladově efektivní systém názvů domén, který využívá miliony domén na internetu. Rozšíření DNSSEC (Domain Name System Security Extensions) v cloudovém DNS umožňují vlastníkům domén snadno chránit své domény před napadením DNS a man-in-the-middle a dalšími útoky. Rozšíření DNSSEC (Domain Name System Security Extensions) přidávají zabezpečení do protokolu DNS tím, že umožňují ověření odpovědí DNS. Důvěryhodná služba DNS, která překládá název domény jako www.example.com na přidruženou IP adresu, je stále důležitějším stavebním blokem dnešních webových aplikací. Útočníci můžou tento proces vyhledávání domén/IP adres zneužít a přesměrovat uživatele na škodlivý web prostřednictvím útoku DNS a útoku man-in-the-middle. DNSSEC pomáhá zmírnit riziko takových útoků kryptografickým podepisováním záznamů DNS. V důsledku toho zabrání útočníkům v vydávání falešných odpovědí DNS, které by mohly nesprávně směrovat prohlížeče na nechutné weby.

Závažnost: Střední

Ujistěte se, že přístup RDP je omezený z internetu.

Popis: Pravidla brány firewall GCP jsou specifická pro síť VPC. Každé pravidlo buď povolí nebo odmítne provoz, když jsou splněny jeho podmínky. Jeho podmínky umožňují uživatelům určit typ provozu, jako jsou porty a protokoly, a zdroj nebo cíl provozu, včetně IP adres, podsítí a instancí. Pravidla brány firewall jsou definována na úrovni sítě VPC a jsou specifická pro síť, ve které jsou definovány. Samotná pravidla se nedají sdílet mezi sítěmi. Pravidla brány firewall podporují pouze provoz IPv4. Při zadávání zdroje pravidla příchozího přenosu dat nebo cíle pravidla výchozího přenosu dat podle adresy je možné použít blok IPv4 nebo IPv4 v zápisu CIDR. Můžete se vyhnout obecného příchozího provozu (0.0.0.0/0) z internetu do instance VPC nebo virtuálního počítače pomocí protokolu RDP na portu 3389. Pravidla brány firewall GCP v síti VPC Tato pravidla platí pro odchozí (výchozí) provoz z instancí a příchozího (příchozího) provozu do instancí v síti. Toky příchozího a příchozího přenosu dat se řídí i v případě, že provoz zůstává v síti (například komunikace instance-instance). Aby instance měla odchozí přístup k internetu, musí mít síť platnou trasu internetové brány nebo vlastní trasu, jejíž cílová IP adresa je zadaná. Tato trasa jednoduše definuje cestu k internetu, aby se zabránilo nejobecnějšímu rozsahu cílových IP adres (0.0.0.0/0) zadaným z internetu přes protokol RDP s výchozím portem 3389. Obecný přístup z internetu k určitému rozsahu IP adres by měl být omezený.

Závažnost: Vysoká

Ujistěte se, že se pro podpisový klíč v Cloud DNSSEC nepoužívá RSASHA1.

Popis: Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Čísla algoritmů DNSSEC (Domain Name System Security Extensions) v tomto registru se můžou používat v CERT RRs. Zonesigning (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Při povolování SLUŽBY DNSSEC pro spravovanou zónu nebo vytvoření spravované zóny pomocí DNSSEC může uživatel vybrat podpisové algoritmy DNSSEC a typ odepření existence. Změna nastavení DNSSEC je platná jenom pro spravovanou zónu, pokud ještě není povolená služba DNSSEC. Pokud je potřeba změnit nastavení pro spravovanou zónu, ve které je povolená, vypněte DNSSEC a pak ho znovu povolte s různými nastaveními.

Závažnost: Střední

Ujistěte se, že RSASHA1 se pro podpisový klíč zóny v Cloud DNSSEC nepoužívá.

Popis: Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Podepisování zón (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Čísla algoritmů DNSSEC v tomto registru se můžou používat v RRS CERT. Zonesigning (DNSSEC) a mechanismy zabezpečení transakcí (SIG(0) a TSIG) využívají konkrétní podmnožinu těchto algoritmů. Algoritmus použitý pro podepisování klíčů by měl být doporučený a měl by být silný. Při povolování služby DNSSEC pro spravovanou zónu nebo vytvoření spravované zóny pomocí DNSSEC je možné vybrat podpisové algoritmy DNSSEC a typ odepření existence. Změna nastavení DNSSEC je platná jenom pro spravovanou zónu, pokud ještě není povolená služba DNSSEC. Pokud je potřeba změnit nastavení spravované zóny, ve které je povolená, vypněte DNSSEC a pak ho znovu povolte s různými nastaveními.

Závažnost: Střední

Ujistěte se, že přístup SSH je omezený z internetu.

Popis: Pravidla brány firewall GCP jsou specifická pro síť VPC. Každé pravidlo buď povolí nebo odmítne provoz, když jsou splněny jeho podmínky. Jeho podmínky uživateli umožňují určit typ provozu, jako jsou porty a protokoly, a zdroj nebo cíl provozu, včetně IP adres, podsítí a instancí. Pravidla brány firewall jsou definována na úrovni sítě VPC a jsou specifická pro síť, ve které jsou definovány. Samotná pravidla se nedají sdílet mezi sítěmi. Pravidla brány firewall podporují pouze provoz IPv4. Při zadávání zdroje pro pravidlo příchozího přenosu dat nebo cíle pravidla výchozího přenosu dat podle adresy je možné použít pouze blok IPv4 nebo IPv4 v zápisu CIDR. Můžete se vyhnout obecným příchozím přenosům z internetu z internetu do instance virtuálního počítače (0.0.0.0.0/0) přes SSH na portu 22. Pravidla brány firewall GCP v síti VPC se vztahují na odchozí (výchozí) provoz z instancí a příchozích (příchozích) přenosů do instancí v síti. Toky příchozího a příchozího přenosu dat se řídí i v případě, že provoz zůstává v síti (například komunikace instance-instance). Aby instance měla odchozí přístup k internetu, musí mít síť platnou trasu internetové brány nebo vlastní trasu, jejíž cílová IP adresa je zadaná. Tato trasa jednoduše definuje cestu k internetu, aby se zabránilo nejběžnějšímu rozsahu IP adres (0.0.0.0/0) zadaným z internetu přes SSH s výchozím portem 22. Je potřeba omezit obecný přístup z internetu k určitému rozsahu IP adres.

Závažnost: Vysoká

Ujistěte se, že výchozí síť v projektu neexistuje.

Popis: Aby se zabránilo použití výchozí sítě, neměl by mít projekt výchozí síť. Výchozí síť má předem nakonfigurovanou konfiguraci sítě a automaticky generuje následující nezabezpečená pravidla brány firewall:

• default-allow-internal: Umožňuje příchozí připojení pro všechny protokoly a porty mezi instancemi v síti.
• default-allow-ssh: Povoluje příchozí připojení na portu TCP 22 (SSH) z libovolného zdroje do jakékoli instance v síti.
• default-allow-rdp: Povoluje příchozí připojení na portu TCP 3389(RDP) z libovolného zdroje do libovolné instance v síti.
• default-allow-icmp: Povoluje příchozí přenosy PROTOKOLU ICMP z libovolného zdroje do jakékoli instance v síti.

Tato automaticky vytvořená pravidla brány firewall se nezaprotokolují do protokolu auditu a není možné je nakonfigurovat tak, aby povolovala protokolování pravidel brány firewall. Výchozí síť je navíc síť automatického režimu, což znamená, že její podsítě používají stejný předdefinovaný rozsah IP adres a v důsledku toho není možné používat cloudovou síť VPN nebo partnerský vztah sítě VPC s výchozí sítí. Na základě požadavků organizace na zabezpečení a sítě by organizace měla vytvořit novou síť a odstranit výchozí síť.

Závažnost: Střední

Ujistěte se, že pro změny sítě VPC existují filtr metriky protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny sítě virtuálního privátního cloudu (VPC). V rámci projektu je možné mít více než jeden VPC. Kromě toho je také možné vytvořit partnerské připojení mezi dvěma sítěmi VPN, které umožňují síťový provoz směrovat mezi sítěmi VPN. Monitorování změn v nástroji VPC vám pomůže zajistit, aby tok provozu VPC nebyl ovlivněný.

Závažnost: Nízká

Ujistěte se, že filtr metrik protokolu a upozornění existují pro změny pravidel brány firewall sítě VPC.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny pravidel brány firewall sítě virtuálního privátního cloudu (VPC). Monitorování událostí pravidel vytvoření nebo aktualizace brány firewall poskytuje přehled o změnách přístupu k síti a může zkrátit dobu potřebnou ke zjištění podezřelé aktivity.

Závažnost: Nízká

Ujistěte se, že pro změny tras sítě VPC existují filtr metriky protokolu a upozornění.

Popis: Doporučuje se vytvořit filtr metrik a alarm pro změny tras sítě virtuálního privátního cloudu (VPC). Trasy GCP (Google Cloud Platform) definují cesty síťového provozu z instance virtuálního počítače do jiného cíle. Druhým cílem může být síť VPC organizace (například jiný virtuální počítač) nebo mimo ni. Každá trasa se skládá z cíle a dalšího segmentu směrování. Provoz, jehož cílová IP adresa je v cílovém rozsahu, se odešle do dalšího segmentu směrování pro doručení. Monitorování změn směrovacích tabulek pomůže zajistit, aby veškerý provoz VPC procházel očekávanou cestou.

Závažnost: Nízká

Ujistěte se, že je příznak databáze log_connections pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení nastavení log_connections způsobí, že se každé pokus o připojení k serveru zaprotokoluje spolu s úspěšným dokončením ověřování klienta. Tento parametr nelze po spuštění relace změnit. PostgreSQL ve výchozím nastavení neprovádí pokusy o připojení. Povolením nastavení log_connections se vytvoří položky protokolu pro každé pokusné připojení a úspěšné dokončení ověření klienta, což může být užitečné při řešení problémů a k určení jakýchkoli neobvyklých pokusů o připojení k serveru. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Střední

Ujistěte se, že je příznak databáze log_disconnections pro instanci Cloud SQL PostgreSQL nastavený na zapnuto.

Popis: Povolení nastavení log_disconnections protokoluje konec každé relace, včetně doby trvání relace. PostgreSQL ve výchozím nastavení protokoluje podrobnosti relace, jako je doba trvání a konec relace. Povolením nastavení log_disconnections se vytvoří položky protokolu na konci každé relace, což může být užitečné při řešení problémů a určení jakékoli neobvyklé aktivity v časovém období. Log_disconnections a log_connections ruku v ruce a obecně by se dvojice povolila nebo zakázala společně. Toto doporučení platí pro instance databáze PostgreSQL.

Závažnost: Střední

Ujistěte se, že jsou protokoly toku VPC povolené pro každou podsíť v síti VPC.

Popis: Protokoly toku jsou funkce, která uživatelům umožňuje zaznamenávat informace o provozu IP adres procházejících a z síťových rozhraní v podsítích VPC organizace. Po vytvoření protokolu toku může uživatel zobrazit a načíst data v protokolování stackdriveru. Doporučujeme povolit protokoly toku pro každou podsíť VPC pro důležité obchodní informace. Sítě VPC a podsítě poskytují logicky izolované a zabezpečené síťové oddíly, kde je možné spouštět prostředky GCP. Pokud jsou pro podsíť povolené protokoly toku, začnou virtuální počítače v této podsíti vytvářet sestavy pro všechny toky PROTOKOLU TCP (Transmission Control Protocol) a UDP (User Datagram Protocol). Každý virtuální počítač vzorkuje toky TCP a UDP, které vidí, příchozí a odchozí, ať už je tok do nebo z jiného virtuálního počítače, hostitele v místním datacentru, službě Google nebo hostiteli na internetu. Pokud dva virtuální počítače GCP komunikují a oba jsou v podsítích s povolenými protokoly toku VPC, oba virtuální počítače hlásí toky. Protokoly toku podporují následující případy použití: 1. Monitorování sítě. 2. Vysvětlení využití sítě a optimalizace nákladů na síťový provoz 3. Forenzní sítě. 4. Protokoly toku analýzy zabezpečení v reálném čase poskytují přehled o síťovém provozu pro každý virtuální počítač uvnitř podsítě a dají se použít k detekci neobvyklého provozu nebo přehledu během pracovních postupů zabezpečení.

Závažnost: Nízká

Protokolování pravidel brány firewall by mělo být povolené.

Popis: Toto doporučení vyhodnotí vlastnost logConfig v metadatech brány firewall a zjistí, jestli je prázdná nebo obsahuje dvojici klíč-hodnota enable: false.

Závažnost: Střední

Brána firewall by neměla být nakonfigurovaná tak, aby byla otevřená pro veřejný přístup.

Popis: Toto doporučení vyhodnotí vlastnost sourceRanges a povolené vlastnosti pro jednu ze dvou konfigurací:

Vlastnost sourceRanges obsahuje hodnotu 0.0.0.0/0 a povolená vlastnost obsahuje kombinaci pravidel, která obsahují jakýkoli protokol nebo protokol:port, s výjimkou následujících: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22

Vlastnost sourceRanges obsahuje kombinaci rozsahů IP, které zahrnují všechny ip adresy bezprivate a povolená vlastnost obsahuje kombinaci pravidel, která povolují všechny porty TCP nebo všechny porty UDP.

Závažnost: Vysoká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port CASSANDRA, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený CISCOSECURE_WEBSM port, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP:9090.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený DIRECTORY_SERVICES port, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:445 a UDP:445.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port DNS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:53 a UDP:53.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port ELASTICSEARCH, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:9200, 9300.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port FTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP:21.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port HTTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:80.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port LDAP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:389, 636 a UDP:389.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MEMCACHED, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:11211, 11214-11215 a UDP:11211, 11214-11215.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MONGODB, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:27017-27019.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port MYSQL, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP:3306.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port NETBIOS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:137-139 a UDP:137-139.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port ORACLEDB, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:1521, 2483-2484 a UDP:2483-2484.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port POP3, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokol a port: TCP:110.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port PostgreSQL, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí povolenou vlastnost v metadatech brány firewall pro následující protokoly a porty: TCP:5432 a UDP:5432.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port REDIS, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP:6379.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port SMTP, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP:25.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port SSH, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokoly a porty: TCP:22 a SCTP:22.

Závažnost: Nízká

Brána firewall by neměla být nakonfigurovaná tak, aby měla otevřený port TELNET, který umožňuje obecný přístup.

Popis: Toto doporučení vyhodnotí, jestli povolená vlastnost v metadatech brány firewall obsahuje následující protokol a port: TCP:23.

Závažnost: Nízká

Clustery GKE by měly mít povolené rozsahy IP adres aliasů.

Popis: Toto doporučení vyhodnotí, jestli je pole useIPAliases ipAllocationPolicy v clusteru nastaveno na false.

Závažnost: Nízká

Clustery GKE by měly mít povolené privátní clustery.

Popis: Toto doporučení vyhodnotí, zda je pole enablePrivateNodes vlastnosti privateClusterConfig nastaveno na false.

Závažnost: Vysoká

V clusterech GKE by se měly povolit zásady sítě.

Popis: Toto doporučení vyhodnotí pole networkPolicy vlastnosti addonsConfig pro dvojici klíč-hodnota, disabled: true.

Závažnost: Střední

Související obsah

• Připojení projekty GCP do Microsoft Defenderu pro cloud
• Co jsou zásady zabezpečení, iniciativy a doporučení?
• Kontrola doporučení týkajících se zabezpečení