Beveiligingsaan aanbevelingen voor GCP-resources (Google Cloud Platform)

Dit artikel bevat alle aanbevelingen die u in Microsoft Defender voor Cloud kunt zien als u een Google Cloud Platform-account (GCP) verbindt met behulp van de pagina Omgevingsinstellingen. De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Uw beveiligingsscore is gebaseerd op het aantal beveiligingsaan aanbevelingen dat u hebt voltooid. Als u wilt bepalen welke aanbevelingen u het eerst wilt oplossen, bekijkt u de ernst van elke aanbeveling en het mogelijke effect ervan op uw beveiligingsscore.

GCP Compute-aanbevelingen

Vm's van de compute-engine moeten gebruikmaken van het besturingssysteem dat is geoptimaliseerd voor containers

Beschrijving: Deze aanbeveling evalueert de configuratie-eigenschap van een knooppuntgroep voor het sleutel-waardepaar imageType: 'COS.'

Ernst: Laag

EDR-configuratieproblemen moeten worden opgelost op virtuele GCP-machines

Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen.
Opmerking: Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor MDE (Microsoft Defender voor Eindpunt) is ingeschakeld.

Ernst: Hoog

EDR-oplossing moet worden geïnstalleerd op GCP Virtual Machines

Beschrijving: Als u virtuele machines wilt beveiligen, installeert u een EDR-oplossing (Endpoint Detection and Response). EDR's helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Servers om Microsoft Defender voor Eindpunt te implementeren. Als de resource is geclassificeerd als 'Niet in orde', is er geen ondersteunde EDR-oplossing geïnstalleerd [Place Holder link - Learn more]. Als u een EDR-oplossing hebt geïnstalleerd die niet kan worden gedetecteerd door deze aanbeveling, kunt u deze uitsluiten.

Ernst: Hoog

Zorg ervoor dat SSH-sleutels voor het hele project worden ingeschakeld voor VM-exemplaren

Beschrijving: Het wordt aanbevolen om exemplaarspecifieke SSH-sleutel(s) te gebruiken in plaats van een of meer algemene/gedeelde SSH-sleutel(s) te gebruiken voor toegang tot exemplaren. SSH-sleutels voor het hele project worden opgeslagen in Compute/Project-meta-data. SSH-sleutels voor het hele project kunnen worden gebruikt om u aan te melden bij alle exemplaren binnen het project. Het gebruik van SSH-sleutels voor het hele project vereenvoudigt het beheer van SSH-sleutels, maar als er inbreuk is gemaakt, vormt dit het beveiligingsrisico dat van invloed kan zijn op alle exemplaren binnen het project. Het is raadzaam om exemplaarspecifieke SSH-sleutels te gebruiken die het kwetsbaarheid voor aanvallen kunnen beperken als de SSH-sleutels worden aangetast.

Ernst: gemiddeld

Controleren of compute-exemplaren worden gestart met afgeschermde VM ingeschakeld

Beschrijving: Als u zich wilt beschermen tegen geavanceerde bedreigingen en ervoor wilt zorgen dat de opstartlaadprogramma's en firmware op uw VM's zijn ondertekend en niet zijn verwijderd, wordt het aanbevolen dat compute-exemplaren worden gestart met afgeschermde VM ingeschakeld. Afgeschermde VM's zijn virtuele machines (VM's) op Google Cloud Platform die worden beveiligd door een set beveiligingscontroles die bescherming bieden tegen rootkits en bootkits. Afgeschermde VM biedt verifieerbare integriteit van uw VM-exemplaren van de Compute Engine, zodat u er zeker van kunt zijn dat uw exemplaren niet zijn aangetast door opstart- of kernel-malware of rootkits. De verifieerbare integriteit van afgeschermde VM's wordt bereikt door gebruik te maken van beveiligd opstarten, virtuele vertrouwde platformmodule (vTPM) met gemeten opstarten en integriteitscontrole. Afgeschermde VM-exemplaren voeren firmware uit die is ondertekend en geverifieerd met behulp van de certificeringsinstantie van Google, om ervoor te zorgen dat de firmware van het exemplaar ongewijzigd blijft en de hoofdmap van vertrouwen voor beveiligd opstarten tot stand wordt gebracht. Integriteitscontrole helpt u bij het begrijpen en nemen van beslissingen over de status van uw VM-exemplaren en de afgeschermde VM vTPM maakt gemeten opstarten mogelijk door de metingen uit te voeren die nodig zijn om een bekende goede opstartbasislijn te maken, de zogenaamde basislijn voor integriteitsbeleid. De basislijn voor integriteitsbeleid wordt gebruikt om te vergelijken met metingen van volgende VM-boots om te bepalen of er iets is gewijzigd. Beveiligd opstarten helpt ervoor te zorgen dat het systeem alleen authentieke software uitvoert door de digitale handtekening van alle opstartonderdelen te verifiëren en het opstartproces te stoppen als de handtekeningverificatie mislukt.

Ernst: Hoog

Zorg ervoor dat 'Verbinding maken met seriële poorten inschakelen' niet is ingeschakeld voor het VM-exemplaar

Beschrijving: Interactie met een seriële poort wordt vaak aangeduid als de seriële console, die vergelijkbaar is met het gebruik van een terminalvenster, in die invoer en uitvoer zich volledig in de tekstmodus bevindt en er geen grafische interface of muisondersteuning is. Als u de interactieve seriële console op een exemplaar inschakelt, kunnen clients proberen verbinding te maken met dat exemplaar vanaf elk IP-adres. Daarom moet interactieve seriële consoleondersteuning worden uitgeschakeld. Een exemplaar van een virtuele machine heeft vier virtuele seriële poorten. Interactie met een seriële poort is vergelijkbaar met het gebruik van een terminalvenster, in die invoer en uitvoer bevindt zich volledig in de tekstmodus en er is geen grafische interface of muisondersteuning. Het besturingssysteem, het BIOS en andere entiteiten op systeemniveau van het exemplaar schrijven vaak uitvoer naar de seriële poorten en kunnen invoer accepteren, zoals opdrachten of antwoorden op prompts. Deze entiteiten op systeemniveau gebruiken doorgaans de eerste seriële poort (poort 1) en seriële poort 1, ook wel de seriële console genoemd. De interactieve seriële console biedt geen ondersteuning voor op IP gebaseerde toegangsbeperkingen, zoals IP-acceptatielijsten. Als u de interactieve seriële console op een exemplaar inschakelt, kunnen clients proberen verbinding te maken met dat exemplaar vanaf elk IP-adres. Hierdoor kan iedereen verbinding maken met dat exemplaar als hij de juiste SSH-sleutel, gebruikersnaam, project-id, zone en exemplaarnaam kent. Daarom moet interactieve seriële consoleondersteuning worden uitgeschakeld.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_duration' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de instelling log_hostname inschakelt, wordt de duur van elke voltooide instructie vastgelegd. Hiermee wordt de tekst van de query niet in een logboek opgeslagen en gedraagt zich dus anders dan de log_min_duration_statement vlag. Deze parameter kan niet worden gewijzigd nadat de sessie is gestart. Het bewaken van de tijd die nodig is om de query's uit te voeren, kan cruciaal zijn bij het identificeren van resource-hoggingquery's en het beoordelen van de prestaties van de server. Verdere stappen, zoals taakverdeling en het gebruik van geoptimaliseerde query's, kunnen worden uitgevoerd om de prestaties en stabiliteit van de server te garanderen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_executor_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De PostgreSQL-uitvoerder is verantwoordelijk voor het uitvoeren van het plan dat door de PostgreSQL-planner wordt overgedragen. De uitvoerder verwerkt het plan recursief om de vereiste set rijen te extraheren. De vlag 'log_executor_stats' bepaalt de opname van prestatiestatistieken van PostgreSQL-uitvoerders in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_executor_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van prestatiestatistieken van PostgreSQL-uitvoerders. Hoewel dit nuttig kan zijn voor het oplossen van problemen, kan dit de hoeveelheid logboeken aanzienlijk verhogen en de prestatieoverhead verhogen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_error_statement' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op Fout of strenger is

Beschrijving: De vlag 'log_min_error_statement' definieert het minimale ernstniveau van het bericht dat als een foutinstructie wordt beschouwd. Berichten voor foutinstructies worden vastgelegd met de SQL-instructie. Geldige waarden zijn 'DEBUG5', 'DEBUG4', 'DEBUG3', 'DEBUG2', 'DEBUG1', 'INFO', 'NOTICE', 'WAARSCHUWING', 'FOUT', 'LOGBOEK', 'FATAL' en 'PANIEK'. Elk ernstniveau bevat de volgende niveaus die hierboven worden genoemd. Zorg ervoor dat een waarde van ERROR of strenger is ingesteld. Controle helpt bij het oplossen van operationele problemen en maakt forensische analyse ook mogelijk. Als 'log_min_error_statement' niet is ingesteld op de juiste waarde, worden berichten mogelijk niet geclassificeerd als foutberichten. Als u algemene logboekberichten beschouwt als foutberichten, is het lastig om werkelijke fouten te vinden en overweegt u alleen strengere ernstniveaus, omdat foutberichten de werkelijke fouten kunnen overslaan om hun SQL-instructies te registreren. De vlag 'log_min_error_statement' moet worden ingesteld op FOUT of strenger. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_parser_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De PostgreSQL-planner/optimizer is verantwoordelijk voor het parseren en controleren van de syntaxis van elke query die door de server wordt ontvangen. Als de syntaxis juist is, wordt een 'parseringsstructuur' opgebouwd, anders wordt er een fout gegenereerd. De vlag 'log_parser_stats' bepaalt de opname van prestatiestatistieken van parser in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_parser_stats' kunt u een ruwe profileringsmethode gebruiken voor prestatiestatistieken van logboekregistratieparser, wat ook nuttig kan zijn voor het oplossen van problemen, het kan de hoeveelheid logboeken aanzienlijk verhogen en prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_planner_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: Dezelfde SQL-query kan op meerdere manieren worden uitgevoerd en nog steeds verschillende resultaten produceren. De PostgreSQL planner/optimizer is verantwoordelijk voor het maken van een optimaal uitvoeringsplan voor elke query. De vlag 'log_planner_stats' bepaalt de opname van prestatiestatistieken van PostgreSQL-planner in de PostgreSQL-logboeken voor elke query. Met de vlag 'log_planner_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van prestatiestatistieken van PostgreSQL-planner. Hoewel dit nuttig kan zijn voor het oplossen van problemen, kan het de hoeveelheid logboeken aanzienlijk verhogen en prestatieoverhead hebben. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_statement_stats' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'uit'

Beschrijving: De vlag 'log_statement_stats' bepaalt de opname van end-to-end prestatiestatistieken van een SQL-query in de PostgreSQL-logboeken voor elke query. Dit kan niet worden ingeschakeld met andere modulestatistieken (log_parser_stats, log_planner_stats, log_executor_stats). Met de vlag 'log_statement_stats' kunt u een ruwe profileringsmethode gebruiken voor het vastleggen van end-to-end prestatiestatistieken van een SQL-query. Dit kan handig zijn voor het oplossen van problemen, maar kan de hoeveelheid logboeken aanzienlijk verhogen en de prestatieoverhead verhogen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat rekeninstanties geen openbare IP-adressen hebben

Beschrijving: Rekeninstanties mogen niet worden geconfigureerd voor externe IP-adressen. Om de kwetsbaarheid voor aanvallen te verminderen, mogen rekeninstanties geen openbare IP-adressen hebben. In plaats daarvan moeten instanties worden geconfigureerd achter load balancers om de blootstelling van het exemplaar aan internet te minimaliseren. Exemplaren die door GKE zijn gemaakt, moeten worden uitgesloten omdat sommige van deze exemplaren externe IP-adressen hebben en niet kunnen worden gewijzigd door de instantie-instellingen te bewerken. Deze VM's hebben namen die beginnen met gke- en zijn gelabeld goog-gke-node.

Ernst: Hoog

Zorg ervoor dat exemplaren niet zijn geconfigureerd voor het gebruik van het standaardserviceaccount

Beschrijving: Het is raadzaam om uw exemplaar te configureren om het standaardserviceaccount van de Compute Engine niet te gebruiken, omdat het de rol Editor voor het project heeft. Het standaardaccount van de Compute Engine-service heeft de rol Editor in het project, waarmee lees- en schrijftoegang tot de meeste Google Cloud Services mogelijk is. Als u zich wilt beschermen tegen escalatie van bevoegdheden als uw VIRTUELE machine is gecompromitteerd en een aanvaller geen toegang krijgt tot al uw project, is het raadzaam om het standaardaccount van de Compute Engine-service niet te gebruiken. In plaats daarvan moet u een nieuw serviceaccount maken en alleen de machtigingen toewijzen die nodig zijn voor uw exemplaar. Het standaardaccount van de Compute Engine-service heeft de naam [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. VM's die door GKE zijn gemaakt, moeten worden uitgesloten. Deze VM's hebben namen die beginnen met gke- en zijn gelabeld goog-gke-node.

Ernst: Hoog

Zorg ervoor dat exemplaren niet zijn geconfigureerd voor het gebruik van het standaardserviceaccount met volledige toegang tot alle Cloud-API's

Beschrijving: Ter ondersteuning van het principe van minimale bevoegdheden en het voorkomen van mogelijke escalatie van bevoegdheden, wordt aanbevolen dat exemplaren niet worden toegewezen aan het standaardserviceaccount 'Standaardserviceaccount compute Engine' met bereik 'Volledige toegang tot alle Cloud-API's toestaan'. Naast de mogelijkheid om optioneel door gebruikers beheerde aangepaste serviceaccounts te maken, te beheren en te gebruiken, biedt Google Compute Engine standaardserviceaccount 'Compute Engine-standaardserviceaccount' voor een exemplaar voor toegang tot de benodigde cloudservices. De rol 'Project-editor' is toegewezen aan het standaardserviceaccount compute-engine. Dit serviceaccount heeft daarom bijna alle mogelijkheden voor alle cloudservices, met uitzondering van facturering. Wanneer er echter een standaardserviceaccount voor de compute-engine is toegewezen aan een exemplaar, kan het in drie bereiken worden uitgevoerd.

1. Standaardtoegang toestaan: hiermee staat u alleen minimale toegang toe die vereist is om een exemplaar uit te voeren (minimale bevoegdheden).
2. Volledige toegang tot alle cloud-API's toestaan: volledige toegang tot alle cloud-API's/services toestaan (te veel toegang).
3. Toegang instellen voor elke API: Hiermee kan de instantiebeheerder alleen de API's kiezen die nodig zijn om specifieke bedrijfsfunctionaliteit uit te voeren die wordt verwacht door het exemplaar wanneer een exemplaar is geconfigureerd met 'Standaardserviceaccount compute-engine' met bereik 'Volledige toegang tot alle Cloud-API's toestaan', op basis van IAM-rollen die zijn toegewezen aan de gebruiker(s) die toegang hebben tot het exemplaar, kan het zijn dat de gebruiker cloudbewerkingen/API-aanroepen kan uitvoeren die niet tot een geslaagde escalatie van bevoegdheden leiden. VM's die door GKE zijn gemaakt, moeten worden uitgesloten. Deze VM's hebben namen die beginnen met 'gke-' en worden gelabeld als 'goog-gke-node'.

Ernst: gemiddeld

Zorg ervoor dat doorsturen via IP niet is ingeschakeld voor exemplaren

Beschrijving: het rekenengine-exemplaar kan een pakket alleen doorsturen als het bron-IP-adres van het pakket overeenkomt met het IP-adres van het exemplaar. Op dezelfde manier levert GCP geen pakket waarvan het doel-IP-adres verschilt van het IP-adres van het exemplaar dat het pakket ontvangt. Beide mogelijkheden zijn echter vereist als u exemplaren wilt gebruiken om pakketten te routeren. Het doorsturen van gegevenspakketten moet worden uitgeschakeld om gegevensverlies of openbaarmaking van gegevens te voorkomen. Het rekenengineexemplaren kunnen een pakket alleen doorsturen als het bron-IP-adres van het pakket overeenkomt met het IP-adres van het exemplaar. Op dezelfde manier levert GCP geen pakket waarvan het doel-IP-adres verschilt van het IP-adres van het exemplaar dat het pakket ontvangt. Beide mogelijkheden zijn echter vereist als u exemplaren wilt gebruiken om pakketten te routeren. Als u deze bron- en doel-IP-controle wilt inschakelen, schakelt u het veld canIpForward uit, waarmee een exemplaar pakketten met niet-overeenkomende doel- of bron-IP-adressen kan verzenden en ontvangen.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_checkpoints' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Zorg ervoor dat de log_checkpoints databasevlag voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op aan. Als u log_checkpoints inschakelt, worden controlepunten en herstartpunten vastgelegd in het serverlogboek. Sommige statistieken worden opgenomen in de logboekberichten, inclusief het aantal buffers dat is geschreven en de tijd die nodig is om ze te schrijven. Deze parameter kan alleen worden ingesteld in het bestand postgresql.conf of op de opdrachtregel van de server. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_lock_waits' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de vlag 'log_lock_waits' inschakelt voor een PostgreSQL-exemplaar, wordt er een logboek gemaakt voor een sessiewachttijd die langer duurt dan de toegewezen 'deadlock_timeout'-tijd om een vergrendeling te verkrijgen. De time-out van de impasse definieert de tijd die moet worden gewacht op een vergrendeling voordat wordt gecontroleerd op eventuele voorwaarden. Frequente run-overs bij time-outs voor impasses kan een indicatie zijn van een onderliggend probleem. Het vastleggen van dergelijke wachttijden op vergrendelingen door de vlag log_lock_waits in te schakelen, kan worden gebruikt om slechte prestaties te identificeren vanwege vergrendelingsvertragingen of als een speciaal gemaakte SQL resources probeert te verhongeren door vergrendelingen te bewaren voor overmatige hoeveelheid tijd. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_duration_statement' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op -1

Beschrijving: De vlag 'log_min_duration_statement' definieert de minimale uitvoeringstijd van een instructie in milliseconden waarin de totale duur van de instructie wordt vastgelegd. Zorg ervoor dat 'log_min_duration_statement' is uitgeschakeld, dat wil gezegd: een waarde van -1 is ingesteld. Sql-instructies voor logboekregistratie bevatten mogelijk gevoelige informatie die niet in logboeken moet worden vastgelegd. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_min_messages' voor het Cloud SQL PostgreSQL-exemplaar juist is ingesteld

Beschrijving: De vlag 'log_min_error_statement' definieert het minimale ernstniveau van het bericht dat wordt beschouwd als een foutinstructie. Berichten voor foutinstructies worden vastgelegd met de SQL-instructie. Geldige waarden zijn 'DEBUG5', 'DEBUG4', 'DEBUG3', 'DEBUG2', 'DEBUG1', 'INFO', 'NOTICE', 'WAARSCHUWING', 'FOUT', 'LOGBOEK', 'FATAL' en 'PANIEK'. Elk ernstniveau bevat de volgende niveaus die hierboven worden genoemd. Opmerking: als u mislukte instructies voor logboekregistratie effectief wilt uitschakelen, stelt u deze parameter in op PANIEK. ERROR wordt beschouwd als de best practice-instelling. Wijzigingen mogen alleen worden aangebracht in overeenstemming met het logboekregistratiebeleid van de organisatie. Controle helpt bij het oplossen van operationele problemen en maakt forensische analyse ook mogelijk. Als 'log_min_error_statement' niet is ingesteld op de juiste waarde, worden berichten mogelijk niet geclassificeerd als foutberichten. Als u algemene logboekberichten beschouwt als foutberichten, kan het lastig zijn om werkelijke fouten te vinden, terwijl u alleen strengere ernstniveaus overweegt, omdat foutberichten werkelijke fouten kunnen overslaan om hun SQL-instructies te registreren. De vlag 'log_min_error_statement' moet worden ingesteld overeenkomstig het logboekregistratiebeleid van de organisatie. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_temp_files' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 0

Beschrijving: PostgreSQL kan een tijdelijk bestand maken voor acties zoals sorteren, hashen en tijdelijke queryresultaten wanneer deze bewerkingen groter zijn dan 'work_mem'. De vlag 'log_temp_files' bepaalt namen van logboekregistraties en de bestandsgrootte wanneer deze wordt verwijderd. Als u 'log_temp_files' configureert op 0, worden alle tijdelijke bestandsgegevens vastgelegd, terwijl alleen bestanden met positieve waarden worden geregistreerd waarvan de grootte groter is dan of gelijk is aan het opgegeven aantal kilobytes. Een waarde van '-1' schakelt de logboekregistratie van tijdelijke bestandsgegevens uit. Als alle tijdelijke bestanden niet worden geregistreerd, kan het lastiger zijn om potentiële prestatieproblemen te identificeren die kunnen worden veroorzaakt door slechte toepassingscodering of opzettelijke pogingen om resources te verhongeren.

Ernst: Laag

Zorg ervoor dat VM-schijven voor kritieke VM's zijn versleuteld met door de klant geleverde versleutelingssleutel

Beschrijving: Door de klant geleverde versleutelingssleutels (CSEK) zijn een functie in Google Cloud Storage en Google Compute Engine. Als u uw eigen versleutelingssleutels opgeeft, gebruikt Google uw sleutel om de door Google gegenereerde sleutels te beveiligen die worden gebruikt voor het versleutelen en ontsleutelen van uw gegevens. Google Compute Engine versleutelt standaard alle data-at-rest. Compute Engine verwerkt en beheert deze versleuteling voor u zonder extra acties. Als u deze versleuteling echter zelf wilt beheren en beheren, kunt u uw eigen versleutelingssleutels opgeven. Google Compute Engine versleutelt standaard alle data-at-rest. Compute Engine verwerkt en beheert deze versleuteling voor u zonder extra acties. Als u deze versleuteling echter zelf wilt beheren en beheren, kunt u uw eigen versleutelingssleutels opgeven. Als u uw eigen versleutelingssleutels opgeeft, gebruikt Compute Engine uw sleutel om de door Google gegenereerde sleutels te beveiligen die worden gebruikt voor het versleutelen en ontsleutelen van uw gegevens. Alleen gebruikers die de juiste sleutel kunnen opgeven, kunnen resources gebruiken die worden beveiligd door een door de klant geleverde versleutelingssleutel. Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel. Op zijn minst bedrijfskritieke VM's moeten VM-schijven zijn versleuteld met CSEK.

Ernst: gemiddeld

Voor GCP-projecten moet automatische inrichting van Azure Arc zijn ingeschakeld

Beschrijving: Voor volledige zichtbaarheid van de beveiligingsinhoud van Microsoft Defender voor servers moeten GCP VM-exemplaren zijn verbonden met Azure Arc. Om ervoor te zorgen dat alle in aanmerking komende VM-exemplaren automatisch Azure Arc ontvangen, schakelt u automatische inrichting van Defender voor Cloud in op GCP-projectniveau. Meer informatie over Azure Arc en Microsoft Defender voor Servers.

Ernst: Hoog

GCP VM-exemplaren moeten zijn verbonden met Azure Arc

Beschrijving: Verbinding maken uw GCP Virtual Machines naar Azure Arc om volledige zichtbaarheid te hebben van de beveiligingsinhoud van Microsoft Defender for Servers. Meer informatie over Azure Arc en over Microsoft Defender voor Servers in een hybride cloudomgeving.

Ernst: Hoog

Voor GCP VM-exemplaren moet de configuratieagent van het besturingssysteem zijn geïnstalleerd

Beschrijving: Voor het ontvangen van de volledige defender voor servers-mogelijkheden met automatische inrichting van Azure Arc moeten voor GCP-VM's de configuratieagent van het besturingssysteem zijn ingeschakeld.

Ernst: Hoog

De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoRepair', 'value': true.

Ernst: gemiddeld

De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoUpgrade', 'value': true.

Ernst: Hoog

Bewaking op GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.

Ernst: gemiddeld

Aanbevelingen voor GCP-containers

[Preview] Containerinstallatiekopieën in het GCP-register moeten problemen hebben opgelost

Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

[Preview] Containers die in GCP worden uitgevoerd, moeten resultaten van beveiligingsproblemen hebben opgelost

Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën te koppelen die worden gebruikt en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

Geavanceerde configuratie van Defender for Containers moet zijn ingeschakeld voor GCP-connectors

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel alle geavanceerde configuratie-instellingen in om ervoor te zorgen dat de oplossing correct is ingericht en de volledige set mogelijkheden beschikbaar zijn.

Ernst: Hoog

Voor GKE-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc

Beschrijving: De clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw GKE-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.

Ernst: Hoog

GKE-clusters moeten de Azure Policy-extensie hebben geïnstalleerd

Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. De extensie werkt met Kubernetes met Azure Arc.

Ernst: Hoog

Microsoft Defender for Containers moet zijn ingeschakeld voor GCP-connectors

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Schakel containers in op uw GCP-connector om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen. Meer informatie over Microsoft Defender for Containers.

Ernst: Hoog

De functie voor automatisch herstellen van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoRepair', 'value': true.

Ernst: gemiddeld

De functie voor automatische upgrade van GKE-cluster moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert de beheereigenschap van een knooppuntgroep voor het sleutel-waardepaar, 'sleutel': 'autoUpgrade', 'value': true.

Ernst: Hoog

Bewaking op GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap monitoringService van een cluster de locatie cloudbewaking moet gebruiken om metrische gegevens te schrijven.

Ernst: gemiddeld

Logboekregistratie voor GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.

Ernst: Hoog

GKE-webdashboard moet worden uitgeschakeld

Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.

Ernst: Hoog

Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters

Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.

Ernst: Hoog

Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.

Ernst: Hoog

Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.

Ernst: Laag

GKE-clusters moeten privéclusters hebben ingeschakeld

Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.

Ernst: Hoog

Netwerkbeleid moet zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.

Ernst: gemiddeld

Aanbevelingen voor gegevensvlak

Alle aanbevelingen voor kubernetes-gegevensvlakbeveiliging worden ondersteund voor GCP nadat u Azure Policy voor Kubernetes hebt ingeschakeld.

Aanbevelingen voor GCP-gegevens

Zorg ervoor dat de databasevlag 3625 (traceringsvlag) voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 3625 (traceringsvlag) voor het Cloud SQL Server-exemplaar in te stellen op 'uit'. Traceringsvlaggen worden vaak gebruikt om prestatieproblemen vast te stellen of om opgeslagen procedures of complexe computersystemen op te sporen, maar ze kunnen ook worden aanbevolen door Microsoft Ondersteuning om gedrag op te lossen dat een specifieke workload negatief beïnvloedt. Alle gedocumenteerde traceringsvlagmen en de markeringen die door Microsoft Ondersteuning worden aanbevolen, worden volledig ondersteund in een productieomgeving wanneer ze worden gebruikt zoals omgeleid. "3625(traceerlogboek)" Beperkt de hoeveelheid informatie die wordt geretourneerd aan gebruikers die geen lid zijn van de vaste serverfunctie sysadmin, door de parameters van sommige foutberichten te maskeren met behulp van '******'. Dit kan helpen bij het voorkomen van openbaarmaking van gevoelige informatie. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'externe scripts ingeschakeld' voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'externe scripts ingeschakeld' in te stellen voor het Cloud SQL Server-exemplaar om uit te schakelen. Met 'externe scripts ingeschakeld' kunt u scripts uitvoeren met bepaalde externe taalextensies. Deze eigenschap is standaard UITGESCHAKELD. Wanneer Advanced Analytics Services is geïnstalleerd, kan setup deze eigenschap desgewenst instellen op true. Omdat de functie 'Externe scripts ingeschakeld' scripts toestaat die zich buiten SQL bevinden, zoals bestanden die zich in een R-bibliotheek bevinden, kunnen worden uitgevoerd, wat de beveiliging van het systeem nadelig kan beïnvloeden, moet dit daarom worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'externe toegang' voor het Cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'externe toegang' in te stellen voor het SQL Server-exemplaar van Cloud SQL Server op 'uit'. De optie Externe toegang bepaalt de uitvoering van opgeslagen procedures van lokale of externe servers waarop exemplaren van SQL Server worden uitgevoerd. Deze standaardwaarde voor deze optie is 1. Hiermee verleent u toestemming om lokale opgeslagen procedures uit te voeren vanaf externe servers of externe opgeslagen procedures van de lokale server. Om te voorkomen dat lokale opgeslagen procedures worden uitgevoerd vanaf een externe server of externe opgeslagen procedures worden uitgevoerd op de lokale server, moet dit worden uitgeschakeld. De optie Externe toegang bepaalt de uitvoering van lokale opgeslagen procedures op externe servers of externe opgeslagen procedures op de lokale server. De functionaliteit 'Externe toegang' kan worden misbruikt om een DoS-aanval (Denial of Service) op externe servers te starten door queryverwerking uit te laden naar een doel, daarom moet dit worden uitgeschakeld. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar is ingesteld op 'aan'

Beschrijving: Het is raadzaam om de databasevlag 'skip_show_database' voor het Cloud SQL Mysql-exemplaar in te stellen op 'aan'. De databasevlag 'skip_show_database' voorkomt dat personen de instructie SHOW DATABASES gebruiken als ze niet de bevoegdheid SHOW DATABASES hebben. Dit kan de beveiliging verbeteren als u zich zorgen maakt over het feit dat gebruikers databases van andere gebruikers kunnen zien. Het effect is afhankelijk van de bevoegdheid SHOW DATABASES: als de variabelewaarde IS INGESCHAKELD, is de instructie SHOW DATABASES alleen toegestaan voor gebruikers met de bevoegdheid SHOW DATABASES en de instructie geeft alle databasenamen weer. Als de waarde UIT is, is SHOW DATABASES toegestaan voor alle gebruikers, maar worden alleen de namen weergegeven van de databases waarvoor de gebruiker de SHOW DATABASES of andere bevoegdheden heeft. Deze aanbeveling is van toepassing op Mysql-database-exemplaren.

Ernst: Laag

Zorg ervoor dat een door de klant beheerde versleutelingssleutel (CMEK) is opgegeven voor alle BigQuery-gegevenssets

Beschrijving: BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. De gegevens worden versleuteld met behulp van de gegevensversleutelingssleutels en gegevensversleutelingssleutels zelf worden verder versleuteld met behulp van sleutelversleutelingssleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Als u echter meer controle wilt hebben, kan CMEK (Door de klant beheerde versleutelingssleutels) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Voor meer controle over de versleuteling kunnen door de klant beheerde versleutelingssleutels (CMEK) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. Als u een door de klant beheerde standaardversleutelingssleutel (CMEK) instelt voor een gegevensset, wordt de opgegeven CMEK gebruikt voor tabellen die in de toekomst worden gemaakt. Opmerking: Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat alle BigQuery-tabellen zijn versleuteld met door de klant beheerde versleutelingssleutel (CMEK)

Beschrijving: BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. De gegevens worden versleuteld met behulp van de gegevensversleutelingssleutels en gegevensversleutelingssleutels zelf worden verder versleuteld met behulp van sleutelversleutelingssleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Als u echter meer controle wilt hebben, kan CMEK (Door de klant beheerde versleutelingssleutels) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-gegevenssets. Als CMEK wordt gebruikt, wordt de CMEK gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery versleutelt de gegevens standaard als rust door envelopversleuteling te gebruiken met behulp van door Google beheerde cryptografische sleutels. Dit is naadloos en vereist geen extra invoer van de gebruiker. Voor meer controle over de versleuteling kunnen door de klant beheerde versleutelingssleutels (CMEK) worden gebruikt als oplossing voor het beheer van versleutelingssleutels voor BigQuery-tabellen. De CMEK wordt gebruikt om de gegevensversleutelingssleutels te versleutelen in plaats van door Google beheerde versleutelingssleutels te gebruiken. BigQuery slaat de tabel- en CMEK-koppeling op en de versleuteling/ontsleuteling wordt automatisch uitgevoerd. Als u de door de klant beheerde standaardsleutels toepast op BigQuery-gegevenssets, zorgt u ervoor dat alle nieuwe tabellen die in de toekomst worden gemaakt, worden versleuteld met BEHULP van CMEK, maar bestaande tabellen moeten worden bijgewerkt om CMEK afzonderlijk te kunnen gebruiken. Opmerking: Google slaat uw sleutels niet op de servers op en heeft geen toegang tot uw beveiligde gegevens, tenzij u de sleutel opgeeft. Dit betekent ook dat als u uw sleutel vergeet of kwijtraakt, google de sleutel niet kan herstellen of om gegevens te herstellen die zijn versleuteld met de verloren sleutel.

Ernst: gemiddeld

Zorg ervoor dat BigQuery-gegevenssets niet anoniem of openbaar toegankelijk zijn

Beschrijving: Het wordt aanbevolen dat het IAM-beleid voor BigQuery-gegevenssets anonieme en/of openbare toegang niet toestaat. Als u machtigingen verleent aan allUsers of allAuthenticatedUsers, heeft iedereen toegang tot de gegevensset. Dergelijke toegang is mogelijk niet wenselijk als gevoelige gegevens worden opgeslagen in de gegevensset. Zorg er daarom voor dat anonieme en/of openbare toegang tot een gegevensset niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud SQL-database-exemplaren zijn geconfigureerd met geautomatiseerde back-ups

Beschrijving: Het is raadzaam om alle SQL Database-exemplaren in te stellen om automatische back-ups in te schakelen. Back-ups bieden een manier om een Cloud SQL-exemplaar te herstellen om verloren gegevens te herstellen of om een probleem met dat exemplaar te herstellen. Geautomatiseerde back-ups moeten worden ingesteld voor elk exemplaar dat gegevens bevat die moeten worden beschermd tegen verlies of schade. Deze aanbeveling is van toepassing op SQL Server-, PostgreSql-, MySql-generatie 1- en MySql generatie 2-exemplaren.

Ernst: Hoog

Zorg ervoor dat cloud-SQL-database-exemplaren niet open zijn voor de wereld

Beschrijving: Database Server mag alleen verbindingen van vertrouwde netwerken/IP('s) accepteren en de toegang van de wereld beperken. Om de kwetsbaarheid voor aanvallen op een databaseserverexemplaren te minimaliseren, moeten alleen vertrouwde/bekende en vereiste IP('s) worden goedgekeurd om er verbinding mee te maken. Een geautoriseerd netwerk mag geen IP-adressen/netwerken hebben geconfigureerd op '0.0.0.0/0', waardoor toegang tot het exemplaar overal ter wereld mogelijk is. Houd er rekening mee dat geautoriseerde netwerken alleen van toepassing zijn op exemplaren met openbare IP-adressen.

Ernst: Hoog

Zorg ervoor dat cloud-SQL-database-exemplaren geen openbare IP-adressen hebben

Beschrijving: Het is raadzaam om een SQL-exemplaar van de tweede generatie te configureren voor het gebruik van privé-IP's in plaats van openbare IP-adressen. Om de kwetsbaarheid voor aanvallen van de organisatie te verlagen, mogen Cloud SQL-databases geen openbare IP-adressen hebben. Privé-IP's bieden verbeterde netwerkbeveiliging en lagere latentie voor uw toepassing.

Ernst: Hoog

Zorg ervoor dat de Cloud Storage-bucket niet anoniem of openbaar toegankelijk is

Beschrijving: Het wordt aanbevolen dat IAM-beleid voor cloudopslagbucket geen anonieme of openbare toegang toestaat. Anonieme of openbare toegang verleent machtigingen aan iedereen om toegang te krijgen tot bucketinhoud. Dergelijke toegang is mogelijk niet gewenst als u gevoelige gegevens opslaat. Zorg er daarom voor dat anonieme of openbare toegang tot een bucket niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat Cloud Storage-buckets uniforme toegang op bucketniveau hebben ingeschakeld

Beschrijving: Het wordt aanbevolen dat uniforme toegang op bucketniveau is ingeschakeld voor Cloud Storage-buckets. Het is raadzaam om uniforme toegang op bucketniveau te gebruiken om de manier waarop u toegang verleent tot uw Cloud Storage-resources te samenvoegen en te vereenvoudigen. Cloud Storage biedt twee systemen voor het verlenen van machtigingen aan gebruikers voor toegang tot uw buckets en objecten: cloudidentiteit en toegangsbeheer (Cloud IAM) en toegangsbeheerlijsten (ACL's).
Deze systemen werken parallel, zodat een gebruiker toegang heeft tot een Cloud Storage-resource, hoeft slechts één van de systemen de gebruikersmachtigingen te verlenen. Cloud-IAM wordt gebruikt in google cloud en stelt u in staat om verschillende machtigingen te verlenen op bucket- en projectniveau. ACL's worden alleen gebruikt door Cloud Storage en hebben beperkte machtigingsopties, maar u kunt hiermee machtigingen per object verlenen.

Om een uniform machtigingssysteem te ondersteunen, heeft Cloud Storage uniforme toegang op bucketniveau. Als u deze functie gebruikt, worden ACL's uitgeschakeld voor alle cloudopslagresources: toegang tot cloudopslagresources wordt vervolgens uitsluitend verleend via Cloud IAM. Het inschakelen van uniforme toegang op bucketniveau garandeert dat als een opslagbucket niet openbaar toegankelijk is, er ook geen object in de bucket openbaar toegankelijk is.

Ernst: gemiddeld

Zorg ervoor dat Compute-exemplaren Confidential Computing hebben ingeschakeld

Beschrijving: Google Cloud versleutelt data-at-rest en in-transit, maar klantgegevens moeten worden ontsleuteld voor verwerking. Confidential Computing is een baanbrekende technologie die gegevens in gebruik versleutelt terwijl deze worden verwerkt. Confidential Computing-omgevingen bewaren gegevens versleuteld in het geheugen en elders buiten de centrale verwerkingseenheid (CPU). Vertrouwelijke VM's maken gebruik van de SEV-functie (Secure Encrypted Virtualization) van AMD EPYC-CPU's. Klantgegevens blijven versleuteld terwijl ze worden gebruikt, geïndexeerd, opgevraagd of getraind. Versleutelingssleutels worden gegenereerd in hardware, per VM en kunnen niet worden geëxporteerd. Dankzij ingebouwde hardwareoptimalisaties van zowel prestaties als beveiliging is er geen aanzienlijke prestatiestraf voor Confidential Computing-workloads. Confidential Computing maakt gevoelige code van klanten en andere gegevens die tijdens de verwerking in het geheugen zijn versleuteld. Google heeft geen toegang tot de versleutelingssleutels. Vertrouwelijke VM kan helpen bij het verlichten van problemen met betrekking tot risico's met betrekking tot de afhankelijkheid van de Google-infrastructuur of de toegang van Google-insiders tot klantgegevens.

Ernst: Hoog

Zorg ervoor dat bewaarbeleid voor logboekbuckets is geconfigureerd met Bucket Lock

Beschrijving: als u bewaarbeleid inschakelt voor logboekbuckets, worden logboeken die zijn opgeslagen in cloudopslagbuckets beschermd tegen overschreven of per ongeluk verwijderd. Het is raadzaam om bewaarbeleid in te stellen en Bucket Lock te configureren voor alle opslagbuckets die worden gebruikt als logboeksinks. Logboeken kunnen worden geëxporteerd door een of meer sinks te maken die een logboekfilter en een bestemming bevatten. Omdat Stackdriver-logboekregistratie nieuwe logboekvermeldingen ontvangt, worden deze vergeleken met elke sink. Als een logboekvermelding overeenkomt met het filter van een sink, wordt een kopie van de logboekvermelding naar het doel geschreven. Sinks kunnen worden geconfigureerd voor het exporteren van logboeken in opslagbuckets. Het is raadzaam om een beleid voor gegevensretentie te configureren voor deze buckets voor cloudopslag en om het bewaarbeleid voor gegevens te vergrendelen; aldus permanent verhinderen dat het beleid wordt verminderd of verwijderd. Op deze manier, als het systeem ooit wordt aangetast door een aanvaller of een kwaadwillende insider die hun sporen wil behandelen, worden de activiteitenlogboeken zeker bewaard voor forensische en beveiligingsonderzoeken.

Ernst: Laag

Zorg ervoor dat voor het cloud-SQL-database-exemplaar alle binnenkomende verbindingen zijn vereist voor het gebruik van SSL

Beschrijving: Het is raadzaam om alle binnenkomende verbindingen met het SQL Database-exemplaar af te dwingen voor het gebruik van SSL. SQL Database-verbindingen als deze zijn vastgelopen (MITM); kan gevoelige gegevens weergeven, zoals referenties, databasequery's, query-uitvoer, enzovoort. Voor beveiliging is het raadzaam altijd SSL-versleuteling te gebruiken bij het maken van verbinding met uw exemplaar. Deze aanbeveling is van toepassing op Postgresql-, MySql-generatie 1- en MySql generatie 2-exemplaren.

Ernst: Hoog

Zorg ervoor dat de databasevlag 'ingesloten databaseverificatie' voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'ingesloten databaseverificatie' in te stellen voor Cloud SQL op het SQL Server-exemplaar is ingesteld op 'uit'. Een ingesloten database bevat alle database-instellingen en metagegevens die nodig zijn om de database te definiëren en heeft geen configuratieafhankelijkheden op het exemplaar van de database-engine waarop de database is geïnstalleerd. Gebruikers kunnen verbinding maken met de database zonder dat ze zich hoeven aan te melden op database-engineniveau. Door de database van de database-engine te isoleren, kunt u de database eenvoudig verplaatsen naar een ander exemplaar van SQL Server. Ingesloten databases hebben enkele unieke bedreigingen die moeten worden begrepen en beperkt door SQL Server Database Engine-beheerders. De meeste bedreigingen zijn gerelateerd aan het verificatieproces USER WITH PASSWORD, waarmee de verificatiegrens van het database-engineniveau wordt verplaatst naar het databaseniveau. Daarom wordt dit aanbevolen om deze vlag uit te schakelen. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'eigendom van meerdere databases' voor cloud SQL Server-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de databasevlag 'eigendomskoppeling tussen databases' in te stellen voor het Cloud SQL Server-exemplaar op 'uit'. Gebruik de optie 'eigendom van meerdere databases' voor het koppelen van ketens om eigendomsketens voor meerdere databases te configureren voor een exemplaar van Microsoft SQL Server. Met deze serveroptie kunt u het eigendom van meerdere databases beheren op databaseniveau of het koppelen van eigendom tussen databases toestaan voor alle databases. Het inschakelen van 'eigendom tussen databases' wordt niet aanbevolen, tenzij alle databases die worden gehost door het exemplaar van SQL Server, moeten deelnemen aan ketens van eigendom van meerdere databases en u op de hoogte bent van de gevolgen voor de beveiliging van deze instelling. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'local_infile' voor een Cloud SQL Mysql-exemplaar is ingesteld op 'uit'

Beschrijving: Het is raadzaam om de local_infile databasevlag in te stellen voor een Cloud SQL MySQL-exemplaar om uit te schakelen. De vlag local_infile bepaalt de LOKALE functie aan de serverzijde voor LOAD DATA-instructies. Afhankelijk van de local_infile-instelling weigert of staat de server het laden van lokale gegevens toe door clients waarvoor LOCAL is ingeschakeld aan de clientzijde. Als u expliciet wilt dat de server LOAD DATA LOCAL-instructies weigert (ongeacht hoe clientprogramma's en bibliotheken tijdens de build of runtime zijn geconfigureerd), start u mysqld met local_infile uitgeschakeld. local_infile kan ook tijdens runtime worden ingesteld. Vanwege beveiligingsproblemen die zijn gekoppeld aan de vlag local_infile, is het raadzaam deze uit te schakelen. Deze aanbeveling is van toepassing op MySQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in IAM-machtigingen voor Cloud Storage

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor IAM-wijzigingen in cloudopslagbucket. Het bewaken van wijzigingen in machtigingen voor cloudopslagbuckets kan de tijd verminderen die nodig is voor het detecteren en corrigeren van machtigingen voor gevoelige buckets voor cloudopslag en -objecten in de bucket.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de configuratie van SQL-exemplaren

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor configuratiewijzigingen van SQL-exemplaren. Het bewaken van wijzigingen in de configuratie van SQL-exemplaren kan de tijd verminderen die nodig is om onjuiste configuraties op de SQL-server te detecteren en te corrigeren. Hieronder ziet u enkele van de configureerbare opties die van invloed kunnen zijn op de beveiligingspostuur van een SQL-exemplaar:

• Automatische back-ups en hoge beschikbaarheid inschakelen: Onjuiste configuratie kan nadelige gevolgen hebben voor bedrijfscontinuïteit, herstel na noodgevallen en hoge beschikbaarheid
• Netwerken autoriseren: onjuiste configuratie kan de blootstelling aan niet-vertrouwde netwerken verhogen

Ernst: Laag

Zorg ervoor dat er alleen door GCP beheerde serviceaccountsleutels zijn voor elk serviceaccount

Beschrijving: Door de gebruiker beheerde serviceaccounts mogen geen door de gebruiker beheerde sleutels hebben. Iedereen die toegang heeft tot de sleutels, heeft toegang tot resources via het serviceaccount. GCP-beheerde sleutels worden gebruikt door Cloud Platform-services zoals App Engine en Compute Engine. Deze sleutels kunnen niet worden gedownload. Google bewaart de sleutels en draait ze automatisch wekelijks. Door de gebruiker beheerde sleutels worden gemaakt, gedownload en beheerd door gebruikers. Ze verlopen 10 jaar na de creatie. Voor door de gebruiker beheerde sleutels moet de gebruiker eigenaar worden van belangrijke beheeractiviteiten, waaronder:

• Sleutelopslag
• Sleuteldistributie
• Sleutelintrekking
• Sleutelroulatie
• De sleutels beschermen tegen onbevoegde gebruikers
• Sleutelherstel

Zelfs met voorzorgsmaatregelen van de sleuteleigenaar kunnen sleutels eenvoudig worden gelekt door veelvoorkomende ontwikkelingsfouten, zoals het controleren van sleutels in de broncode of het verlaten ervan in de map Downloads of het per ongeluk verlaten van sleutels op ondersteuningsblogs/kanalen. Het wordt aanbevolen om door de gebruiker beheerde serviceaccountsleutels te voorkomen.

Ernst: Laag

Zorg ervoor dat de databasevlag 'gebruikersverbindingen' voor het Cloud SQL Server-exemplaar is ingesteld, indien van toepassing

Beschrijving: Het is raadzaam om de databasevlag 'gebruikersverbindingen' in te stellen voor het Cloud SQL Server-exemplaar volgens de door de organisatie gedefinieerde waarde. De optie Gebruikersverbindingen geeft het maximum aantal gelijktijdige gebruikersverbindingen op dat is toegestaan op een exemplaar van SQL Server. Het werkelijke aantal toegestane gebruikersverbindingen is ook afhankelijk van de versie van SQL Server die u gebruikt, en ook de limieten van uw toepassing of toepassingen en hardware. SQL Server staat maximaal 32.767 gebruikersverbindingen toe. Omdat gebruikersverbindingen een dynamische optie (zelf configureren) is, past SQL Server het maximum aantal gebruikersverbindingen automatisch aan, tot de maximaal toegestane waarde. Als er bijvoorbeeld slechts 10 gebruikers zijn aangemeld, worden er 10 gebruikersverbindingsobjecten toegewezen. In de meeste gevallen hoeft u de waarde voor deze optie niet te wijzigen. De standaardwaarde is 0, wat betekent dat de maximumgebruikersverbindingen (32.767) zijn toegestaan. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Laag

Zorg ervoor dat de databasevlag 'Gebruikersopties' voor het Cloud SQL Server-exemplaar niet is geconfigureerd

Beschrijving: Het is raadzaam om de databasevlag 'gebruikersopties' voor het Cloud SQL Server-exemplaar niet te configureren. Met de optie 'gebruikersopties' worden algemene standaardwaarden voor alle gebruikers opgegeven. Er wordt een lijst met standaardopties voor queryverwerking ingesteld voor de duur van de werksessie van een gebruiker. Met de optie gebruikersopties kunt u de standaardwaarden van de SET-opties wijzigen (als de standaardinstellingen van de server niet geschikt zijn). Een gebruiker kan deze standaardinstellingen overschrijven met behulp van de SET-instructie. U kunt gebruikersopties dynamisch configureren voor nieuwe aanmeldingen. Nadat u de instelling van gebruikersopties hebt gewijzigd, gebruiken nieuwe aanmeldingssessies de nieuwe instelling; huidige aanmeldingssessies worden niet beïnvloed. Deze aanbeveling is van toepassing op SQL Server-database-exemplaren.

Ernst: Laag

Logboekregistratie voor GKE-clusters moet zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of de eigenschap loggingService van een cluster de locatie cloudlogboekregistratie moet gebruiken om logboeken te schrijven.

Ernst: Hoog

Objectversiebeheer moet zijn ingeschakeld voor opslagbuckets waar sinks zijn geconfigureerd

Beschrijving: Deze aanbeveling evalueert of het ingeschakelde veld in de eigenschap versiebeheer van de bucket is ingesteld op waar.

Ernst: Hoog

Over-ingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen

Beschrijving: Door overingerichte identiteiten in projecten moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.

Ernst: gemiddeld

Projecten met cryptografische sleutels mogen geen gebruikers met eigenaarsmachtigingen hebben

Beschrijving: Deze aanbeveling evalueert het IAM-beleid toestaan in projectmetagegevens voor principals toegewezen rollen/eigenaar.

Ernst: gemiddeld

Opslagbuckets die worden gebruikt als een logboeksink mogen niet openbaar toegankelijk zijn

Beschrijving: Deze aanbeveling evalueert het IAM-beleid van een bucket voor de principals allUsers of allAuthenticatedUsers, die openbare toegang verlenen.

Ernst: Hoog

GCP IdentityAndAccess-aanbevelingen

Cryptografische sleutels mogen niet meer dan drie gebruikers hebben

Beschrijving: Deze aanbeveling evalueert IAM-beleid voor sleutelringen, projecten en organisaties en haalt principals op met rollen waarmee ze gegevens kunnen versleutelen, ontsleutelen of ondertekenen met behulp van Cloud KMS-sleutels: rollen/eigenaar, rollen/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, and roles/cloudkms.signerVerifier.

Ernst: gemiddeld

Zorg ervoor dat API-sleutels niet worden gemaakt voor een project

Beschrijving: Sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, zoals vanuit een browser, of ze kunnen worden geopend op een apparaat waarop de sleutel zich bevindt. Het is raadzaam om in plaats daarvan de standaardverificatiestroom te gebruiken.

Hieronder ziet u beveiligingsrisico's voor het gebruik van API-sleutels:

1. API-sleutels zijn eenvoudige versleutelde tekenreeksen
2. API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
3. API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

Om het beveiligingsrisico bij het gebruik van API-sleutels te voorkomen, is het raadzaam om in plaats daarvan de standaardverificatiestroom te gebruiken.

Ernst: Hoog

Zorg ervoor dat API-sleutels worden beperkt tot alleen API's waarvoor de toepassing toegang nodig heeft

Beschrijving: API-sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, bijvoorbeeld vanuit een browser, of ze kunnen worden geopend op een apparaat waar de sleutel zich bevindt. Het is raadzaam om API-sleutels te beperken om alleen API's te gebruiken (aanroepen) die vereist zijn voor een toepassing.

Hieronder ziet u de beveiligingsrisico's voor het gebruik van API-sleutels:

1. API-sleutels zijn eenvoudige versleutelde tekenreeksen
2. API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
3. API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

In het licht van deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Om kwetsbaarheid voor aanvallen te verminderen door minimale bevoegdheden te bieden, kunnen API-sleutels worden beperkt tot het gebruik van api's (alleen aanroepen) die vereist zijn voor een toepassing.

Ernst: Hoog

Zorg ervoor dat API-sleutels worden beperkt tot gebruik door alleen opgegeven hosts en apps

Beschrijving: Onbeperkte sleutels zijn onveilig omdat ze openbaar kunnen worden bekeken, zoals vanuit een browser, of ze kunnen worden geopend op een apparaat waar de sleutel zich bevindt. Het is raadzaam om het gebruik van API-sleutels te beperken tot vertrouwde hosts, HTTP-referrers en apps.

Hieronder ziet u beveiligingsrisico's voor het gebruik van API-sleutels:

1. API-sleutels zijn eenvoudige versleutelde tekenreeksen
2. API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
3. API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

In het licht van deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Om aanvalsvectoren te verminderen, kunnen API-sleutels alleen worden beperkt tot vertrouwde hosts, HTTP-referrers en toepassingen.

Ernst: Hoog

Zorg ervoor dat API-sleutels elke 90 dagen worden geroteerd

Beschrijving: Het is raadzaam om api-sleutels elke 90 dagen te roteren.

Hieronder vindt u beveiligingsrisico's voor het gebruik van API-sleutels:

1. API-sleutels zijn eenvoudige versleutelde tekenreeksen
2. API-sleutels identificeren de gebruiker of de toepassing die de API-aanvraag doet niet
3. API-sleutels zijn doorgaans toegankelijk voor clients, waardoor u eenvoudig een API-sleutel kunt detecteren en stelen

Vanwege deze potentiële risico's raadt Google aan om de standaardverificatiestroom te gebruiken in plaats van API-sleutels. Er zijn echter beperkte gevallen waarin API-sleutels geschikter zijn. Als er bijvoorbeeld een mobiele toepassing is die de Google Cloud Translation-API moet gebruiken, maar anders geen back-endserver nodig heeft, zijn API-sleutels de eenvoudigste manier om te verifiëren bij die API.

Zodra een sleutel is gestolen, heeft deze geen vervaldatum, wat betekent dat deze voor onbepaalde tijd kan worden gebruikt, tenzij de projecteigenaar de sleutel intrekt of opnieuw genereert. Het roteren van API-sleutels vermindert het kansvenster voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt.

API-sleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel die mogelijk is verloren, gekraakt of gestolen.

Ernst: Hoog

Zorg ervoor dat KMS-versleutelingssleutels binnen een periode van 90 dagen worden geroteerd

Beschrijving: Google Cloud Key Management Service slaat cryptografische sleutels op in een hiërarchische structuur die is ontworpen voor nuttig en elegant toegangsbeheer. De indeling voor het rotatieschema is afhankelijk van de clientbibliotheek die wordt gebruikt. Voor het opdrachtregelprogramma gcloud moet de volgende draaitijd de notatie ISO of RFC3339 hebben en moet de rotatieperiode de notatie INTEGER[EENHEID] hebben, waarbij eenheden een van seconden (s), minuten (m), uren (h) of dagen (d) kunnen zijn. Stel een sleutelrotatieperiode en begintijd in. Een sleutel kan worden gemaakt met een opgegeven 'rotatieperiode'. Dit is de tijd tussen het automatisch genereren van nieuwe sleutelversies. Een sleutel kan ook worden gemaakt met een opgegeven volgende rotatietijd. Een sleutel is een benoemd object dat een cryptografische sleutel vertegenwoordigt die voor een specifiek doel wordt gebruikt. Het sleutelmateriaal, de werkelijke bits die worden gebruikt voor 'versleuteling', kunnen na verloop van tijd veranderen wanneer nieuwe sleutelversies worden gemaakt. Een sleutel wordt gebruikt om een deel van de gegevens te beveiligen. Een verzameling bestanden kan worden versleuteld met dezelfde sleutel en personen met 'ontsleuteling'-machtigingen voor die sleutel kunnen die bestanden ontsleutelen. Daarom is het noodzakelijk om ervoor te zorgen dat de 'rotatieperiode' is ingesteld op een specifieke tijd.

Ernst: gemiddeld

Zorg ervoor dat het filter en waarschuwingen voor logboekgegevens bestaan voor toewijzingen/wijzigingen van projecteigendom

Beschrijving: om onnodige toewijzingen van projecteigendom aan gebruikers/serviceaccounts en verdere misbruik van projecten en resources te voorkomen, moeten alle toewijzingen van rollen/eigenaar worden bewaakt. Leden (gebruikers/serviceaccounts) met een roltoewijzing aan primitieve rol 'rollen/eigenaar' zijn projecteigenaren. De projecteigenaar heeft alle bevoegdheden voor het project waartoe de rol behoort. Deze worden hieronder samengevat:

• Alle viewermachtigingen voor alle GCP Services binnen het project
• Machtigingen voor acties die de status van alle GCP-services binnen het project wijzigen
• Rollen en machtigingen voor een project en alle resources binnen het project beheren
• Als u facturering instelt voor een project dat de rol van eigenaar aan een lid (gebruiker/serviceaccount) verleent, kan dat lid het IAM-beleid (Identity and Access Management) wijzigen. Verdeel daarom alleen de rol van eigenaar als het lid een legitiem doel heeft om het IAM-beleid te beheren. Dit komt doordat het IAM-beleid van het project gevoelige toegangsbeheergegevens bevat. Als u een minimale set gebruikers hebt die IAM-beleid mogen beheren, wordt elke controle vereenvoudigd die mogelijk nodig is. Het eigendom van een project heeft het hoogste niveau van bevoegdheden voor een project. Om misbruik van projectbronnen te voorkomen, moeten de hierboven genoemde acties voor het toewijzen/wijzigen van projecteigendom worden bewaakt en gewaarschuwd voor betrokken geadresseerden.
• Uitnodigingen voor projecteigendom verzenden
• Acceptatie/afwijzing van uitnodiging voor projecteigendom door gebruiker
• Toevoegen role\Owner aan een gebruikers-/serviceaccount
• Een gebruikers-/serviceaccount verwijderen uit role\Owner

Ernst: Laag

Controleren of oslogin is ingeschakeld voor een project

Beschrijving: Het inschakelen van aanmelding van het besturingssysteem verbindt SSH-certificaten aan IAM-gebruikers en vereenvoudigt effectief SSH-certificaatbeheer. Als u osLogin inschakelt, zorgt u ervoor dat SSH-sleutels die worden gebruikt om verbinding te maken met exemplaren, worden toegewezen aan IAM-gebruikers. Als u de toegang tot de IAM-gebruiker intrekt, worden alle SSH-sleutels ingetrokken die aan die specifieke gebruiker zijn gekoppeld. Het vereenvoudigt gecentraliseerd en geautomatiseerd SSH-sleutelpaarbeheer, wat handig is bij het afhandelen van zaken als reactie op gecompromitteerde SSH-sleutelparen en/of het intrekken van externe/externe/leveranciersgebruikers. Als u wilt achterhalen welke instantie ervoor zorgt dat het project niet in orde is, raadpleegt u de aanbeveling 'Ensure oslogin is enabled for all instances'.

Ernst: gemiddeld

Controleren of oslogin is ingeschakeld voor alle exemplaren

Beschrijving: Het inschakelen van aanmelding van het besturingssysteem verbindt SSH-certificaten aan IAM-gebruikers en vereenvoudigt effectief SSH-certificaatbeheer. Als u osLogin inschakelt, zorgt u ervoor dat SSH-sleutels die worden gebruikt om verbinding te maken met exemplaren, worden toegewezen aan IAM-gebruikers. Als u de toegang tot de IAM-gebruiker intrekt, worden alle SSH-sleutels ingetrokken die aan die specifieke gebruiker zijn gekoppeld. Het vereenvoudigt gecentraliseerd en geautomatiseerd SSH-sleutelpaarbeheer, wat handig is bij het afhandelen van zaken als reactie op gecompromitteerde SSH-sleutelparen en/of het intrekken van externe/externe/leveranciersgebruikers.

Ernst: gemiddeld

Zorg ervoor dat cloudcontrolelogboekregistratie juist is geconfigureerd voor alle services en alle gebruikers van een project

Beschrijving: Het wordt aanbevolen om cloudcontrolelogboekregistratie te configureren voor het bijhouden van alle beheeractiviteiten en het lezen, schrijven van toegang tot gebruikersgegevens.

Cloud Audit Logging onderhoudt twee auditlogboeken voor elk project, elke map en elke organisatie: Beheer Activiteit en Gegevenstoegang.

1. Beheer activiteitenlogboeken logboekvermeldingen bevatten voor API-aanroepen of andere beheeracties waarmee de configuratie of metagegevens van resources worden gewijzigd. Beheer activiteitencontrolelogboeken zijn ingeschakeld voor alle services en kunnen niet worden geconfigureerd.
2. In auditlogboeken van Data Access worden API-aanroepen vastgelegd waarmee door de gebruiker verstrekte gegevens worden gemaakt, gewijzigd of gelezen. Deze zijn standaard uitgeschakeld en moeten worden ingeschakeld. Er zijn drie soorten Gegevenstoegang-auditlogboekgegevens:

• Beheer gelezen: records die metagegevens of configuratiegegevens lezen. Beheer activiteitenlogboeken registreren schrijfbewerkingen van metagegevens en configuratiegegevens die niet kunnen worden uitgeschakeld.
• Gegevens gelezen: records die door de gebruiker verstrekte gegevens lezen.
• Gegevens schrijven: registreert bewerkingen die door de gebruiker verstrekte gegevens schrijven.

Het is raadzaam om een effectieve standaardcontroleconfiguratie zo te configureren dat:

1. logtype is ingesteld op DATA_READ (om gebruikersactiviteiten bij te houden) en DATA_WRITES (om wijzigingen/manipulatie in gebruikersgegevens te registreren).
2. controleconfiguratie is ingeschakeld voor alle services die worden ondersteund door de functie Data Access-auditlogboeken.
3. Logboeken moeten worden vastgelegd voor alle gebruikers, dat wil gezegd, er zijn geen uitgesloten gebruikers in een van de secties voor auditconfiguratie. Dit zorgt ervoor dat het overschrijven van de auditconfiguratie niet in strijd is met de vereiste.

Ernst: gemiddeld

Zorg ervoor dat cloud KMS-cryptosleutels niet anoniem of openbaar toegankelijk zijn

Beschrijving: Het wordt aanbevolen dat het IAM-beleid op Cloud KMS -cryptosleutels anonieme en/of openbare toegang moet beperken. Als u machtigingen verleent aan 'allUsers' of 'allAuthenticatedUsers', heeft iedereen toegang tot de gegevensset. Dergelijke toegang is mogelijk niet wenselijk als gevoelige gegevens op de locatie worden opgeslagen. In dit geval moet u ervoor zorgen dat anonieme en/of openbare toegang tot een Cloud KMS-cryptosleutel niet is toegestaan.

Ernst: Hoog

Zorg ervoor dat de aanmeldingsreferenties van het bedrijf worden gebruikt

Beschrijving: Gebruik referenties voor bedrijfsaanmelding in plaats van persoonlijke accounts, zoals Gmail-accounts. Het wordt aanbevolen om volledig beheerde zakelijke Google-accounts te gebruiken voor betere zichtbaarheid, controle en het beheren van de toegang tot Cloud Platform-resources. Gmail-accounts die zijn gebaseerd buiten de organisatie van de gebruiker, zoals persoonlijke accounts, mogen niet worden gebruikt voor zakelijke doeleinden.

Ernst: Hoog

Zorg ervoor dat IAM-gebruikers niet de rollen Gebruiker van serviceaccount of Serviceaccountmaker op projectniveau hebben toegewezen

Beschrijving: Het is raadzaam om de rollen ServiceAccountGebruiker (iam.serviceAccountUser) en Service Account Token Creator (iam.serviceAccountTokenCreator) toe te wijzen aan een gebruiker voor een specifiek serviceaccount in plaats van de rol toe te wijzen aan een gebruiker op projectniveau. Een serviceaccount is een speciaal Google-account dat deel uitmaakt van een toepassing of een virtuele machine (VM), in plaats van aan een afzonderlijke eindgebruiker. Toepassing/VM-exemplaar gebruikt het serviceaccount om de Google API van de service aan te roepen, zodat gebruikers niet rechtstreeks betrokken zijn. Naast een identiteit is een serviceaccount een resource waaraan IAM-beleid is gekoppeld. Met deze beleidsregels wordt bepaald wie het serviceaccount kan gebruiken. Gebruikers met IAM-rollen voor het bijwerken van de App Engine- en Compute Engine-exemplaren (zoals App Engine Deployer of Compute Instance Beheer) kunnen code effectief uitvoeren als de serviceaccounts die worden gebruikt om deze exemplaren uit te voeren en indirect toegang krijgen tot alle resources waartoe de serviceaccounts toegang hebben. Op dezelfde manier biedt SSH-toegang tot een Compute Engine-exemplaar mogelijk ook de mogelijkheid om code uit te voeren als dat exemplaar/serviceaccount. Op basis van bedrijfsbehoeften kunnen er meerdere door de gebruiker beheerde serviceaccounts zijn geconfigureerd voor een project. Het verlenen van de rollen iam.serviceAccountUser of iam.serviceAccountTokenCreatorccountUser aan een gebruiker voor een project geeft de gebruiker toegang tot alle serviceaccounts in het project, inclusief serviceaccounts die in de toekomst kunnen worden gemaakt. Dit kan leiden tot uitbreiding van bevoegdheden met behulp van serviceaccounts en bijbehorende 'Compute Engine-exemplaren'. Om best practices voor 'minimale bevoegdheden' te implementeren, mogen IAM-gebruikers niet de rollen 'Serviceaccountgebruiker' of 'ServiceaccounttokenMaker' toewijzen op projectniveau. In plaats daarvan moeten deze rollen worden toegewezen aan een gebruiker voor een specifiek serviceaccount, waardoor die gebruiker toegang krijgt tot het serviceaccount. Met de serviceaccountgebruiker kan een gebruiker een serviceaccount binden aan een langlopende taakservice, terwijl met de rol Serviceaccounttokenmaker een gebruiker de identiteit van een serviceaccount rechtstreeks kan imiteren (of bevestigen).

Ernst: gemiddeld

Zorg ervoor dat scheiding van taken wordt afgedwongen tijdens het toewijzen van KMS-gerelateerde rollen aan gebruikers

Beschrijving: Het wordt aanbevolen dat het principe 'Scheiding van taken' wordt afgedwongen bij het toewijzen van KMS-gerelateerde rollen aan gebruikers. Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS Beheer kan de gebruiker/identiteit serviceaccounts maken, verwijderen en beheren. Met de ingebouwde/vooraf gedefinieerde IAM-rol 'Cloud KMS CryptoKey Encrypter/Decrypter' kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) gegevens at rest versleutelen en ontsleutelen met behulp van een versleutelingssleutel(s). Met de ingebouwde/vooraf gedefinieerde IAM-rol Cloud KMS CryptoKey Encrypter kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) gegevens at rest versleutelen met behulp van een versleutelingssleutel(s). Met de ingebouwde/vooraf gedefinieerde IAM-rol 'Cloud KMS CryptoKey Decrypter' kan de gebruiker/identiteit (met voldoende bevoegdheden voor betrokken resources) data-at-rest ontsleutelen met behulp van een versleutelingssleutel(s). Scheiding van taken is het concept om ervoor te zorgen dat één persoon niet alle benodigde machtigingen heeft om een kwaadwillende actie te kunnen voltooien. In CLOUD KMS kan dit een actie zijn, zoals het gebruik van een sleutel voor toegang tot en ontsleuteling van gegevens waar een gebruiker normaal gesproken geen toegang toe heeft. Scheiding van taken is een bedrijfsbeheer dat doorgaans wordt gebruikt in grotere organisaties, bedoeld om beveiligings- of privacyincidenten en -fouten te voorkomen. Het wordt beschouwd als best practice. Er moeten geen cloud-KMS-Beheer en een van de rollen Cloud KMS CryptoKey Encrypter/Decrypter, Cloud KMS CryptoKey Encrypter, Cloud KMS CryptoKey Decrypter zijn toegewezen.

Ernst: Hoog

Zorg ervoor dat scheiding van taken wordt afgedwongen tijdens het toewijzen van aan gebruikers gerelateerde rollen voor serviceaccounts

Beschrijving: Het wordt aanbevolen dat het principe 'Scheiding van taken' wordt afgedwongen bij het toewijzen van serviceaccounts aan gebruikers. Met de ingebouwde/vooraf gedefinieerde IAM-rol Serviceaccountbeheerder kan de gebruiker/identiteit serviceaccounts maken, verwijderen en beheren. Met de ingebouwde/vooraf gedefinieerde IAM-rol Serviceaccountgebruiker kan de gebruiker/identiteit (met voldoende bevoegdheden voor Compute en App Engine) serviceaccounts toewijzen aan Apps/Compute-exemplaren. Scheiding van taken is het concept om ervoor te zorgen dat één persoon niet alle benodigde machtigingen heeft om een kwaadwillende actie te kunnen voltooien. In Cloud IAM- serviceaccounts kan dit een actie zijn, zoals het gebruik van een serviceaccount voor toegang tot resources waartoe de gebruiker normaal gesproken geen toegang moet hebben. Scheiding van taken is een bedrijfsbeheer dat doorgaans wordt gebruikt in grotere organisaties, bedoeld om beveiligings- of privacyincidenten en -fouten te voorkomen. Het wordt beschouwd als best practice. Er mogen geen gebruikers de rollen 'Serviceaccount Beheer' en 'Serviceaccountgebruiker' op hetzelfde moment hebben toegewezen.

Ernst: gemiddeld

Zorg ervoor dat het serviceaccount geen Beheer bevoegdheden heeft

Beschrijving: Een serviceaccount is een speciaal Google-account dat deel uitmaakt van een toepassing of virtuele machine, in plaats van aan een afzonderlijke eindgebruiker. De toepassing gebruikt het serviceaccount om de Google API van de service aan te roepen, zodat gebruikers niet rechtstreeks betrokken zijn. Het is raadzaam om geen beheerderstoegang te gebruiken voor ServiceAccount. Serviceaccounts vertegenwoordigen de beveiliging op serviceniveau van de resources (toepassing of een VM) die kan worden bepaald door de rollen die eraan zijn toegewezen. Het inschrijven van ServiceAccount met Beheer rechten geeft volledige toegang tot een toegewezen toepassing of een VIRTUELE machine. Een ServiceAccount Access-houder kan kritieke acties uitvoeren, zoals instellingen voor verwijderen, wijzigen van wijzigingen, enzovoort, zonder tussenkomst van de gebruiker. Daarom wordt aanbevolen dat serviceaccounts geen Beheer rechten hebben.

Ernst: gemiddeld

Zorg ervoor dat sinks zijn geconfigureerd voor alle logboekvermeldingen

Beschrijving: Het is raadzaam om een sink te maken waarmee kopieën van alle logboekvermeldingen worden geëxporteerd. Dit kan helpen bij het aggregeren van logboeken van meerdere projecten en deze exporteren naar een SIEM (Security Information and Event Management). Logboekvermeldingen worden bewaard in Stackdriver-logboekregistratie. Als u logboeken wilt aggregeren, exporteert u deze naar een SIEM. Als u ze langer wilt houden, is het raadzaam om een logboeksink in te stellen. Exporteren omvat het schrijven van een filter dat de logboekvermeldingen selecteert die u wilt exporteren en een bestemming kiest in Cloud Storage, BigQuery of Cloud Pub/Sub. Het filter en de bestemming worden bewaard in een object dat een sink wordt genoemd. Om ervoor te zorgen dat alle logboekvermeldingen worden geëxporteerd naar sinks, moet u ervoor zorgen dat er geen filter is geconfigureerd voor een sink. Sinks kunnen worden gemaakt in projecten, organisaties, mappen en factureringsaccounts.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de controleconfiguratie

Beschrijving: GCP-services (Google Cloud Platform) schrijven vermeldingen in het auditlogboek naar de Beheer Activiteiten- en Data Access-logboeken om de vragen te beantwoorden over 'wie heeft wat, waar en wanneer?' in GCP-projecten. Auditlogboekregistratie van de cloud bevat informatie over de identiteit van de API-aanroeper, het tijdstip van de API-aanroep, het bron-IP-adres van de API-aanroeper, de aanvraagparameters en de antwoordelementen die door GCP-services worden geretourneerd. Logboekregistratie van cloudcontrole biedt een geschiedenis van GCP API-aanroepen voor een account, waaronder API-aanroepen via de console, SDK's, opdrachtregelprogramma's en andere GCP-services. Beheer activiteiten- en gegevenstoegangslogboeken die worden geproduceerd door auditlogboekregistratie in de cloud, maken beveiligingsanalyse, tracering van resourcewijziging en nalevingscontrole mogelijk. Het configureren van het metrische filter en waarschuwingen voor wijzigingen in de controleconfiguratie zorgt ervoor dat de aanbevolen status van de controleconfiguratie wordt gehandhaafd, zodat alle activiteiten in het project op elk moment kunnen worden gecontroleerd.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in aangepaste rollen

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in IAM-rollen (Identity and Access Management) voor het maken, verwijderen en bijwerken van activiteiten. Google Cloud IAM biedt vooraf gedefinieerde rollen die gedetailleerde toegang bieden tot specifieke Google Cloud Platform-resources en ongewenste toegang tot andere resources voorkomen. Cloud IAM biedt echter ook de mogelijkheid om aangepaste rollen te maken, om te voldoen aan organisatiespecifieke behoeften. Projecteigenaren en beheerders met de rol Organisatierol Beheer istrator of de IAM-rol Beheer istrator kunnen aangepaste rollen maken. Het controleren van activiteiten voor het maken, verwijderen en bijwerken van rollen helpt bij het identificeren van elke rol met overprivilegiatie in een vroeg stadium.

Ernst: Laag

Zorg ervoor dat door de gebruiker beheerde/externe sleutels voor serviceaccounts elke 90 dagen of minder worden geroteerd

Beschrijving: Serviceaccountsleutels bestaan uit een sleutel-id (Private_key_Id) en een persoonlijke sleutel, die worden gebruikt voor het ondertekenen van programmatische aanvragen die gebruikers indienen bij Google-cloudservices die toegankelijk zijn voor dat specifieke serviceaccount. Het wordt aanbevolen dat alle serviceaccountsleutels regelmatig worden geroteerd. Het draaien van serviceaccountsleutels vermindert het kansvenster voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt. Serviceaccountsleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel die mogelijk verloren, gekraakt of gestolen is. Elk serviceaccount is gekoppeld aan een sleutelpaar dat wordt beheerd door Google Cloud Platform (GCP). Het wordt gebruikt voor service-naar-service-verificatie binnen GCP. Google draait de sleutels dagelijks. GCP biedt de mogelijkheid om een of meer door de gebruiker beheerde sleutelparen (ook wel externe sleutelparen genoemd) te maken voor gebruik van buiten GCP (bijvoorbeeld voor gebruik met standaardreferenties voor toepassingen). Wanneer er een nieuw sleutelpaar wordt gemaakt, moet de gebruiker de persoonlijke sleutel downloaden (die niet wordt bewaard door Google).

Met externe sleutels zijn gebruikers verantwoordelijk voor het beveiligen van de persoonlijke sleutel en andere beheerbewerkingen, zoals sleutelrotatie. Externe sleutels kunnen worden beheerd door de IAM-API, het opdrachtregelprogramma gcloud of de pagina Serviceaccounts in de Google Cloud Platform-console.

GCP faciliteert maximaal 10 externe serviceaccountsleutels per serviceaccount om sleutelrotatie te vergemakkelijken.

Ernst: gemiddeld

GKE-webdashboard moet worden uitgeschakeld

Beschrijving: Deze aanbeveling evalueert het kubernetesDashboard-veld van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': false.

Ernst: Hoog

Verouderde autorisatie moet worden uitgeschakeld op GKE-clusters

Beschrijving: Met deze aanbeveling wordt de verouderde eigenschapAbac van een cluster geëvalueerd voor het sleutel-waardepaar ingeschakeld: true.

Ernst: Hoog

Redis IAM-rol mag niet worden toegewezen op organisatie- of mapniveau

Beschrijving: Met deze aanbeveling wordt het IAM-beleid in resourcemetagegevens geëvalueerd voor principals toegewezen rollen/redis.admin, roles/redis.editor, roles/redis.viewer op organisatie- of mapniveau.

Ernst: Hoog

Serviceaccounts moeten beperkte projecttoegang hebben in een cluster

Beschrijving: Met deze aanbeveling wordt de configuratie-eigenschap van een knooppuntgroep geëvalueerd om te controleren of er geen serviceaccount is opgegeven of of het standaardserviceaccount wordt gebruikt.

Ernst: Hoog

Gebruikers moeten toegang hebben tot minimale bevoegdheden met gedetailleerde IAM-rollen

Beschrijving: Deze aanbeveling evalueert het IAM-beleid in resourcemetagegevens voor principals toegewezen rollen/Eigenaar, rollen/Schrijver of Rollen/Lezer.

Ernst: Hoog

Superidentiteiten in uw GCP-omgeving moeten worden verwijderd

Beschrijving: Een superidentiteit heeft een krachtige set machtigingen. Superbeheerders zijn menselijke identiteiten of workloadidentiteiten die toegang hebben tot alle machtigingen en alle resources. Ze kunnen configuratie-instellingen maken en wijzigen in een service, identiteiten toevoegen of verwijderen en gegevens openen of zelfs verwijderen. Niet-bewaakt, deze identiteiten vormen een aanzienlijk risico op misbruik van machtigingen als deze worden geschonden.

Ernst: Hoog

Ongebruikte identiteiten in uw GCP-omgeving moeten worden verwijderd

Beschrijving: Het is noodzakelijk om ongebruikte identiteiten te identificeren omdat ze aanzienlijke beveiligingsrisico's vormen. Deze identiteiten hebben vaak betrekking op slechte praktijken, zoals overmatige machtigingen en verkeerd beheerde sleutels die organisaties open laten staan voor misbruik of misbruik van referenties en vergroot de kwetsbaarheid voor aanvallen van uw resource. Inactieve identiteiten zijn menselijke en niet-menselijke entiteiten die de afgelopen 90 dagen geen actie hebben uitgevoerd op een resource. Serviceaccountsleutels kunnen een beveiligingsrisico worden als ze niet zorgvuldig worden beheerd.

Ernst: gemiddeld

GCP-identiteiten mogen alleen de benodigde machtigingen hebben

Beschrijving: Een over-ingerichte actieve identiteit is een identiteit die toegang heeft tot bevoegdheden die ze niet hebben gebruikt. Over-ingerichte actieve identiteiten, met name voor niet-menselijke accounts die zeer gedefinieerde acties en verantwoordelijkheden hebben, kunnen de straal vergroten in het geval van een gebruiker, sleutel of resource. Het principe van minimale bevoegdheden geeft aan dat een resource alleen toegang moet hebben tot de exacte resources die nodig zijn om te kunnen functioneren. Dit principe is ontwikkeld om het risico te verhelpen dat gecompromitteerde identiteiten een aanvaller toegang verlenen tot een breed scala aan resources.

Ernst: gemiddeld

Aanbevelingen voor GCP-netwerken

Clusterhosts moeten worden geconfigureerd om alleen privé-IP-adressen te gebruiken voor toegang tot Google-API's

Beschrijving: Deze aanbeveling evalueert of de eigenschap privateIpGoogleAccess van een subnetwork is ingesteld op false.

Ernst: Hoog

Rekeninstanties moeten een load balancer gebruiken die is geconfigureerd voor het gebruik van een HTTPS-doelproxy

Beschrijving: Deze aanbeveling evalueert of de eigenschap selfLink van de targetHttpProxy-resource overeenkomt met het doelkenmerk in de doorstuurregel en of de doorstuurregel een loadBalancingScheme-veld bevat dat is ingesteld op Extern.

Ernst: gemiddeld

Geautoriseerde netwerken voor besturingsvlak moeten zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert de eigenschap masterAuthorizedNetworksConfig van een cluster voor het sleutel-waardepaar ingeschakeld: false.

Ernst: Hoog

Regel voor uitgaand weigeren moet worden ingesteld op een firewall om ongewenst uitgaand verkeer te blokkeren

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de eigenschap destinationRanges in de firewall is ingesteld op 0.0.0.0/0 en de eigenschap geweigerd het sleutel-waardepaar 'IPProtocol': 'all'.

Ernst: Laag

Zorg ervoor dat firewallregels voor exemplaren achter IAP (Identity Aware Proxy) alleen het verkeer van De statuscontrole en proxyadressen van Google Cloud Loadbalancer (GCLB) toestaan

Beschrijving: Toegang tot VM's moet worden beperkt door firewallregels die alleen IAP-verkeer toestaan door ervoor te zorgen dat alleen verbindingen die door de IAP worden geproxieerd, zijn toegestaan. Om ervoor te zorgen dat taakverdeling correct werkt, moeten ook statuscontroles worden toegestaan. IAP zorgt ervoor dat de toegang tot VM's wordt beheerd door binnenkomende aanvragen te verifiëren. Als de VIRTUELE machine echter nog steeds toegankelijk is vanaf andere IP-adressen dan de IAP, is het mogelijk om niet-geverifieerde aanvragen naar het exemplaar te verzenden. Zorg ervoor dat de loadblancer-statuscontroles niet worden geblokkeerd, omdat hierdoor de load balancer de status van de VIRTUELE machine en taakverdeling correct kan kennen.

Ernst: gemiddeld

Controleren of verouderde netwerken niet bestaan voor een project

Beschrijving: Om het gebruik van verouderde netwerken te voorkomen, mag voor een project geen verouderd netwerk zijn geconfigureerd. Verouderde netwerken hebben één IPv4-voorvoegselbereik en één gateway-IP-adres voor het hele netwerk. Het netwerk is globaal binnen het bereik en omvat alle cloudregio's. Subnetten kunnen niet worden gemaakt in een verouderd netwerk en kunnen niet overschakelen van verouderde naar automatische of aangepaste subnetnetwerken. Verouderde netwerken kunnen invloed hebben op projecten met veel netwerkverkeer en kunnen worden onderworpen aan één conflictpunt of storing.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_hostname' voor het Cloud SQL PostgreSQL-exemplaar juist is ingesteld

Beschrijving: PostgreSQL registreert alleen het IP-adres van de verbindingshosts. De vlag 'log_hostname' bepaalt de logboekregistratie van 'hostnamen' naast de IP-adressen die zijn geregistreerd. De prestatietreffer is afhankelijk van de configuratie van de omgeving en de installatie van de hostnaamomzetting. Deze parameter kan alleen worden ingesteld in het bestand postgresql.conf of op de opdrachtregel van de server. Voor het vastleggen van hostnamen kan overhead optreden bij serverprestaties, omdat voor elke vastgelegde instructie DNS-omzetting vereist is om het IP-adres te converteren naar hostnaam. Afhankelijk van de installatie kan dit niet te verwaarlozen zijn. Bovendien kunnen de IP-adressen die worden geregistreerd later worden omgezet in hun DNS-namen wanneer u de logboeken bekijkt, met uitzondering van de gevallen waarin dynamische hostnamen worden gebruikt. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: Laag

Zorg ervoor dat geen load balancers voor HTTPS- of SSL-proxy's SSL-beleid met zwakke coderingssuites toestaan

Beschrijving: Ssl-beleid (Secure Sockets Layer) bepaalt welke TLS-functies (Port Transport Layer Security) clients mogen gebruiken bij het maken van verbinding met load balancers. Om het gebruik van onveilige functies te voorkomen, moet SSL-beleid ten minste TLS 1.2 gebruiken met het MODERNE profiel; of (b) het BEPERKTE profiel, omdat clients in feite TLS 1.2 moeten gebruiken, ongeacht de gekozen minimale TLS-versie; of (3) een AANGEPAST profiel dat geen van de volgende functies ondersteunt: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Load balancers worden gebruikt om verkeer efficiënt over meerdere servers te verdelen. Zowel SSL-proxy- als HTTPS-load balancers zijn externe load balancers, wat betekent dat ze verkeer van internet naar een GCP-netwerk distribueren. GCP-klanten kunnen ssl-beleid voor load balancers configureren met een minimale TLS-versie (1.0, 1.1 of 1.2) die clients kunnen gebruiken om een verbinding tot stand te brengen, samen met een profiel (compatibel, modern, beperkt of aangepast) waarmee toegestane coderingssuites worden opgegeven. Om te voldoen aan gebruikers die verouderde protocollen gebruiken, kunnen GCP-load balancers worden geconfigureerd om onveilige coderingssuites toe te staan. In feite maakt het GCP-standaard-SSL-beleid gebruik van een minimale TLS-versie van 1.0 en een compatibel profiel, waardoor het breedste scala aan onveilige coderingssuites mogelijk is. Als gevolg hiervan is het eenvoudig voor klanten om een load balancer te configureren zonder zelfs te weten dat ze verouderde coderingssuites toestaan.

Ernst: gemiddeld

Zorg ervoor dat cloud-DNS-logboekregistratie is ingeschakeld voor alle VPC-netwerken

Beschrijving: In de cloud-DNS-logboekregistratie worden de query's vastgelegd van de naamservers binnen uw VPC naar Stackdriver. Vastgelegde query's kunnen afkomstig zijn van VM's van de Compute Engine, GKE-containers of andere GCP-resources die zijn ingericht in de VPC. Beveiligingsbewaking en forensische gegevens kunnen niet alleen afhankelijk zijn van IP-adressen uit VPC-stroomlogboeken, met name wanneer u rekening houdt met het dynamische IP-gebruik van cloudresources, routering van virtuele HTTP-hosts en andere technologie die de DNS-naam die door een client wordt gebruikt, van het IP-adres kan worden verborgen. Bewaking van cloud-DNS-logboeken biedt inzicht in DNS-namen die door de clients in de VPC worden aangevraagd. Deze logboeken kunnen worden gecontroleerd op afwijkende domeinnamen, geëvalueerd op bedreigingsinformatie en opmerking: voor volledige opname van DNS moet de firewall uitgaand UDP/53 (DNS) en TCP/443 (DNS via HTTPS) blokkeren om te voorkomen dat de client externe DNS-naamserver gebruikt voor omzetting.

Ernst: Hoog

Zorg ervoor dat DNSSEC is ingeschakeld voor Cloud DNS

Beschrijving: Cloud Domain Name System (DNS) is een snel, betrouwbaar en rendabel domeinnaamsysteem dat miljoenen domeinen op internet mogelijk maakt. Domain Name System Security Extensions (DNSSEC) in Cloud DNS stelt domeineigenaren in staat om eenvoudige stappen te ondernemen om hun domeinen te beschermen tegen DNS-hijacking en man-in-the-middle en andere aanvallen. Domain Name System Security Extensions (DNSSEC) voegt beveiliging toe aan het DNS-protocol door DNS-antwoorden te laten valideren. Een betrouwbare DNS die een domeinnaam www.example.com vertaalt in het bijbehorende IP-adres, is een steeds belangrijker bouwsteen van de huidige webtoepassingen. Aanvallers kunnen dit proces van domein/IP-zoekopdracht kapen en gebruikers omleiden naar een schadelijke site via DNS-hijacking en man-in-the-middle-aanvallen. DNSSEC helpt het risico van dergelijke aanvallen te beperken door cryptografisch dns-records te ondertekenen. Als gevolg hiervan voorkomt het dat aanvallers valse DNS-antwoorden uitgeven die mogelijk verkeerde browsers naar kwaadwillende websites leiden.

Ernst: gemiddeld

Zorg ervoor dat RDP-toegang is beperkt vanaf internet

Beschrijving: GCP-firewallregels zijn specifiek voor een VPC-netwerk. Met elke regel wordt verkeer toegestaan of geweigerd wanneer aan de voorwaarden wordt voldaan. Met de voorwaarden kunnen gebruikers het type verkeer opgeven, zoals poorten en protocollen, en de bron of bestemming van het verkeer, inclusief IP-adressen, subnetten en exemplaren. Firewallregels worden gedefinieerd op het niveau van het VPC-netwerk en zijn specifiek voor het netwerk waarin ze worden gedefinieerd. De regels zelf kunnen niet worden gedeeld tussen netwerken. Firewallregels ondersteunen alleen IPv4-verkeer. Wanneer u een bron opgeeft voor een regel voor inkomend verkeer of een bestemming voor een uitgaande regel op adres, kan een IPv4-adres of IPv4-blok in CIDR-notatie worden gebruikt. Algemeen (0.0.0.0/0) binnenkomend verkeer van internet naar een VPC- of VM-exemplaar met behulp van RDP op poort 3389 kan worden vermeden. GCP-firewallregels binnen een VPC-netwerk. Deze regels zijn van toepassing op uitgaand (uitgaand) verkeer van exemplaren en binnenkomend (inkomend) verkeer naar exemplaren in het netwerk. Uitgaand verkeer en inkomend verkeer worden beheerd, zelfs als het verkeer binnen het netwerk blijft (bijvoorbeeld communicatie tussen exemplaren). Voor een exemplaar dat uitgaande internettoegang heeft, moet het netwerk een geldige internetgatewayroute of aangepaste route hebben waarvan het doel-IP-adres is opgegeven. Deze route definieert eenvoudig het pad naar internet, om het meest algemene (0.0.0.0/0) doel-IP-bereik dat is opgegeven van internet via RDP met de standaardpoort 3389 te voorkomen. Algemene toegang van internet tot een specifiek IP-bereik moet worden beperkt.

Ernst: Hoog

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de sleutelondertekeningssleutel in DNSSEC voor de cloud

Beschrijving: DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. DnsSEC-algoritmenummers (Domain Name System Security Extensions) in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. Zonesigning (DNSSEC) en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. Bij het inschakelen van DNSSEC voor een beheerde zone of het maken van een beheerde zone met DNSSEC, kan de gebruiker de DNSSEC-ondertekeningsalgoritmen en het denial-of-existence-type selecteren. Het wijzigen van de DNSSEC-instellingen is alleen van kracht voor een beheerde zone als DNSSEC nog niet is ingeschakeld. Als u de instellingen voor een beheerde zone wilt wijzigen waarvoor deze is ingeschakeld, schakelt u DNSSEC uit en schakelt u deze vervolgens opnieuw in met verschillende instellingen.

Ernst: gemiddeld

Zorg ervoor dat RSASHA1 niet wordt gebruikt voor de zone-ondertekeningssleutel in DNSSEC voor de cloud

Beschrijving: DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. DnsSEC en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. DNSSEC-algoritmenummers in dit register kunnen worden gebruikt in CERTIFICAAT-RU's. Zonesigning (DNSSEC) en transactiebeveiligingsmechanismen (SIG(0) en TSIG maken gebruik van bepaalde subsets van deze algoritmen. Het algoritme dat wordt gebruikt voor sleutelondertekening, moet een aanbevolen algoritme zijn en moet sterk zijn. Wanneer u DNSSEC inschakelt voor een beheerde zone of een beheerde zone maakt met DNSSEC, kunnen de algoritmen voor DNSSEC-ondertekening en het denial-of-existence-type worden geselecteerd. Het wijzigen van de DNSSEC-instellingen is alleen van kracht voor een beheerde zone als DNSSEC nog niet is ingeschakeld. Als de noodzaak bestaat om de instellingen voor een beheerde zone te wijzigen waarvoor deze is ingeschakeld, schakelt u DNSSEC uit en schakelt u deze vervolgens opnieuw in met verschillende instellingen.

Ernst: gemiddeld

Zorg ervoor dat SSH-toegang is beperkt vanaf internet

Beschrijving: GCP-firewallregels zijn specifiek voor een VPC-netwerk. Met elke regel wordt verkeer toegestaan of geweigerd wanneer aan de voorwaarden wordt voldaan. Met de voorwaarden kan de gebruiker het type verkeer opgeven, zoals poorten en protocollen, en de bron of bestemming van het verkeer, inclusief IP-adressen, subnetten en exemplaren. Firewallregels worden gedefinieerd op het niveau van het VPC-netwerk en zijn specifiek voor het netwerk waarin ze worden gedefinieerd. De regels zelf kunnen niet worden gedeeld tussen netwerken. Firewallregels ondersteunen alleen IPv4-verkeer. Wanneer u een bron opgeeft voor een regel voor inkomend verkeer of een bestemming voor een uitgaande regel per adres, kan alleen een IPv4-adres of IPv4-blok in CIDR-notatie worden gebruikt. Algemeen (0.0.0.0/0) binnenkomend verkeer van internet naar VPC of VM-exemplaar met behulp van SSH op poort 22 kan worden vermeden. GCP-firewallregels binnen een VPC-netwerk zijn van toepassing op uitgaand (uitgaand) verkeer van exemplaren en binnenkomend (inkomend) verkeer naar exemplaren in het netwerk. Uitgaand verkeer en inkomend verkeer worden beheerd, zelfs als het verkeer binnen het netwerk blijft (bijvoorbeeld communicatie tussen exemplaren). Voor een exemplaar dat uitgaande internettoegang heeft, moet het netwerk een geldige internetgatewayroute of aangepaste route hebben waarvan het doel-IP-adres is opgegeven. Deze route definieert gewoon het pad naar internet, om het meest algemene (0.0.0.0/0) doel-IP-bereik dat is opgegeven van internet via SSH te vermijden met de standaardpoort '22'. Algemene toegang van internet tot een specifiek IP-bereik moet worden beperkt.

Ernst: Hoog

Zorg ervoor dat het standaardnetwerk niet bestaat in een project

Beschrijving: Om het gebruik van het standaardnetwerk te voorkomen, mag een project geen standaardnetwerk hebben. Het standaardnetwerk heeft een vooraf geconfigureerde netwerkconfiguratie en genereert automatisch de volgende onveilige firewallregels:

• standaard toestaan intern: hiermee staat u toegangsbeheerobjectverbindingen toe voor alle protocollen en poorten tussen instanties in het netwerk.
• standaard-allow-ssh: hiermee staat u toegangsbeheerobjectverbindingen toe op TCP-poort 22(SSH) van elke bron naar elk exemplaar in het netwerk.
• default-allow-rdp: hiermee staat u toegangsbeheerobjectverbindingen toe op TCP-poort 3389 (RDP) van elke bron naar elk exemplaar in het netwerk.
• default-allow-icmp: hiermee staat u inkomend ICMP-verkeer van elke bron naar elk exemplaar in het netwerk toe.

Deze automatisch gemaakte firewallregels worden niet geregistreerd en kunnen niet worden geconfigureerd om logboekregistratie van firewallregels in te schakelen. Bovendien is het standaardnetwerk een netwerk in de automatische modus, wat betekent dat de subnetten hetzelfde vooraf gedefinieerde bereik van IP-adressen gebruiken. Als gevolg hiervan is het niet mogelijk cloud-VPN of VPC-netwerkpeering met het standaardnetwerk te gebruiken. Op basis van de beveiligings- en netwerkvereisten van de organisatie moet de organisatie een nieuw netwerk maken en het standaardnetwerk verwijderen.

Ernst: gemiddeld

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in het VPC-netwerk

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in het VPC-netwerk (Virtual Private Cloud). Het is mogelijk om meer dan één VPC binnen een project te hebben. Daarnaast is het ook mogelijk om een peerverbinding te maken tussen twee VPN's, waardoor netwerkverkeer tussen VPN's kan worden gerouteerd. Als u wijzigingen in een VPC bewaakt, zorgt u ervoor dat de VPC-verkeersstroom niet wordt beïnvloed.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkfirewallregel

Beschrijving: Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor het wijzigen van de netwerkfirewallregel virtual private cloud (VPC). Bewaking voor gebeurtenissen voor het maken of bijwerken van firewallregels geeft inzicht in wijzigingen in de netwerktoegang en vermindert mogelijk de tijd die nodig is om verdachte activiteiten te detecteren.

Ernst: Laag

Zorg ervoor dat het metrische logboekfilter en de waarschuwingen bestaan voor wijzigingen in de VPC-netwerkroute

Beschrijving: Het wordt aanbevolen om een metriek filter en alarm tot stand te brengen voor virtuele privécloud (VPC) netwerkroutewijzigingen. GCP-routes (Google Cloud Platform) definiëren de paden die het netwerkverkeer van een VM-exemplaar naar een andere bestemming neemt. De andere bestemming kan zich binnen het VPC-netwerk van de organisatie bevinden (zoals een andere VM) of buiten het netwerk. Elke route bestaat uit een bestemming en een volgende hop. Verkeer waarvan het doel-IP zich binnen het doelbereik bevindt, wordt verzonden naar de volgende hop voor levering. Door wijzigingen in routetabellen te bewaken, zorgt u ervoor dat al het VPC-verkeer via een verwacht pad loopt.

Ernst: Laag

Zorg ervoor dat de databasevlag 'log_connections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: Als u de instelling log_connections inschakelt, wordt elke poging tot verbinding met de server geregistreerd, samen met geslaagde voltooiing van clientverificatie. Deze parameter kan niet worden gewijzigd nadat de sessie is gestart. PostgreSQL meldt niet standaard geprobeerde verbindingen vast te leggen. Als u de log_connections-instelling inschakelt, worden logboekvermeldingen gemaakt voor elke geprobeerde verbinding, evenals geslaagde voltooiing van clientverificatie. Dit kan handig zijn bij het oplossen van problemen en om ongebruikelijke verbindingspogingen met de server te bepalen. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat de databasevlag 'log_disconnections' voor het Cloud SQL PostgreSQL-exemplaar is ingesteld op 'aan'

Beschrijving: als u de log_disconnections instelling inschakelt, wordt het einde van elke sessie geregistreerd, inclusief de sessieduur. PostgreSQL logt geen sessiedetails zoals duur en sessieeinde standaard. Als u de instelling log_disconnections inschakelt, worden logboekvermeldingen aan het einde van elke sessie gemaakt. Dit kan handig zijn bij het oplossen van problemen en het bepalen van ongebruikelijke activiteiten gedurende een bepaalde periode. De log_disconnections en log_connections werken hand in hand en over het algemeen zou het paar samen worden ingeschakeld/uitgeschakeld. Deze aanbeveling is van toepassing op PostgreSQL-database-exemplaren.

Ernst: gemiddeld

Zorg ervoor dat VPC-stroomlogboeken zijn ingeschakeld voor elk subnet in een VPC-netwerk

Beschrijving: Stroomlogboeken is een functie waarmee gebruikers informatie kunnen vastleggen over het IP-verkeer dat naar en van netwerkinterfaces in de VPC-subnetten van de organisatie gaat. Zodra een stroomlogboek is gemaakt, kan de gebruiker de gegevens bekijken en ophalen in Stackdriver-logboekregistratie. Het wordt aanbevolen om Stroomlogboeken in te schakelen voor elk bedrijfskritiek VPC-subnet. VPC-netwerken en subnetten bieden logisch geïsoleerde en beveiligde netwerkpartities waar GCP-resources kunnen worden gestart. Wanneer stroomlogboeken zijn ingeschakeld voor een subnet, beginnen VM's binnen dat subnet met rapportage over alle UDP-stromen (Transmission Control Protocol) en User Datagram Protocol (UDP). Elke VM steekt de TCP- en UDP-stromen uit, die binnenkomend en uitgaand zijn, ongeacht of de stroom afkomstig is van of naar een andere VM, een host in het on-premises datacenter, een Google-service of een host op internet. Als twee GCP-VM's communiceren en beide zich in subnetten bevinden waarvoor VPC-stroomlogboeken zijn ingeschakeld, rapporteren beide VM's de stromen. Flow Logs ondersteunt de volgende use cases: 1. Netwerkbewaking. 2. Inzicht in netwerkgebruik en het optimaliseren van netwerkverkeerskosten. 3. Forensisch netwerk. 4. Stroomlogboeken voor realtime beveiligingsanalyse bieden inzicht in netwerkverkeer voor elke VIRTUELE machine in het subnet en kunnen worden gebruikt om afwijkend verkeer of inzicht te detecteren tijdens beveiligingswerkstromen.

Ernst: Laag

Logboekregistratie van firewallregels moet zijn ingeschakeld

Beschrijving: Met deze aanbeveling wordt de eigenschap logConfig geëvalueerd in metagegevens van de firewall om te zien of deze leeg is of het sleutel-waardepaar 'inschakelen' bevat: false.

Ernst: gemiddeld

Firewall mag niet zijn geconfigureerd om open te zijn voor openbare toegang

Beschrijving: Deze aanbeveling evalueert de sourceRanges en toegestane eigenschappen voor een van de twee configuraties:

De eigenschap sourceRanges bevat 0.0.0.0/0 en de toegestane eigenschap bevat een combinatie van regels die een protocol of protocol:poort bevatten, met uitzondering van het volgende: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22

De eigenschap sourceRanges bevat een combinatie van IP-bereiken met een niet-private IP-adres en de toegestane eigenschap bevat een combinatie van regels waarmee alle TCP-poorten of alle UDP-poorten zijn toegestaan.

Ernst: Hoog

Firewall mag niet worden geconfigureerd voor een open CASSANDRA-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open CISCOSECURE_WEBSM poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP:9090.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open DIRECTORY_SERVICES poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:445 en UDP:445.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open DNS-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:53 en UDP:53.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open ELASTICSEARCH-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP:9200, 9300.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open FTP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP:21.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open HTTP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:80.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open LDAP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP:389, 636 en UDP:389.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een geopende MEMCACHED-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in metagegevens van de firewall voor de volgende protocollen en poorten: TCP:11211, 11214-11215 en UDP:11211, 11214-11215.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open MONGODB-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:27017-27019.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open MYSQL-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP:3306.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open NETBIOS-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in firewallmetagegevens voor de volgende protocollen en poorten: TCP:137-139 en UDP:137-139.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open ORACLEDB-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:1521, 2483-2484 en UDP:2483-2484.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open POP3-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor het volgende protocol en de volgende poort: TCP:110.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open PostgreSQL-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert de toegestane eigenschap in de metagegevens van de firewall voor de volgende protocollen en poorten: TCP:5432 en UDP:5432.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open REDIS-poort die algemene toegang toestaat

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de toegestane eigenschap in metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP:6379.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een geopende SMTP-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert of de toegestane eigenschap in de metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP:25.

Ernst: Laag

Firewall mag niet worden geconfigureerd voor een open SSH-poort die algemene toegang toestaat

Beschrijving: Deze aanbeveling evalueert of de toegestane eigenschap in de metagegevens van de firewall de volgende protocollen en poorten bevat: TCP:22 en SCTP:22.

Ernst: Laag

Firewall mag niet zijn geconfigureerd voor een open TELNET-poort die algemene toegang toestaat

Beschrijving: Met deze aanbeveling wordt geëvalueerd of de toegestane eigenschap in de metagegevens van de firewall het volgende protocol en de volgende poort bevat: TCP:23.

Ernst: Laag

Voor GKE-clusters moeten alias-IP-bereiken zijn ingeschakeld

Beschrijving: Deze aanbeveling evalueert of het veld useIPAliases van het ipAllocationPolicy in een cluster is ingesteld op false.

Ernst: Laag

GKE-clusters moeten privéclusters hebben ingeschakeld

Beschrijving: Met deze aanbeveling wordt geëvalueerd of het veld enablePrivateNodes van de eigenschap privateClusterConfig is ingesteld op false.

Ernst: Hoog

Netwerkbeleid moet zijn ingeschakeld op GKE-clusters

Beschrijving: Deze aanbeveling evalueert het veld networkPolicy van de eigenschap addonsConfig voor het sleutel-waardepaar, 'uitgeschakeld': true.

Ernst: gemiddeld

Gerelateerde inhoud

• Verbinding maken uw GCP-projecten Microsoft Defender voor Cloud
• Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?
• Uw beveiligingsaanbevelingen bekijken