Рекомендации по безопасности ресурсов Google Cloud Platform (GCP)

Статья
03/13/2024

В этой статье перечислены все рекомендации, которые могут отображаться в Microsoft Defender для облака при подключении учетной записи Google Cloud Platform (GCP) с помощью страницы параметров среды. Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Оценка безопасности зависит от количества завершенных рекомендаций по безопасности. Чтобы решить, какие рекомендации необходимо сначала устранить, ознакомьтесь с серьезностью каждой рекомендации и ее потенциальным воздействием на оценку безопасности.

Рекомендации по вычислению GCP

Виртуальные машины подсистемы вычислений должны использовать ос, оптимизированную для контейнеров

Описание. Эта рекомендация оценивает свойство конфигурации пула узлов для пары "ключ-значение", "imageType": "COS".

Серьезность: низкая

Проблемы с конфигурацией EDR следует устранить на виртуальных машинах GCP

Описание. Чтобы защитить виртуальные машины от последних угроз и уязвимостей, устраните все выявленные проблемы конфигурации с установленным решением обнаружения и реагирования конечных точек (EDR).
Примечание. В настоящее время эта рекомендация применяется только к ресурсам с включенным Microsoft Defender для конечной точки (MDE).

Серьезность: высокий уровень

Решение EDR должно быть установлено в GCP Виртуальные машины

Описание. Чтобы защитить виртуальные машины, установите решение обнаружения и ответа конечной точки (EDR). EDR помогает предотвратить, обнаруживать, исследовать и реагировать на сложные угрозы. Используйте Microsoft Defender для серверов для развертывания Microsoft Defender для конечной точки. Если ресурс классифицируется как "Неработоспособный", он не имеет поддерживаемого решения EDR, установленного [ссылка "Место держателя" — дополнительные сведения]. Если у вас установлено решение EDR, которое недоступно для обнаружения по этой рекомендации, его можно исключить.

Серьезность: высокий уровень

Убедитесь, что для экземпляров виртуальных машин включена блокировка ключей SSH на уровне проекта.

Описание. Рекомендуется использовать определенные ключи SSH экземпляра вместо использования общих ключей SSH на уровне общего проекта для доступа к экземплярам. Ключи SSH на уровне проекта хранятся в data Compute/Project-meta-data. Ключи SSH для проекта можно использовать для входа во все экземпляры проекта. Использование ключей SSH на уровне проекта упрощает управление ключами SSH, но при скомпрометации представляет угрозу безопасности, которая может повлиять на все экземпляры в проекте. Рекомендуется использовать определенные ключи SSH экземпляра, которые могут ограничить область атаки, если ключи SSH скомпрометируются.

Серьезность: средний

Убедитесь, что вычислительные экземпляры запускаются с включенной экранной виртуальной машиной

Описание. Чтобы защититься от расширенных угроз и убедиться, что загрузчик и встроенное ПО на виртуальных машинах подписаны и неимперированы, рекомендуется запускать экземпляры вычислений с поддержкой экранированных виртуальных машин. Экранированные виртуальные машины — это виртуальные машины в Google Cloud Platform, защищенные набором элементов управления безопасностью, которые помогают защитить от корневых и загрузочных наборов. Экранированные виртуальные машины обеспечивают проверяемую целостность экземпляров виртуальных машин вычислительной подсистемы, поэтому вы можете быть уверены, что экземпляры не были скомпрометированы вредоносными программами на уровне загрузки или ядра или коркитами. Проверяемая целостность экранируемой виртуальной машины достигается с помощью безопасной загрузки, виртуального доверенного платформенного модуля (vTPM)с поддержкой измеряемой загрузки и мониторинга целостности. Экранированные экземпляры виртуальных машин выполняют встроенное ПО, подписанное и проверенное с помощью центра сертификации Google, гарантируя, что встроенное ПО экземпляра не изменено и устанавливает корень доверия для безопасной загрузки. Мониторинг целостности помогает понять и принять решения о состоянии экземпляров виртуальных машин и экранированных виртуальных машин vTPM позволяет измерять загрузку, выполняя измерения, необходимые для создания известного хорошего базового плана загрузки, называемого базовой политикой целостности. Базовая политика целостности используется для сравнения с измерениями из последующих загрузочных загрузок виртуальной машины, чтобы определить, изменилось ли что-либо. Безопасная загрузка помогает гарантировать, что система запускает только аутентичное программное обеспечение, проверяя цифровую подпись всех загрузочных компонентов, и останавливает процесс загрузки, если проверка подписи завершается ошибкой.

Серьезность: высокий уровень

Убедитесь, что параметр "Включить подключение к последовательным портам" не включен для экземпляра виртуальной машины

Описание. Взаимодействие с последовательным портом часто называется последовательной консолью, которая похожа на использование окна терминала, в этом режиме ввода и вывода полностью находится в текстовом режиме, и не поддерживается графический интерфейс или мышь. Если включить интерактивную последовательную консоль на экземпляре, клиенты могут попытаться подключиться к нему с любого IP-адреса. Поэтому поддержка интерактивной последовательной консоли должна быть отключена. Экземпляр виртуальной машины имеет четыре виртуальных последовательных порта. Взаимодействие с последовательным портом аналогично использованию окна терминала, в этом режиме ввода и вывода полностью находится в текстовом режиме, а графический интерфейс или поддержка мыши отсутствует. Операционная система экземпляра, BIOS и другие сущности на уровне системы часто записывают выходные данные в последовательные порты и могут принимать входные данные, такие как команды или ответы на запросы. Как правило, эти сущности уровня системы используют первый последовательный порт (порт 1) и последовательный порт 1 часто называют последовательным консолью. Интерактивная последовательная консоль не поддерживает ограничения доступа на основе IP-адресов, такие как списки разрешенных IP-адресов. Если включить интерактивную последовательную консоль на экземпляре, клиенты могут попытаться подключиться к нему с любого IP-адреса. Это позволяет любому пользователю подключаться к этому экземпляру, если они знают правильный ключ SSH, имя пользователя, идентификатор проекта, зону и имя экземпляра. Поэтому поддержка интерактивной последовательной консоли должна быть отключена.

Серьезность: средний

Убедитесь, что флаг базы данных "log_duration" для экземпляра Cloud SQL PostgreSQL имеет значение "включено"

Описание. Включение параметра log_hostname приводит к тому, что длительность каждой завершенной инструкции записывается в журнал. Это не регистрирует текст запроса и таким образом ведет себя по-разному от флага log_min_duration_statement. Этот параметр нельзя изменить после запуска сеанса. Мониторинг времени, затраченного на выполнение запросов, может иметь решающее значение при определении любых запросов на перехват ресурсов и оценке производительности сервера. Дальнейшие шаги, такие как балансировка нагрузки и использование оптимизированных запросов, можно выполнить для обеспечения производительности и стабильности сервера. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_executor_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Исполнитель PostgreSQL отвечает за выполнение плана, переданного планировщиком PostgreSQL. Исполнитель обрабатывает план рекурсивно, чтобы извлечь необходимый набор строк. Флаг "log_executor_stats" управляет включением статистики производительности исполнителя PostgreSQL в журналы PostgreSQL для каждого запроса. Флаг "log_executor_stats" включает метод грубого профилирования для ведения журнала статистики производительности исполнителя PostgreSQL, которая, хотя и может быть полезной для устранения неполадок, может значительно увеличить объем журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_error_statement" для экземпляра Cloud SQL PostgreSQL имеет значение Error или stricter

Описание. Флаг "log_min_error_statement" определяет минимальный уровень серьезности сообщений, который считается оператором ошибки. Сообщения об ошибках регистрируются с помощью инструкции SQL. Допустимые значения: "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "УВЕДОМЛЕНИЕ", "ПРЕДУПРЕЖДЕНИЕ", "ОШИБКА", "LOG", "ФАТАЛЬНЫЙ" и "ПАНИКА". Каждый уровень серьезности включает последующие уровни, упоминание указанные выше. Убедитесь, что задано значение ERROR или более строгое значение. Аудит помогает устранять операционные проблемы, а также разрешает анализ судебно-медицинских данных. Если для параметра "log_min_error_statement" не задано правильное значение, сообщения могут не классифицироваться как сообщения об ошибках соответствующим образом. Учитывая общие сообщения журнала в качестве сообщений об ошибках, трудно найти фактические ошибки и рассмотреть только более строгие уровни серьезности, так как сообщения об ошибках могут пропускать фактические ошибки для регистрации их инструкций SQL. Флаг "log_min_error_statement" должен иметь значение ERROR или более строгий. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_parser_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Планировщик и оптимизатор PostgreSQL отвечает за анализ и проверку синтаксиса каждого запроса, полученного сервером. Если синтаксис исправлен, создается дерево синтаксического анализа. Флаг "log_parser_stats" управляет включением статистики производительности синтаксического анализа в журналы PostgreSQL для каждого запроса. Флаг "log_parser_stats" позволяет методу профилирования для статистики производительности синтаксического анализа ведения журнала, которая, хотя и может быть полезной для устранения неполадок, может значительно увеличить объем журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_planner_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Один и тот же SQL-запрос может выполняться несколькими способами и по-прежнему создавать разные результаты. Планировщик и оптимизатор PostgreSQL отвечает за создание оптимального плана выполнения для каждого запроса. Флаг "log_planner_stats" управляет включением статистики производительности планировщика PostgreSQL в журналы PostgreSQL для каждого запроса. Флаг "log_planner_stats" позволяет методу грубого профилирования для ведения журнала статистики производительности планировщика PostgreSQL, которая, хотя и может быть полезной для устранения неполадок, может значительно увеличить объем журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_statement_stats" для экземпляра Cloud SQL PostgreSQL установлен как "off"

Описание. Флаг "log_statement_stats" управляет включением сквозной статистики производительности SQL-запроса в журналах PostgreSQL для каждого запроса. Это не может быть включено с другой статистикой модуля (log_parser_stats, log_planner_stats, log_executor_stats). Флаг "log_statement_stats" позволяет методу грубого профилирования для ведения журнала сквозной статистики производительности SQL-запроса. Это может быть полезно для устранения неполадок, но может значительно увеличить объем журналов и повысить производительность. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что вычислительные экземпляры не имеют общедоступных IP-адресов

Описание. Вычислительные экземпляры не должны быть настроены на внешние IP-адреса. Чтобы уменьшить область атаки, вычислительные экземпляры не должны иметь общедоступные IP-адреса. Вместо этого экземпляры должны быть настроены за подсистемами балансировки нагрузки, чтобы свести к минимуму воздействие экземпляра в Интернете. Экземпляры, созданные GKE, должны быть исключены из-за того, что некоторые из них имеют внешние IP-адреса и не могут быть изменены путем редактирования параметров экземпляра. Эти виртуальные машины имеют имена, начинающиеся с gke- и помечены goog-gke-node.

Серьезность: высокий уровень

Убедитесь, что экземпляры не настроены для использования учетной записи службы по умолчанию

Описание. Рекомендуется настроить экземпляр, чтобы не использовать учетную запись службы вычислительного ядра по умолчанию, так как она имеет роль редактора в проекте. Учетная запись службы вычислительной подсистемы по умолчанию имеет роль редактора проекта, которая позволяет просматривать и записывать доступ к большинству google Облачные службы. Чтобы защититься от эскалации привилегий, если виртуальная машина скомпрометирована и не позволит злоумышленнику получить доступ ко всему проекту, рекомендуется не использовать учетную запись службы вычислительного ядра по умолчанию. Вместо этого необходимо создать новую учетную запись службы и назначить только разрешения, необходимые экземпляру. Учетная запись службы вычислительного ядра по умолчанию называется [PROJECT_NUMBER]- compute@developer.gserviceaccount.com. Виртуальные машины, созданные GKE, должны быть исключены. Эти виртуальные машины имеют имена, начинающиеся с gke- и помечены goog-gke-node.

Серьезность: высокий уровень

Убедитесь, что экземпляры не настроены для использования учетной записи службы по умолчанию с полным доступом ко всем облачным API

Описание. Для поддержки принципа наименьших привилегий и предотвращения потенциальной эскалации привилегий рекомендуется, чтобы экземпляры не назначены учетной записи службы по умолчанию "Учетная запись службы по умолчанию вычислительного модуля" с областью "Разрешить полный доступ ко всем облачным API". Наряду с возможностью при необходимости создавать, управлять и использовать пользовательские пользовательские учетные записи служб, Google Compute Engine предоставляет учетную запись службы по умолчанию "Учетная запись службы по умолчанию вычислительного ядра" для экземпляра для доступа к необходимым облачным службам. Роль "Редактор проектов" назначена учетной записи службы по умолчанию для вычислительной подсистемы, поэтому эта учетная запись службы имеет почти все возможности по всем облачным службам, кроме выставления счетов. Однако при назначении экземпляру учетной записи службы ядра вычислений по умолчанию он может работать в трех область.

Разрешить доступ по умолчанию: разрешает только минимальный доступ, необходимый для запуска экземпляра (минимальные привилегии).
Разрешить полный доступ ко всем облачным API: разрешить полный доступ ко всем облачным API/службам (слишком много доступа).
Настройка доступа для каждого API. Позволяет администратору экземпляра выбирать только те API, которые необходимы для выполнения определенных бизнес-функций, ожидаемых экземпляром, если экземпляр настроен с учетной записью службы по умолчанию для вычислительного ядра вычислений с областью "Разрешить полный доступ ко всем облачным API", на основе ролей IAM, назначенных пользователю, к которым обращается экземпляр, может позволить пользователю выполнять вызовы облачных операций или API, которые пользователь не должен выполнять, что приведет к успешной эскалации привилегий. Виртуальные машины, созданные GKE, должны быть исключены. Эти виртуальные машины имеют имена, начинающиеся с gke-, и помечены как goog-gke-node.

Серьезность: средний

Убедитесь, что IP-пересылка не включена в экземплярах

Описание. Экземпляр вычислительного ядра не может пересылать пакет, если исходный IP-адрес пакета не соответствует IP-адресу экземпляра. Аналогичным образом GCP не доставляет пакет, целевой IP-адрес которого отличается от IP-адреса экземпляра, получающего пакет. Однако обе возможности необходимы, если вы хотите использовать экземпляры для маршрутизации пакетов. Переадресация пакетов данных должна быть отключена, чтобы предотвратить потерю данных или раскрытие информации. Экземпляр вычислительного ядра не может пересылать пакет, если исходный IP-адрес пакета не соответствует IP-адресу экземпляра. Аналогичным образом GCP не доставляет пакет, целевой IP-адрес которого отличается от IP-адреса экземпляра, получающего пакет. Однако обе возможности необходимы, если вы хотите использовать экземпляры для маршрутизации пакетов. Чтобы включить этот исходный и конечный IP-проверка, отключите поле canIpForward, которое позволяет экземпляру отправлять и получать пакеты с несогласовающими назначениями или исходными IP-адресами.

Серьезность: средний

Убедитесь, что для экземпляра Cloud SQL PostgreSQL для экземпляра базы данных log_проверка points задано значение on

Описание. Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных log_проверка points. Включение log_проверка точек приводит к тому, что точки проверка и перезапуска регистрируются в журнале сервера. Некоторые статистические данные включаются в сообщения журнала, включая количество записанных буферов и время их записи. Этот параметр можно задать только в файле postgresql.conf или в командной строке сервера. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_lock_waits" включено.

Описание. Включение флага "log_lock_waits" для экземпляра PostgreSQL создает журнал для любых ожиданий сеанса, которые занимают больше времени, чем выделенное "deadlock_timeout" время для получения блокировки. Время ожидания взаимоблокировки определяет время ожидания блокировки перед проверка для любых условий. Частые запуски при истечении времени ожидания взаимоблокировки могут быть признаком основной проблемы. Ведение журнала таких ожиданий при блокировках путем включения флага log_lock_waits можно использовать для выявления плохой производительности из-за задержек блокировки или если специально созданный SQL пытается голодать ресурсы путем хранения блокировок в течение чрезмерного количества времени. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_duration_statement" для экземпляра Cloud SQL PostgreSQL имеет значение "-1".

Описание. Флаг "log_min_duration_statement" определяет минимальное время выполнения инструкции в миллисекундах, в которых регистрируется общая длительность инструкции. Убедитесь, что параметр "log_min_duration_statement" отключен, то есть задано значение -1. Инструкции SQL для ведения журнала могут включать конфиденциальную информацию, которая не должна быть записана в журналах. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что флаг базы данных "log_min_messages" для экземпляра Cloud SQL PostgreSQL установлен соответствующим образом.

Описание. Флаг "log_min_error_statement" определяет минимальный уровень серьезности сообщений, который считается оператором ошибки. Сообщения об ошибках регистрируются с помощью инструкции SQL. Допустимые значения: "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "УВЕДОМЛЕНИЕ", "ПРЕДУПРЕЖДЕНИЕ", "ОШИБКА", "LOG", "ФАТАЛЬНЫЙ" и "ПАНИКА". Каждый уровень серьезности включает последующие уровни, упоминание указанные выше. Примечание. Чтобы эффективно отключить операторы сбоя ведения журнала, задайте для этого параметра значение PANIC. Ошибка считается оптимальным параметром. Изменения следует вносить только в соответствии с политикой ведения журнала организации. Аудит помогает устранять операционные проблемы, а также разрешает анализ судебно-медицинских данных. Если для параметра "log_min_error_statement" не задано правильное значение, сообщения могут не классифицироваться как сообщения об ошибках соответствующим образом. Учитывая общие сообщения журнала в качестве сообщений об ошибках, было бы трудно найти фактические ошибки, учитывая только более строгие уровни серьезности, так как сообщения об ошибках могут пропускать фактические ошибки для регистрации инструкций SQL. Флаг "log_min_error_statement" должен быть задан в соответствии с политикой ведения журнала организации. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL для экземпляра базы данных "log_temp_files" задано значение "0".

Описание. PostgreSQL может создать временный файл для таких действий, как сортировка, хэширование и временные результаты запроса, если эти операции превышают значение "work_mem". Флаг "log_temp_files" управляет именами журналов и размером файла при удалении. При настройке параметра "log_temp_files" значение 0 приводит к регистрации всех временных данных файла, а положительные значения регистрируют только файлы, размер которых превышает или равен указанному числу килобайтов. Значение "-1" отключает временное ведение журнала сведений о файле. Если все временные файлы не регистрируются, возможно, будет сложнее определить потенциальные проблемы с производительностью, которые могут быть вызваны плохой кодировкой приложения или преднамеренной попыткой нехватки ресурсов.

Серьезность: низкая

Убедитесь, что диски виртуальных машин для критически важных виртуальных машин шифруются с помощью ключа шифрования, предоставленного клиентом

Описание. Ключи шифрования, предоставленные клиентом (CSEK), являются функцией в Google Cloud служба хранилища и Google Compute Engine. Если вы предоставляете собственные ключи шифрования, Google использует ключ для защиты созданных Google ключей, используемых для шифрования и расшифровки данных. По умолчанию Google Compute Engine шифрует все неактивных данных. Модуль вычислений обрабатывает и управляет этим шифрованием без каких-либо дополнительных действий в вашей части. Однако если вы хотите самостоятельно управлять этим шифрованием и управлять ими, вы можете предоставить собственные ключи шифрования. По умолчанию Google Compute Engine шифрует все неактивных данных. Модуль вычислений обрабатывает и управляет этим шифрованием без каких-либо дополнительных действий в вашей части. Однако если вы хотите самостоятельно управлять этим шифрованием и управлять ими, вы можете предоставить собственные ключи шифрования. Если вы предоставляете собственные ключи шифрования, модуль вычислений использует ключ для защиты ключей, созданных Google, используемых для шифрования и расшифровки данных. Только пользователи, которые могут предоставить правильный ключ, могут использовать ресурсы, защищенные ключом шифрования, предоставленным клиентом. Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа. По крайней мере критически важные для бизнеса виртуальные машины должны иметь диски виртуальных машин, зашифрованные с помощью CSEK.

Серьезность: средний

Проекты GCP должны включать автоматическую подготовку Azure Arc

Описание. Для полной видимости содержимого безопасности из Microsoft Defender для серверов экземпляры виртуальных машин GCP должны быть подключены к Azure Arc. Чтобы все подходящие экземпляры виртуальных машин автоматически получали Azure Arc, включите автоматическую подготовку из Defender для облака на уровне проекта GCP. Узнайте больше о службе Azure Arc и Microsoft Defender для серверов.

Серьезность: высокий уровень

Экземпляры виртуальной машины GCP должны быть подключены к Azure Arc

Описание: Подключение Виртуальные машины GCP в Azure Arc, чтобы обеспечить полную видимость содержимого безопасности Microsoft Defender для серверов. Узнайте больше об использовании Azure Arc и Microsoft Defender для серверов в гибридной облачной среде.

Серьезность: высокий уровень

Для экземпляров виртуальной машины GCP должен быть установлен агент конфигурации ОС

Описание. Чтобы получить полные возможности Defender для серверов с помощью автоматической подготовки Azure Arc, виртуальные машины GCP должны включать агент конфигурации ОС.

Серьезность: высокий уровень

Функция автоматического восстановления кластера GKE должна быть включена

Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение", "key": "autoRepair", "value": true.

Серьезность: средний

Функция автоматического обновления кластера GKE должна быть включена

Описание. Эта рекомендация оценивает свойство управления пула узлов для пары "ключ-значение": "key": "autoUpgrade", "value": true.

Серьезность: высокий уровень

Мониторинг кластеров GKE должен быть включен

Описание. Эта рекомендация определяет, должно ли свойство monitoringService кластера содержать расположение Cloud Monitoring, которое должно использоваться для записи метрик.

Серьезность: средний

Описание. Рекомендуется задать флаг базы данных 3625 (флаг трассировки) для экземпляра SQL Server Cloud SQL Server значение "Off". Флаги трассировки часто используются для диагностики проблем с производительностью или отладки хранимых процедур или сложных компьютерных систем, но они также могут быть рекомендованы служба поддержки Майкрософт для решения поведения, негативно влияющего на определенную рабочую нагрузку. Все описанные флаги трассировки и те из них, которые рекомендуются службой поддержки Майкрософт, полностью поддерживаются в рабочей среде при использовании в порядке, указанном выше. "3625(журнал трассировки)" ограничивает объем информации, возвращенной пользователям, которые не являются членами предопределенной роли сервера sysadmin, маскируя параметры некоторых сообщений об ошибках с помощью "******". Это поможет предотвратить раскрытие конфиденциальных сведений. Поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что флаг базы данных "внешние скрипты включен" для экземпляра SQL Server Cloud SQL Server установлен как "off"

Описание. Рекомендуется задать флаг базы данных "внешние скрипты с включенным" для выключенного экземпляра SQL Server в облаке. "Внешние скрипты включены" позволяют выполнять скрипты с определенными расширениями удаленного языка. По умолчанию это свойство отключено. Программа установки может при необходимости задать этому свойству значение true, если установлены расширенные службы аналитики. Поскольку функция "Внешние скрипты включено" позволяет выполнять скрипты вне SQL, например файлы, расположенные в библиотеке R, что может негативно повлиять на безопасность системы, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных "удаленный доступ" для экземпляра SQL Server Cloud SQL Server установлен как "off"

Описание. Рекомендуется задать флаг базы данных "удаленный доступ" для экземпляра SQL Server Cloud SQL Server как "отключен". Параметр "Удаленный доступ" управляет выполнением хранимых процедур с локальных или удаленных серверов, на которых выполняются экземпляры SQL Server. Значение этого параметра по умолчанию равно 1. Это предоставляет разрешение на запуск локальных хранимых процедур с удаленных серверов или удаленных хранимых процедур с локального сервера. Чтобы предотвратить выполнение локальных хранимых процедур с удаленного сервера или удаленных хранимых процедур на локальном сервере, это необходимо отключить. Параметр удаленного доступа управляет выполнением локальных хранимых процедур на удаленных серверах или удаленных хранимых процедурах на локальном сервере. Функциональные возможности удаленного доступа можно использовать для запуска атаки типа "отказ в обслуживании" на удаленных серверах путем отключения обработки запросов к целевому объекту, поэтому это должно быть отключено. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных "skip_show_database" для экземпляра Cloud SQL Mysql имеет значение "on"

Описание. Рекомендуется задать для экземпляра Cloud SQL Mysql флаг базы данных "skip_show_database". Флаг базы данных "skip_show_database" запрещает пользователям использовать инструкцию SHOW DATABASE, если у них нет привилегий SHOW DATABASE. Это может повысить безопасность, если у вас возникли проблемы с пользователями, которые могут видеть базы данных, принадлежащие другим пользователям. Его влияние зависит от привилегии SHOW DATABASE: если значение переменной имеет значение ON, инструкция SHOW DATABASE разрешена только пользователям, у которых есть привилегия SHOW DATABASE, а инструкция отображает все имена баз данных. Если значение равно OFF, show DATABASE разрешено всем пользователям, но отображает имена только тех баз данных, для которых пользователь имеет права SHOW DATABASE или другие привилегии. Эта рекомендация применима к экземплярам базы данных Mysql.

Серьезность: низкая

Убедитесь, что ключ шифрования, управляемый клиентом по умолчанию (CMEK), указан для всех наборов данных BigQuery

Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для повышения контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Установка ключа шифрования, управляемого клиентом по умолчанию (CMEK) для набора данных, гарантирует, что все таблицы, созданные в будущем, будут использовать указанный CMEK, если ни один другой не указан. Примечание. Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.

Серьезность: средний

Убедитесь, что все таблицы BigQuery шифруются с помощью ключа шифрования, управляемого клиентом (CMEK)

Описание: BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Данные шифруются с помощью ключей шифрования данных и ключей шифрования данных сами шифруются с помощью ключей шифрования ключей. Это просто и не требует дополнительных входных данных от пользователя. Однако если требуется более широкий контроль, ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для наборов данных BigQuery. Если используется CMEK, CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery по умолчанию шифрует данные как остальные, используя шифрование конвертов с помощью управляемых криптографических ключей Google. Это просто и не требует дополнительных входных данных от пользователя. Для большего контроля над шифрованием ключи шифрования, управляемые клиентом (CMEK), можно использовать в качестве решения для управления ключами шифрования для таблиц BigQuery. CMEK используется для шифрования ключей шифрования данных вместо использования ключей шифрования, управляемых google. BigQuery сохраняет сопоставление таблиц и CMEK, а шифрование и расшифровку выполняется автоматически. Применение ключей, управляемых клиентом по умолчанию, в наборах данных BigQuery гарантирует, что все новые таблицы, созданные в будущем, будут зашифрованы с помощью CMEK, но существующие таблицы необходимо обновить для использования CMEK по отдельности. Примечание. Google не хранит ключи на своих серверах и не может получить доступ к защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забыли или потеряли ключ, google не может восстановить ключ или восстановить данные, зашифрованные с помощью потерянного ключа.

Серьезность: средний

Убедитесь, что наборы данных BigQuery не являются анонимными или общедоступными

Описание. Рекомендуется, чтобы политика IAM в наборах данных BigQuery не разрешала анонимный и (или) общедоступный доступ. Предоставление разрешений allUsers или allAuthenticatedUsers позволяет любому пользователю получить доступ к набору данных. Такой доступ может быть не желательным, если конфиденциальные данные хранятся в наборе данных. Поэтому убедитесь, что анонимный и /или общедоступный доступ к набору данных не разрешен.

Серьезность: высокий уровень

Убедитесь, что экземпляры базы данных SQL облака настроены с автоматическими резервными копиями

Описание. Рекомендуется установить все экземпляры базы данных SQL, чтобы включить автоматическое резервное копирование. Резервные копии позволяют восстановить экземпляр Cloud SQL для восстановления потерянных данных или восстановления из проблемы с этим экземпляром. Автоматические резервные копии необходимо задать для любого экземпляра, содержащего данные, которые должны быть защищены от потери или повреждения. Эта рекомендация применима для экземпляров SQL Server, PostgreSql, MySql поколения 1 и MySql поколения 2.

Серьезность: высокий уровень

Убедитесь, что экземпляры облачной базы данных SQL не открыты для мира

Описание. Сервер базы данных должен принимать подключения только из доверенных сетей/IP-адресов и ограничивать доступ из мира. Чтобы свести к минимуму область атаки на экземпляре сервера базы данных, необходимо утвердить только доверенные и известные и необходимые IP-адреса. У авторизованной сети не должно быть IP-адресов и сетей, настроенных на "0.0.0.0/0", что позволит получить доступ к экземпляру в любом месте мира. Обратите внимание, что авторизованные сети применяются только к экземплярам с общедоступными IP-адресами.

Серьезность: высокий уровень

Убедитесь, что в экземплярах базы данных CLOUD SQL нет общедоступных IP-адресов

Описание. Рекомендуется настроить экземпляр Sql второго поколения для использования частных IP-адресов вместо общедоступных IP-адресов. Чтобы снизить область атак организации, облачные базы данных SQL не должны иметь общедоступных IP-адресов. Частные IP-адреса обеспечивают улучшенную сетевую безопасность и низкую задержку для приложения.

Серьезность: высокий уровень

Убедитесь, что контейнер облачных служба хранилища не является анонимным или общедоступным

Описание. Рекомендуется, чтобы политика IAM в облачном служба хранилища контейнере не разрешала анонимный или общедоступный доступ. Разрешение анонимного или общедоступного доступа предоставляет всем пользователям разрешения на доступ к содержимому контейнера. Такой доступ может не потребоваться, если вы храните конфиденциальные данные. Поэтому убедитесь, что анонимный или общедоступный доступ к контейнеру не разрешен.

Серьезность: высокий уровень

Убедитесь, что контейнеры облачных служба хранилища имеют единый доступ на уровне контейнера

Описание. Рекомендуется включить единый доступ на уровне контейнера в облачных служба хранилища контейнерах. Рекомендуется использовать единый доступ на уровне контейнера для объединения и упрощения предоставления доступа к ресурсам облачных служба хранилища. Облачные служба хранилища предлагают две системы для предоставления пользователям разрешений на доступ к контейнерам и объектам: Cloud Identity and Access Management (Cloud IAM) и контроль доступа Lists (ACL).
Эти системы выполняются параллельно. Чтобы пользователь получил доступ к ресурсу Cloud служба хранилища, только одна из систем должна предоставить пользователю разрешение. Облачный IAM используется в Google Cloud и позволяет предоставлять различные разрешения на уровне сегментов и проектов. Списки управления доступом используются только облачными служба хранилища и имеют ограниченные параметры разрешений, но позволяют предоставлять разрешения на основе каждого объекта.

Для поддержки единой системы разрешений облачные служба хранилища имеют единый доступ на уровне контейнера. Использование этой функции отключает списки управления доступом ко всем ресурсам Облачных служба хранилища: доступ к ресурсам облачных служба хранилища, а затем предоставляется исключительно через Cloud IAM. Включение единого доступа на уровне контейнера гарантирует, что если контейнер служба хранилища не является общедоступным, ни один объект в контейнере недоступен.

Серьезность: средний

Убедитесь, что в вычислительных экземплярах включена поддержка конфиденциальных вычислений

Описание: Google Cloud шифрует данные неактивных и передаваемых данных, но данные клиента должны быть расшифровываются для обработки. Конфиденциальные вычисления — это прорывная технология, которая шифрует данные во время обработки. Среды конфиденциальных вычислений хранят данные, зашифрованные в памяти и в других местах за пределами центрального модуля обработки (ЦП). Конфиденциальные виртуальные машины используют функцию безопасной зашифрованной виртуализации (SEV) ЦП AMD EPYC. Данные клиента будут оставаться зашифрованными во время его использования, индексирования, запроса или обучения. Ключи шифрования создаются в оборудовании, на каждую виртуальную машину и не экспортируются. Благодаря встроенной оптимизации оборудования как производительности, так и безопасности, не существует значительных штрафов за производительность для рабочих нагрузок конфиденциальных вычислений. Конфиденциальные вычисления позволяют клиентам конфиденциальный код и другие данные, зашифрованные в памяти во время обработки. У Google нет доступа к ключам шифрования. Конфиденциальная виртуальная машина может помочь облегчить опасения по поводу риска, связанного с зависимостью от инфраструктуры Google или доступа пользователей google insiders к данным клиентов в ясном виде.

Серьезность: высокий уровень

Убедитесь, что политики хранения в контейнерах журналов настроены с помощью блокировки контейнера

Описание. Включение политик хранения в контейнерах журналов защищает журналы, хранящиеся в контейнерах облачного хранилища, от перезаписи или случайного удаления. Рекомендуется настроить политики хранения и настроить блокировку контейнеров для всех контейнеров хранилища, которые используются в качестве приемников журналов. Журналы можно экспортировать, создав один или несколько приемников, включающих фильтр журналов и назначение. Так как журнал Stackdriver получает новые записи журнала, они сравниваются с каждым приемником. Если запись журнала соответствует фильтру приемника, копия записи журнала записывается в место назначения. Приемники можно настроить для экспорта журналов в контейнерах хранилища. Рекомендуется настроить политику хранения данных для этих контейнеров облачного хранилища и заблокировать политику хранения данных; таким образом, постоянно предотвращая сокращение или удаление политики. Таким образом, если система когда-либо скомпрометирована злоумышленником или злоумышленником, который хочет покрыть свои следы, журналы действий определенно сохраняются для судебно-медицинских экспертиз и расследований безопасности.

Серьезность: низкая

Убедитесь, что для экземпляра базы данных Cloud SQL требуются все входящие подключения для использования SSL

Описание. Рекомендуется применить все входящие подключения к экземпляру базы данных SQL для использования SSL. SQL подключения к базе данных в случае успешной ловушки (MITM); может выявить конфиденциальные данные, такие как учетные данные, запросы базы данных, выходные данные запросов и т. д. Для обеспечения безопасности рекомендуется всегда использовать шифрование SSL при подключении к экземпляру. Эта рекомендация применима для экземпляров Postgresql, MySql поколения 1 и MySql поколения 2.

Серьезность: высокий уровень

Убедитесь, что флаг базы данных автономной проверки подлинности базы данных для Cloud SQL в экземпляре SQL Server установлен как "off"

Описание. Рекомендуется задать флаг базы данных "проверка подлинности в автономной базе данных" для Cloud SQL в экземпляре SQL Server для параметра off. Содержащаяся база данных включает все параметры базы данных и метаданные, необходимые для определения базы данных, и не имеет зависимостей конфигурации от экземпляра ядро СУБД, где установлена база данных. Пользователи могут подключиться к базе данных без проверки подлинности имени входа на уровне ядра СУБД. Если изолировать базу данных от ядра СУБД, можно легко переместить эту базу данных на другой экземпляр SQL Server. В автономных базах данных есть некоторые уникальные угрозы, которые должны быть поняты и устранены администраторами SQL Server ядро СУБД. Большинство угроз связаны с процессом проверки подлинности USER WITH PASSWORD, который перемещает границу проверки подлинности с уровня ядро СУБД на уровень базы данных, поэтому рекомендуется отключить этот флаг. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что флаг базы данных межбазового владения для экземпляра SQL Server Cloud SQL Server имеет значение off.

Описание. Рекомендуется задать флаг базы данных межбазовой цепочки владения для экземпляра SQL Server Cloud SQL Server как "отключен". Используйте параметр межбазового владения для цепочки, чтобы настроить цепочку владения между базами данных для экземпляра Microsoft SQL Server. Этот параметр сервера позволяет управлять цепочкой владения между базами данных на уровне базы данных или разрешать цепочку владения между базами данных для всех баз данных. Включение "межбазового владения" не рекомендуется, если только все базы данных, размещенные экземпляром SQL Server, должны участвовать в цепочке владения между базами данных, и вы знаете о последствиях безопасности этого параметра. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: средний

Убедитесь, что флаг базы данных "local_infile" для экземпляра Cloud SQL Mysql установлен как "off"

Описание. Рекомендуется задать флаг базы данных local_infile для выключенного экземпляра Cloud SQL MySQL. Флаг local_infile управляет возможностями LOCAL на стороне сервера для инструкций LOAD DATA. В зависимости от параметра local_infile сервер отказывается или разрешает загрузку локальных данных клиентами, которые включили LOCAL на стороне клиента. Чтобы явно вызвать отказ сервера от инструкций LOAD DATA LOCAL (независимо от того, как клиентские программы и библиотеки настроены во время сборки или во время выполнения), запустите mysqld с отключенными local_infile. local_infile также можно задать во время выполнения. Из-за проблем безопасности, связанных с флагом local_infile, рекомендуется отключить его. Эта рекомендация применима к экземплярам базы данных MySQL.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений разрешений IAM в облаке служба хранилища

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменений IAM в облачном служба хранилища контейнере. Мониторинг изменений в разрешениях контейнера облачного хранилища может сократить время, необходимое для обнаружения и исправления разрешений для конфиденциальных контейнеров и объектов облачного хранилища в контейнере.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений конфигурации экземпляра SQL

Описание. Рекомендуется установить фильтр метрик и тревогу для изменений конфигурации экземпляра SQL. Мониторинг изменений в конфигурации экземпляра SQL может сократить время, необходимое для обнаружения и исправления неправильных конфигураций, выполненных на сервере SQL Server. Ниже приведены некоторые настраиваемые параметры, которые могут повлиять на состояние безопасности экземпляра SQL:

Включение автоматического резервного копирования и высокой доступности: неправильное настройка может негативно повлиять на непрерывность бизнес-процессов, аварийное восстановление и высокий уровень доступности.
Авторизация сетей: неправильное настройка может увеличить уязвимость к ненадежным сетям.

Серьезность: низкая

Убедитесь, что для каждой учетной записи службы есть только ключи учетной записи, управляемой GCP

Описание. Учетные записи управляемых пользователем служб не должны иметь ключи, управляемые пользователем. Любой пользователь, имеющий доступ к ключам, сможет получить доступ к ресурсам через учетную запись службы. Ключи, управляемые GCP, используются службами Cloud Platform, такими как ядро приложений и вычислительный модуль. Эти ключи нельзя скачать. Google будет держать ключи и автоматически поворачивать их примерно еженедельно. Управляемые пользователем ключи создаются, загружаются и управляются пользователями. Срок их действия истекает через 10 лет после создания. Для ключей, управляемых пользователем, пользователь должен взять на себя ответственность за действия управления ключами, в том числе:

Хранилище ключей
Распределение ключей
Отзыв ключа
Смена ключей
Защита ключей от несанкционированных пользователей
Восстановление ключей

Даже при использовании предосторожности владельца ключей ключи могут быть легко утечки распространенными неправильными параметрами разработки, такими как проверка ключи в исходный код или оставляя их в каталоге downloads или случайно оставляя их в блогах или каналах поддержки. Рекомендуется запретить ключи учетной записи службы, управляемые пользователем.

Серьезность: низкая

Убедитесь, что флаг базы данных "подключения пользователей" для экземпляра SQL Server Cloud SQL Server установлен соответствующим образом.

Описание. Рекомендуется задать флаг базы данных "подключения пользователей" для экземпляра SQL Server Cloud SQL Server в соответствии с определенным организацией значением. Параметр "Подключения пользователей" указывает максимальное количество одновременных подключений пользователей, разрешенных в экземпляре SQL Server. Фактическое количество разрешенных подключений пользователей также зависит от используемой версии SQL Server, а также ограничений приложения или приложений и оборудования. SQL Server поддерживает не более 32 767 одновременных подключений пользователей. Так как пользовательские подключения являются динамическими (самостоятельно настроенными) параметром, SQL Server настраивает максимальное число подключений пользователей автоматически при необходимости до максимального допустимого значения. Например, если к серверу подключилось 10 пользователей, будет выделено 10 объектов пользовательских соединений. В большинстве случаев вам не нужно изменять значение этого параметра. По умолчанию его значение равно нулю, то есть разрешено максимальное число соединений (32 767). Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: низкая

Убедитесь, что флаг базы данных "Параметры пользователя" для экземпляра SQL Server Cloud SQL Server не настроен

Описание. Рекомендуется, чтобы флаг базы данных "параметры пользователя" для экземпляра SQL Server Cloud SQL Server не был настроен. Параметр "Параметры пользователя" определяет глобальные значения по умолчанию для всех пользователей. Список параметров обработки запросов по умолчанию создается на время сеанса работы пользователя. Параметр параметров пользователя позволяет изменять значения по умолчанию параметров SET (если параметры сервера по умолчанию не подходят). Пользователь может заменить эти значения по умолчанию с помощью инструкцию SET. Для новых имен входа параметр user options можно настроить динамически. После изменения параметра параметров пользователя новые сеансы входа используют новый параметр; Текущие сеансы входа не затрагиваются. Эта рекомендация применима к экземплярам базы данных SQL Server.

Серьезность: низкая

Ведение журнала для кластеров GKE должно быть включено

Серьезность: высокий уровень

Управление версиями объектов должно быть включено в контейнерах хранилища, в которых настроены приемники

Описание. Эта рекомендация оценивает, задано ли для поля в свойстве управления версиями контейнера значение true.

Серьезность: высокий уровень

Слишком подготовленные удостоверения в проектах следует исследовать, чтобы уменьшить индекс ползука разрешений (PCI)

Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в проектах. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.

Серьезность: средний

Проекты с криптографическими ключами не должны иметь пользователей с разрешениями владельца

Описание. Эта рекомендация оценивает политику разрешения IAM в метаданных проекта для назначенных ролей или владельца субъектов.

Серьезность: средний

служба хранилища контейнеры, используемые в качестве приемника журналов, не должны быть общедоступными

Описание. Эта рекомендация оценивает политику IAM контейнера для субъектов allUsers или allAuthenticatedUsers, которые предоставляют общедоступный доступ.

Серьезность: высокий уровень

Рекомендации GCP IdentityAndAccess

Криптографические ключи не должны содержать более трех пользователей

Описание. Эта рекомендация оценивает политики IAM для кругов ключей. проекты и организации и извлекает субъекты с ролями, которые позволяют им шифровать, расшифровывать или подписывать данные с помощью ключей Cloud KMS: role/owner, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyEncrypter, role/cloudkms.cryptoKeyDecrypter, role/cloudkms.signer и role/cloudkms.signerVerifier.

Серьезность: средний

Убедитесь, что ключи API не создаются для проекта

Описание. Ключи небезопасны, так как они могут просматриваться публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Вместо этого рекомендуется использовать стандартный поток проверки подлинности.

Ниже приведены риски безопасности, связанные с использованием ключей API:

Ключи API — это простые зашифрованные строки
Ключи API не определяют пользователя или приложения, выполняющего запрос API
Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

Чтобы избежать риска безопасности при использовании ключей API, рекомендуется использовать стандартный поток проверки подлинности.

Серьезность: высокий уровень

Убедитесь, что ключи API ограничены только API, которым требуется доступ к приложению

Описание. Ключи API небезопасны, так как они могут просматриваться публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Рекомендуется ограничить ключи API только для использования (вызова) api, необходимых приложению.

Ниже приведены риски безопасности, связанные с использованием ключей API:

Ключи API — это простые зашифрованные строки
Ключи API не определяют пользователя или приложения, выполняющего запрос API
Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

В свете этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо API-ключей. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

Чтобы уменьшить количество атак путем предоставления минимальных привилегий, ключи API можно ограничить использование (вызов) только API, необходимых приложению.

Серьезность: высокий уровень

Убедитесь, что ключи API ограничены только указанными узлами и приложениями

Описание. Неограниченные ключи небезопасны, так как их можно просматривать публично, например из браузера, или они могут быть доступны на устройстве, где находится ключ. Рекомендуется ограничить использование ключа API доверенным узлам, ссылщикам HTTP и приложениям.

Ниже приведены риски безопасности, связанные с использованием ключей API:

Ключи API — это простые зашифрованные строки
Ключи API не определяют пользователя или приложения, выполняющего запрос API
Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

В свете этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо ключей API. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

Чтобы уменьшить векторы атак, API-ключи могут быть ограничены только доверенными узлами, ссылщиками HTTP и приложениями.

Серьезность: высокий уровень

Убедитесь, что ключи API сменяются каждые 90 дней

Описание. Рекомендуется сменить ключи API каждые 90 дней.

Ниже перечислены риски безопасности, связанные с использованием КЛЮЧЕй API:

Ключи API — это простые зашифрованные строки
Ключи API не определяют пользователя или приложения, выполняющего запрос API
Ключи API обычно доступны клиентам, что упрощает обнаружение и кражу ключа API.

Из-за этих потенциальных рисков Google рекомендует использовать стандартный поток проверки подлинности вместо ключей API. Однако существуют ограниченные случаи, когда ключи API более подходящи. Например, если есть мобильное приложение, которое должно использовать API Google Cloud Translation, но в противном случае не требует сервер серверной части, ключи API являются самым простым способом проверки подлинности в этом API.

После кражи ключа он не имеет срока действия, что означает, что он может использоваться неограниченное время, если владелец проекта не отменяет или повторно создает ключ. Смена ключей API уменьшит окно возможности использования ключа доступа, связанного с скомпрометированной или завершенной учетной записью.

Ключи API следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден.

Серьезность: высокий уровень

Убедитесь, что ключи шифрования KMS поворачиваются в течение 90 дней

Описание: Google Cloud служба управления ключами хранит криптографические ключи в иерархической структуре, предназначенной для удобного и элегантного управления доступом. Формат расписания поворота зависит от используемой клиентской библиотеки. Для средства командной строки gcloud следующее время смены должно находиться в формате ISO или "RFC3339", а период поворота должен быть в форме INTEGER[UNIT], где единицы могут быть одним из секунд (с), минут (m), часов (ч) или дней (d). Задайте период смены ключей и время начала. Ключ можно создать с указанным "периодом поворота", то есть временем между созданием новых версий ключей автоматически. Ключ также можно создать с указанным временем следующего поворота. Ключ — это именованный объект, представляющий "криптографический ключ", используемый для конкретной цели. Материал ключа, фактические биты, используемые для шифрования, могут меняться с течением времени при создании новых версий ключей. Ключ используется для защиты некоторых "корпусов данных". Коллекция файлов может быть зашифрована с тем же ключом, и люди с разрешениями расшифровки этого ключа смогут расшифровать эти файлы. Поэтому необходимо убедиться, что для определенного времени задан период поворота.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для назначений и изменений владения проектами

Описание. Чтобы предотвратить ненужные назначения владения проектом для пользователей или учетных записей служб и дальнейших злоупотреблений проектами и ресурсами, следует отслеживать все назначения "роли/владельца". Участники (пользователи или учетные записи службы) с назначением ролей для примитивной роли "роли/владельца" являются владельцами проектов. Владелец проекта имеет все привилегии для проекта, к которой принадлежит роль. Ниже приведены следующие итоги.

Все разрешения средства просмотра для всех служб GCP в проекте
Разрешения для действий, изменяющих состояние всех служб GCP в проекте
Управление ролями и разрешениями для проекта и всех ресурсов в проекте
Настройка выставления счетов для проекта предоставления роли владельца участнику (пользователю или учетной записи службы) позволит участнику изменить политику управления удостоверениями и доступом (IAM). Поэтому предоставьте роль владельца только в том случае, если член имеет законное назначение для управления политикой IAM. Это связано с тем, что политика IAM проекта содержит конфиденциальные данные управления доступом. Наличие минимального набора пользователей, которым разрешено управлять политикой IAM, упрощает любой аудит, который может потребоваться. Владение проектом имеет самый высокий уровень привилегий в проекте. Чтобы избежать неправильного использования ресурсов проекта, необходимо отслеживать и оповещать заинтересованных получателей упоминание о назначении или изменении проекта.
Отправка приглашений на владение проектом
Принятие или отклонение приглашения владельца проекта пользователем
Добавление role\Owner в учетную запись пользователя или службы
Удаление учетной записи пользователя или службы из role\Owner

Серьезность: низкая

Убедитесь, что ослогин включен для проекта

Описание. Включение входа ОС привязывает сертификаты SSH к пользователям IAM и упрощает эффективное управление сертификатами SSH. Включение osLogin гарантирует, что ключи SSH, используемые для подключения к экземплярам, сопоставляются с пользователями IAM. Отмена доступа к пользователю IAM отменяет все ключи SSH, связанные с этим конкретным пользователем. Это упрощает централизованное и автоматизированное управление парами ключей SSH, которое полезно в обработке таких случаев, как реагирование на скомпрометированные пары ключей SSH и /или отзыв внешних или сторонних пользователей или поставщиков. Чтобы узнать, какой экземпляр приводит к неработоспособности проекта, см. рекомендацию "Убедитесь, что ослогин включен для всех экземпляров".

Серьезность: средний

Убедитесь, что ослогин включен для всех экземпляров

Серьезность: средний

Убедитесь, что ведение журнала аудита облака настроено правильно для всех служб и всех пользователей из проекта.

Описание. Рекомендуется настроить ведение журнала аудита облака для отслеживания всех действий администратора и чтения, записи доступа к данным пользователя.

Ведение журнала аудита в облаке поддерживает два журнала аудита для каждого проекта, папки и организации: Администратор действие и доступ к данным.

Администратор журналы действий содержат записи журнала для вызовов API или других административных действий, которые изменяют конфигурацию или метаданные ресурсов. Администратор журналы аудита действий включены для всех служб и не могут быть настроены.
Журналы аудита доступа к данным записывают вызовы API, которые создают, изменяют или считывают предоставленные пользователем данные. Они отключены по умолчанию и должны быть включены. Существует три типа сведений журнала аудита доступа к данным:

Администратор чтение: записывает операции, которые считывают метаданные или сведения о конфигурации. Администратор журналы аудита действий записывают записи метаданных и сведений о конфигурации, которые не могут быть отключены.
Чтение данных: записи операций, которые считывают предоставленные пользователем данные.
Запись данных: записывает операции, которые записывают предоставленные пользователем данные.

Рекомендуется настроить эффективную конфигурацию аудита по умолчанию таким образом, чтобы:

logtype имеет значение DATA_READ (для записи отслеживания действий пользователей) и DATA_WRITES (для регистрации изменений и изменения данных пользователей).
Настройка аудита включена для всех служб, поддерживаемых функцией журналов аудита доступа к данным.
Журналы должны быть записаны для всех пользователей, то есть в любом разделе конфигурации аудита отсутствуют исключенные пользователи. Это гарантирует, что переопределение конфигурации аудита не будет противоречить требованию.

Серьезность: средний

Убедитесь, что ключи шифрования CLOUD KMS не являются анонимными или общедоступными

Описание. Рекомендуется, чтобы политика IAM в Cloud KMS "cryptokeys" ограничивала анонимный и (или) общедоступный доступ. Предоставление разрешений "allUsers" или "allAuthenticatedUsers" позволяет любому пользователю получить доступ к набору данных. Такой доступ может быть не желательным, если конфиденциальные данные хранятся в расположении. В этом случае убедитесь, что анонимный и /или общедоступный доступ к облачному ключу KMS "cryptokey" запрещен.

Серьезность: высокий уровень

Описание. Используйте учетные данные для входа в организации вместо личная учетная запись, например учетные записи Gmail. Рекомендуется использовать полностью управляемые корпоративные учетные записи Google для повышения видимости, аудита и управления доступом к ресурсам Cloud Platform. Учетные записи Gmail, основанные за пределами организации пользователя, такие как личная учетная запись, не должны использоваться для бизнес-целей.

Серьезность: высокий уровень

Убедитесь, что пользователи IAM не назначены роли пользователя учетной записи службы или создателя маркеров учетной записи службы на уровне проекта

Описание. Рекомендуется назначить роли "Пользователь учетной записи службы (iam.serviceAccountUser)" и "Создатель маркера учетной записи службы (iam.serviceAccountTokenCreator)" для конкретной учетной записи службы, а не назначение роли пользователю на уровне проекта. Учетная запись службы — это специальная учетная запись Google, которая принадлежит приложению или виртуальной машине , а не отдельному пользователю. Приложение или экземпляр виртуальной машины использует учетную запись службы для вызова API Google службы, чтобы пользователи не участвовали напрямую. Помимо удостоверения, учетная запись службы — это ресурс, к которому подключены политики IAM. Эти политики определяют, кто может использовать учетную запись службы. Пользователи с ролями IAM для обновления экземпляров ядра приложений и вычислительных ядер (например, развертыватель ядра приложений или вычислительный экземпляр Администратор) могут эффективно запускать код в качестве учетных записей служб, используемых для выполнения этих экземпляров, и косвенно получить доступ ко всем ресурсам, для которых учетные записи службы имеют доступ. Аналогичным образом, доступ SSH к экземпляру вычислительного ядра также может предоставить возможность выполнять код в качестве этой учетной записи экземпляра или службы. На основе бизнес-потребностей может быть несколько управляемых пользователем учетных записей служб, настроенных для проекта. Предоставление ролей iam.serviceAccountUser или iam.serviceAserviceAccountTokenCreatorccountUser пользователю для проекта предоставляет пользователю доступ ко всем учетным записям служб в проекте, включая учетные записи служб, которые могут быть созданы в будущем. Это может привести к повышению привилегий с помощью учетных записей служб и соответствующих экземпляров вычислительного ядра. Чтобы реализовать рекомендации по "минимальным привилегиям", пользователи IAM не должны назначать роли "Пользователь учетной записи службы" или "Создатель маркера учетной записи службы" на уровне проекта. Вместо этого эти роли должны быть назначены пользователю для определенной учетной записи службы, предоставляя этот пользователь доступ к учетной записи службы. Пользователь учетной записи службы позволяет пользователю привязать учетную запись службы к длительной службе заданий, а роль "Создатель маркера учетной записи службы" позволяет пользователю напрямую олицетворить (или подтвердить) удостоверение учетной записи службы.

Серьезность: средний

Описание. Рекомендуется применить принцип разделения обязанностей при назначении ролей, связанных с KMS пользователями. Встроенная или предопределенная роль IAM "Cloud KMS Администратор" позволяет пользователю или удостоверению создавать, удалять учетные записи службы и управлять ими. Встроенная или предопределенная роль IAM "Cloud KMS CryptoKey Encrypter/Decrypter" позволяет пользователю или удостоверению (с достаточными привилегиями на заинтересованных ресурсах) шифровать и расшифровывать неактивных данных с помощью ключа шифрования. Встроенная или предопределенная роль IAM Cloud KMS CryptoKey Encrypter позволяет пользователю или удостоверению (с достаточными привилегиями для соответствующих ресурсов) шифровать неактивных данных с помощью ключей шифрования. Встроенная или предопределенная роль IAM "Cloud KMS CryptoKey Decrypter" позволяет пользователю или удостоверению (с достаточными привилегиями на заинтересованных ресурсах) расшифровывать неактивные данные с помощью ключей шифрования. Разделение обязанностей — это концепция обеспечения того, чтобы один человек не имел всех необходимых разрешений для выполнения вредоносных действий. В Cloud KMS это может быть действие, например использование ключа для доступа к данным и расшифровки данных, к которых пользователь обычно не должен иметь доступа. Разделение обязанностей — это бизнес-контроль, который обычно используется в крупных организациях, что позволяет избежать инцидентов безопасности или конфиденциальности и ошибок. Это считается лучшей практикой. У пользователей не должно быть облачных Администратор KMS и любой из ролей "Cloud KMS CryptoKey Encrypter/Decrypter", "Cloud KMS CryptoKey Encrypter", "Cloud KMS CryptoKey Decrypter".

Серьезность: высокий уровень

Описание. Рекомендуется применять принцип разделения обязанностей при назначении ролей, связанных с учетной записью службы пользователям. Встроенная или предопределенная роль IAM "Администратор учетной записи службы" позволяет пользователю или удостоверению создавать, удалять и управлять учетными записями служб. Встроенная или предопределенная роль IAM "Пользователь учетной записи службы" позволяет пользователю или удостоверению (с достаточными привилегиями для вычислительных ресурсов и ядра приложений) назначать учетные записи службы приложениям и вычислительным экземплярам. Разделение обязанностей — это концепция обеспечения того, чтобы один человек не имел всех необходимых разрешений для выполнения вредоносных действий. В cloud IAM — учетные записи служб это может быть действие, например использование учетной записи службы для доступа к ресурсам, к которым пользователь обычно не должен иметь доступа. Разделение обязанностей — это бизнес-контроль, который обычно используется в крупных организациях, что позволяет избежать инцидентов безопасности или конфиденциальности и ошибок. Это считается лучшей практикой. Ни один пользователь не должен одновременно назначать роли "Учетная запись службы Администратор" и "Пользователь учетной записи службы".

Серьезность: средний

Убедитесь, что у учетной записи службы нет прав Администратор

Описание. Учетная запись службы — это специальная учетная запись Google, которая принадлежит приложению или виртуальной машине, а не отдельному пользователю. Приложение использует учетную запись службы для вызова API Google службы, чтобы пользователи не участвовали напрямую. Рекомендуется не использовать доступ администратора для ServiceAccount. Учетные записи служб представляют безопасность ресурсов (приложения или виртуальной машины), которые могут определяться ролями, назначенными ей. Регистрация ServiceAccount с правами Администратор предоставляет полный доступ к назначенному приложению или виртуальной машине. Владелец доступа ServiceAccount может выполнять критические действия, такие как удаление, обновление параметров изменений и т. д. без вмешательства пользователя. По этой причине рекомендуется, чтобы у учетных записей служб не было Администратор прав.

Серьезность: средний

Убедитесь, что приемники настроены для всех записей журнала

Описание. Рекомендуется создать приемник, который будет экспортировать копии всех записей журнала. Это может помочь агрегировать журналы из нескольких проектов и экспортировать их в службу управления безопасностью и событиями (SIEM). Записи журнала хранятся в журнале Stackdriver. Чтобы агрегировать журналы, экспортируйте их в SIEM. Чтобы сохранить их дольше, рекомендуется настроить приемник журнала. Экспорт включает написание фильтра, который выбирает записи журнала для экспорта, и выбор назначения в Cloud служба хранилища, BigQuery или Cloud Pub/Sub. Фильтр и назначение хранятся в объекте, называемом приемником. Чтобы убедиться, что все записи журнала экспортируются в приемники, убедитесь, что для приемника не настроен фильтр. Приемники можно создавать в проектах, организациях, папках и учетных записях выставления счетов.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений конфигурации аудита

Описание: службы Google Cloud Platform (GCP) записывают записи журнала аудита в журналы Администратор действий и доступа к данным, чтобы ответить на вопросы о том, кто сделал, где и когда?" в проектах GCP. Сведения о ведении журнала аудита облака включают идентификатор вызывающего API, время вызова API, исходный IP-адрес вызывающего API, параметры запроса и элементы ответа, возвращаемые службами GCP. Ведение журнала аудита облака предоставляет журнал вызовов API GCP для учетной записи, включая вызовы API, выполненные через консоль, пакеты SDK, средства командной строки и другие службы GCP. Администратор журналы действий и доступа к данным, созданные ведением журнала аудита облака, обеспечивают анализ безопасности, отслеживание изменений ресурсов и аудит соответствия требованиям. Настройка фильтра метрик и оповещений для изменений конфигурации аудита гарантирует, что рекомендуемое состояние конфигурации аудита поддерживается таким образом, чтобы все действия в проекте были доступны для аудита в любой момент времени.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений пользовательской роли

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения ролей и управления доступом (IAM) для создания, удаления и обновления действий. Google Cloud IAM предоставляет предопределенные роли, которые предоставляют подробный доступ к определенным ресурсам Google Cloud Platform и предотвращают нежелательный доступ к другим ресурсам. Однако для удовлетворения потребностей конкретной организации облачный IAM также предоставляет возможность создавать пользовательские роли. Владельцы проектов и администраторы с ролью Администратор istrator организации или ролью Администратор istrator IAM могут создавать пользовательские роли. Мониторинг действий по созданию, удалению и обновлению ролей поможет определить любую из более привилегированных ролей на ранних этапах.

Серьезность: низкая

Убедитесь, что управляемые пользователем или внешние ключи для учетных записей служб сменяются каждые 90 дней или меньше

Описание. Ключи учетной записи службы состоят из идентификатора ключа (Private_key_Id) и закрытого ключа, которые используются для подписывания программных запросов пользователей, которые делают облачные службы Google доступными для этой конкретной учетной записи службы. Рекомендуется регулярно поворачивать все ключи учетной записи службы. Смена ключей учетной записи службы уменьшит окно возможности использования ключа доступа, связанного с скомпрометированной или прекращенной учетной записью. Ключи учетной записи службы следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден. Каждая учетная запись службы связана с парой ключей, управляемой Google Cloud Platform (GCP). Он используется для проверки подлинности между службами в GCP. Google поворачивает ключи ежедневно. GCP предоставляет возможность создания одной или нескольких пар ключей, управляемых пользователем (также называемыми парами внешних ключей), для использования извне GCP (например, для использования с учетными данными по умолчанию приложения). При создании новой пары ключей пользователю требуется скачать закрытый ключ (который не сохраняется Google).

При использовании внешних ключей пользователи отвечают за обеспечение безопасности закрытого ключа и других операций управления, таких как смена ключей. Внешние ключи можно управлять API IAM, средством командной строки gcloud или страницей учетных записей служб в консоли Google Cloud Platform.

GCP упрощает до 10 ключей внешней учетной записи службы на учетную запись службы для упрощения смены ключей.

Серьезность: средний

Веб-панель мониторинга GKE должна быть отключена

Серьезность: высокий уровень

Устаревшая авторизация должна быть отключена в кластерах GKE

Описание. Эта рекомендация оценивает свойство legacyAbac кластера для пары "ключ-значение": true.

Серьезность: высокий уровень

Роль IAM Redis не должна быть назначена на уровне организации или папки.

Описание. Эта рекомендация оценивает политику разрешения IAM в метаданных ресурсов для субъектов, назначенных ролей/redis.admin, role/redis.editor, role/redis.viewer на уровне организации или папки.

Серьезность: высокий уровень

Учетные записи служб должны иметь ограниченный доступ к проекту в кластере

Описание. Эта рекомендация оценивает свойство конфигурации пула узлов проверка если учетная запись службы не указана или используется ли учетная запись службы по умолчанию.

Серьезность: высокий уровень

У пользователей должен быть минимальный привилегированный доступ с подробными ролями IAM

Описание. Эта рекомендация оценивает политику IAM в метаданных ресурсов для всех назначенных ролей или владельцев, ролей, записи или ролей или читателя.

Серьезность: высокий уровень

Суперудостоверений в среде GCP следует удалить (предварительная версия)

Описание. Супер удостоверение имеет мощный набор разрешений. Суперадминистры — это удостоверения человека или рабочей нагрузки, имеющие доступ ко всем разрешениям и всем ресурсам. Они могут создавать и изменять параметры конфигурации в службу, добавлять или удалять удостоверения, а также получать доступ или даже удалять данные. Оставшиеся неуправляемые, эти удостоверения представляют значительный риск неправильного использования разрешений при нарушении.

Серьезность: высокий уровень

Неиспользуемые удостоверения в среде GCP следует удалить (предварительная версия)

Описание. Необходимо определить неиспользуемые удостоверения, так как они представляют значительные риски безопасности. Эти удостоверения часто включают в себя неправильные методы, такие как чрезмерные разрешения и неправильные ключи, которые покидают организации открыты для неправильного использования учетных данных или эксплуатации и увеличивают область атаки вашего ресурса. Неактивные удостоверения — это человеческие и нечеловеческие сущности, которые не выполняли никаких действий по любому ресурсу за последние 90 дней. Ключи учетной записи службы могут стать угрозой безопасности, если не управлять тщательно.

Серьезность: средний

У GCP перепросмотрированных удостоверений должны быть только необходимые разрешения (предварительная версия)

Описание. Чрезмерно подготовленное активное удостоверение — это удостоверение, которое имеет доступ к привилегиям, которые они не использовали. Слишком подготовленные активные удостоверения, особенно для нечеловеческих учетных записей, которые имеют очень определенные действия и обязанности, могут увеличить радиус взрыва в случае пользователя, ключа или компрометации ресурсов. Принцип наименьших привилегий указывает, что ресурс должен иметь доступ только к точным ресурсам, которые он должен иметь для работы. Этот принцип разработан для решения риска скомпрометированных удостоверений, предоставляющих злоумышленнику доступ к широкому спектру ресурсов.

Серьезность: средний

Рекомендации по сети GCP

Узлы кластера должны быть настроены для использования только частных, внутренних IP-адресов для доступа к API Google

Описание. Эта рекомендация оценивает, имеет ли свойство privateIpGoogleAccess подсети значение false.

Серьезность: высокий уровень

Вычислительные экземпляры должны использовать подсистему балансировки нагрузки, настроенную для использования целевого прокси-сервера HTTPS.

Описание. Эта рекомендация оценивает, совпадает ли свойство selfLink ресурса targetHttpProxy с целевым атрибутом в правиле пересылки, а если правило пересылки содержит поле loadBalancingScheme, для которого задано значение External.

Серьезность: средний

Авторизованные сети уровня управления должны быть включены в кластерах GKE

Описание. Эта рекомендация оценивает свойство masterAuthorizedNetworksConfig кластера для пары "ключ-значение": false.

Серьезность: высокий уровень

Правило запрета исходящего трафика должно быть задано на брандмауэре, чтобы заблокировать нежелательный исходящий трафик

Описание. Эта рекомендация определяет, задано ли свойство destinationRanges в брандмауэре значение 0.0.0.0/0, а отклоненное свойство содержит пару "ключ-значение", "IPProtocol": "all".

Серьезность: низкая

Убедитесь, что правила брандмауэра для экземпляров, стоящих за прокси-сервером удостоверений (IAP), разрешают только трафик из Google Cloud Loadbalancer (GCLB) проверки работоспособности и прокси-адресов

Описание. Доступ к виртуальным машинам должен быть ограничен правилами брандмауэра, которые разрешают только трафик IAP, гарантируя, что разрешены только подключения, прокси-серверы IAP. Чтобы обеспечить правильность работы балансировки нагрузки, необходимо также разрешить проверка работоспособности. IAP гарантирует, что доступ к виртуальным машинам контролируется путем проверки подлинности входящих запросов. Тем не менее, если виртуальная машина по-прежнему доступна из IP-адресов, отличных от IAP, возможно, все еще можно отправлять неавтоентизованные запросы в экземпляр. Необходимо принять меры, чтобы убедиться, что проверка работоспособности loadblancer не заблокированы, так как это приведет к тому, что подсистема балансировки нагрузки будет правильно знать работоспособность виртуальной машины и балансировки нагрузки.

Серьезность: средний

Убедитесь, что устаревшие сети не существуют для проекта

Описание. Чтобы предотвратить использование устаревших сетей, проект не должен иметь устаревшую сеть. Устаревшие сети имеют один диапазон префиксов IPv4 сети и IP-адрес одного шлюза для всей сети. Сеть является глобальной в область и охватывает все облачные регионы. Не удается создать подсети в устаревшей сети и не удается переключиться из прежних версий в автоматические или пользовательские сети подсети. Устаревшие сети могут повлиять на проекты с высоким сетевым трафиком и подвергаются единой точке состязания или сбоя.

Серьезность: средний

Убедитесь, что флаг базы данных "log_hostname" для экземпляра Cloud SQL PostgreSQL установлен соответствующим образом.

Описание. PostgreSQL регистрирует только IP-адрес соединительных узлов. Флаг "log_hostname" управляет ведением журнала имен узлов в дополнение к зарегистрированным IP-адресам. Снижение производительности зависит от конфигурации среды и настройки разрешения имен узла. Этот параметр можно задать только в файле postgresql.conf или в командной строке сервера. Имена узлов ведения журнала могут нанести издержки на производительность сервера, так как для каждой инструкции, зарегистрированной в журнале, разрешение DNS потребуется для преобразования IP-адреса в имя узла. В зависимости от установки это может быть незначимым. Кроме того, IP-адреса, зарегистрированные в журнале, можно разрешить в имена DNS позже при проверке журналов, за исключением случаев, когда используются динамические имена узлов. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: низкая

Убедитесь, что подсистемы балансировки нагрузки HTTPS или SSL-прокси не позволяют политикам SSL с слабыми наборами шифров

Описание. Политики SSL определяют, какие функции протокола TLS можно использовать при подключении к подсистемам балансировки нагрузки. Чтобы предотвратить использование небезопасных функций, политики SSL должны использовать по крайней мере TLS 1.2 с профилем MODERN; или (b) профиль RESTRICTED, так как он фактически требует от клиентов использовать TLS 1.2 независимо от выбранной минимальной версии TLS; или (3) настраиваемый профиль, который не поддерживает ни одну из следующих функций: TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Подсистемы балансировки нагрузки используются для эффективного распределения трафика между несколькими серверами. Прокси-сервер SSL и подсистемы балансировки нагрузки HTTPS — это внешние подсистемы балансировки нагрузки, то есть они распределяют трафик из Интернета в сеть GCP. Клиенты GCP могут настроить политики SSL подсистемы балансировки нагрузки с минимальной версией TLS (1.0, 1.1 или 1.2), которые клиенты могут использовать для установления соединения вместе с профилем (совместимой, современной, ограниченной или пользовательской), которая указывает допустимые наборы шифров. Чтобы обеспечить соблюдение устаревших протоколов, подсистемы балансировки нагрузки GCP можно настроить для разрешения небезопасных наборов шифров. На самом деле политика SSL по умолчанию GCP использует минимальную версию TLS 1.0 и совместимый профиль, который позволяет наиболее широкому спектру небезопасных наборов шифров. В результате клиенты легко настроить подсистему балансировки нагрузки, даже не зная, что они разрешают устаревшие наборы шифров.

Серьезность: средний

Убедитесь, что для всех сетей VPC включено ведение журнала облачных DNS

Описание. Ведение журнала облачных DNS записывает запросы с серверов имен в VPC в Stackdriver. Зарегистрированные запросы могут поступать из виртуальных машин вычислительной подсистемы, контейнеров GKE или других ресурсов GCP, подготовленных в VPC. Мониторинг безопасности и криминалистика не могут зависеть исключительно от IP-адресов из журналов потоков VPC, особенно при рассмотрении динамического использования облачных ресурсов IP-адресов, маршрутизации виртуальных узлов HTTP и других технологий, которые могут скрыть DNS-имя, используемое клиентом из IP-адреса. Мониторинг журналов Облачных DNS обеспечивает видимость DNS-имен, запрашиваемых клиентами в VPC. Эти журналы можно отслеживать для аномальных доменных имен, вычисляемых в отношении аналитики угроз и примечание. Для полного захвата DNS брандмауэр должен блокировать исходящий трафик UDP/53 (DNS) и TCP/443 (DNS по ПРОТОКОЛУ HTTPS), чтобы предотвратить использование внешнего DNS-сервера для разрешения.

Серьезность: высокий уровень

Убедитесь, что СЛУЖБА DNSSEC включена для облачной СЛУЖБЫ DNS

Описание: Облачная система доменных имен (DNS) — это быстрая, надежная и экономически эффективная система доменных имен, которая обеспечивает миллионы доменов в Интернете. Расширения безопасности системы доменных имен (DNSSEC) в облаке DNS позволяют владельцам доменов выполнять простые действия по защите своих доменов от перехвата DNS и злоумышленника в середине и других атак. Расширения безопасности системы доменных имен (DNSSEC) добавляют безопасность к протоколу DNS, позволяя проверять ответы DNS. Наличие надежного DNS,которое преобразует доменное имя, как www.example.com и в связанный IP-адрес, является все более важным стандартным блоком современных веб-приложений. Злоумышленники могут перехватывать этот процесс подстановки домена или IP-адреса и перенаправлять пользователей на вредоносный сайт с помощью перехвата DNS и атак "злоумышленник в середине". DNSSEC помогает снизить риск таких атак путем криптографического подписывания записей DNS. В результате злоумышленники не могут выдавать поддельные DNS-ответы, которые могут неправильно указать браузеры на невзговорные веб-сайты.

Серьезность: средний

Убедитесь, что доступ по протоколу RDP ограничен из Интернета

Описание. Правила брандмауэра GCP относятся к сети VPC. Каждое правило разрешает или запрещает трафик при выполнении условий. Его условия позволяют пользователям указывать тип трафика, например порты и протоколы, а также источник или назначение трафика, включая IP-адреса, подсети и экземпляры. Правила брандмауэра определяются на уровне сети VPC и относятся к сети, в которой они определены. Правила сами по себе не могут быть общими для сетей. Правила брандмауэра поддерживают только трафик IPv4. При указании источника для правила входящего трафика или назначения для правила исходящего трафика по адресу можно использовать адрес IPv4 или блок IPv4 в нотации CIDR. Универсальный трафик (0.0.0.0/0) из Интернета в экземпляр VPC или виртуальной машины с помощью RDP через порт 3389 можно избежать. Правила брандмауэра GCP в сети VPC. Эти правила применяются к исходящему (исходящему) трафику из экземпляров и входящего (входящего трафика) к экземплярам в сети. Потоки исходящего трафика и входящего трафика контролируются, даже если трафик остается в сети (например, обмен данными между экземплярами). Для экземпляра для исходящего доступа к Интернету сеть должна иметь допустимый маршрут шлюза Интернета или пользовательский маршрут, целевой IP-адрес которого указан. Этот маршрут просто определяет путь к Интернету, чтобы избежать наиболее общего (0.0.0.0.0/0) диапазона IP-адресов, указанного из Интернета через RDP с портом 3389 по умолчанию. Универсальный доступ из Интернета к определенному диапазону IP-адресов должен быть ограничен.

Серьезность: высокий уровень

Убедитесь, что RSASHA1 не используется для ключа подписывания ключей в Cloud DNSSEC

Описание. Номера алгоритмов DNSSEC в этом реестре могут использоваться в RR CERT. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Номера алгоритмов расширений безопасности системы доменных имен (DNSSEC) в этом реестре могут использоваться в CERT RR. Механизмы безопасности зон (DNSSEC) и механизмы безопасности транзакций (SIG(0) и TSIG используют определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. При включении DNSSEC для управляемой зоны или создании управляемой зоны с ПОМОЩЬЮ DNSSEC пользователь может выбрать алгоритмы подписывания DNSSEC и тип отказа в существовании. Изменение параметров DNSSEC действует только для управляемой зоны, если DNSSEC еще не включена. Если необходимо изменить параметры управляемой зоны, в которой она включена, отключите DNSSEC и повторно включите ее с различными параметрами.

Серьезность: средний

Убедитесь, что RSASHA1 не используется для ключа подписывания зоны в Cloud DNSSEC

Описание. Номера алгоритмов DNSSEC в этом реестре могут использоваться в RR CERT. Для подписывания зоны (DNSSEC) и механизмов безопасности транзакций (SIG(0) и TSIG используются определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. Номера алгоритмов DNSSEC в этом реестре могут использоваться в CERT RR. Механизмы безопасности зон (DNSSEC) и механизмы безопасности транзакций (SIG(0) и TSIG используют определенные подмножества этих алгоритмов. Алгоритм, используемый для подписывания ключей, должен быть рекомендуемым, и он должен быть сильным. При включении DNSSEC для управляемой зоны или создании управляемой зоны с ПОМОЩЬЮ DNSSEC можно выбрать алгоритмы подписывания DNSSEC и тип отказа в существовании. Изменение параметров DNSSEC действует только для управляемой зоны, если DNSSEC еще не включена. Если необходимо изменить параметры управляемой зоны, в которой она включена, отключите DNSSEC и снова включите ее с различными параметрами.

Серьезность: средний

Убедитесь, что доступ по протоколу SSH ограничен из Интернета

Описание. Правила брандмауэра GCP относятся к сети VPC. Каждое правило разрешает или запрещает трафик при выполнении условий. Его условия позволяют пользователю указать тип трафика, например порты и протоколы, а также источник или назначение трафика, включая IP-адреса, подсети и экземпляры. Правила брандмауэра определяются на уровне сети VPC и относятся к сети, в которой они определены. Правила сами по себе не могут быть общими для сетей. Правила брандмауэра поддерживают только трафик IPv4. При указании источника для правила входящего трафика или назначения для правила исходящего трафика по адресу можно использовать только IPv4-адрес или блок IPv4 в нотации CIDR. Универсальный трафик (0.0.0.0/0) из Интернета в VPC или экземпляр виртуальной машины с помощью SSH через порт 22 можно избежать. Правила брандмауэра GCP в сети VPC применяются к исходящему (исходящему) трафику из экземпляров и входящего (входящего трафика) к экземплярам в сети. Потоки исходящего трафика и входящего трафика контролируются, даже если трафик остается в сети (например, обмен данными между экземплярами). Для экземпляра для исходящего доступа к Интернету сеть должна иметь допустимый маршрут шлюза Интернета или пользовательский маршрут, целевой IP-адрес которого указан. Этот маршрут просто определяет путь к Интернету, чтобы избежать наиболее общего (0.0.0.0.0/0) диапазона IP-адресов, указанного из Интернета через SSH, с портом по умолчанию "22". Универсальный доступ из Интернета к определенному диапазону IP-адресов должен быть ограничен.

Серьезность: высокий уровень

Убедитесь, что сеть по умолчанию не существует в проекте

Описание. Чтобы предотвратить использование сети по умолчанию, проект не должен иметь сеть по умолчанию. Сеть по умолчанию имеет предварительно настроенную конфигурацию сети и автоматически создает следующие небезопасные правила брандмауэра:

Default-allow-internal: разрешает входящий трафик для всех протоколов и портов между экземплярами в сети.
default-allow-ssh: разрешает входящий трафик через TCP-порт 22(SSH) из любого источника к любому экземпляру в сети.
default-allow-rdp: разрешает входящего трафика подключения через TCP-порт 3389(RDP) из любого источника к любому экземпляру в сети.
default-allow-icmp: разрешает входящий трафик ICMP из любого источника в любой экземпляр в сети.

Эти автоматически созданные правила брандмауэра не регистрируются в журнале аудита и не могут быть настроены для включения ведения журнала правил брандмауэра. Кроме того, сеть по умолчанию является сетью автоматического режима, что означает, что ее подсети используют тот же предопределенный диапазон IP-адресов, а в результате использовать облачный VPN или сетевой пиринг VPC с сетью по умолчанию невозможно. В зависимости от требований к безопасности организации и сети организация должна создать новую сеть и удалить сеть по умолчанию.

Серьезность: средний

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений сети VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменений сети виртуального частного облака (VPC). В проекте может быть несколько виртуальных ЦП. Кроме того, можно также создать одноранговое подключение между двумя виртуальными компьютерами, что позволяет сетевому трафику направляться между виртуальными машинами. Мониторинг изменений в VPC поможет убедиться, что поток трафика VPC не влияет.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений правила сетевого брандмауэра VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения правила сетевого брандмауэра виртуального частного облака (VPC). Мониторинг событий правила создания или обновления брандмауэра предоставляет аналитические сведения об изменениях доступа к сети и может сократить время обнаружения подозрительных действий.

Серьезность: низкая

Убедитесь, что фильтр метрик журнала и оповещения существуют для изменений сетевого маршрута VPC

Описание. Рекомендуется установить фильтр метрик и сигнализацию для изменения сетевого маршрута виртуального частного облака (VPC). Маршруты Google Cloud Platform (GCP) определяют путь сетевого трафика от экземпляра виртуальной машины к другому месту назначения. Другое назначение может находиться в сети VPC организации (например, другой виртуальной машины) или за ее пределами. Каждый маршрут состоит из назначения и следующего прыжка. Трафик, IP-адрес которого находится в диапазоне назначения, отправляется в следующий прыжок для доставки. Мониторинг изменений в таблицах маршрутизации поможет гарантировать, что весь трафик VPC будет проходить по ожидаемому пути.

Серьезность: низкая

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_connections" включено.

Описание. Включение параметра log_connections приводит к тому, что каждая попытка подключения к серверу регистрируется, а также успешное завершение проверки подлинности клиента. Этот параметр нельзя изменить после запуска сеанса. PostgreSQL по умолчанию не регистрирует попытки подключения. Включение параметра log_connections создаст записи журнала для каждого попытки подключения, а также успешное завершение проверки подлинности клиента, что может быть полезно при устранении неполадок и определении любых необычных попыток подключения к серверу. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: средний

Убедитесь, что для экземпляра Cloud SQL PostgreSQL установлен флаг базы данных "log_disconnections" включено.

Описание. Включение параметра log_disconnections регистрирует конец каждого сеанса, включая длительность сеанса. PostgreSQL не регистрирует сведения о сеансе, такие как длительность и окончание сеанса по умолчанию. Включение параметра log_disconnections создаст записи журнала в конце каждого сеанса, которые могут быть полезны при устранении неполадок и определении любых необычных действий в течение периода времени. Log_disconnections и log_connections работать вручную и, как правило, пара будет включена или отключена вместе. Эта рекомендация применима к экземплярам базы данных PostgreSQL.

Серьезность: средний

Убедитесь, что журналы потоков VPC включены для каждой подсети в сети VPC

Описание. Журналы потоков — это функция, которая позволяет пользователям собирать сведения о IP-трафике, который собирается и из сетевых интерфейсов в подсетях VPC организации. После создания журнала потоков пользователь может просматривать и извлекать свои данные в журнале Stackdriver. Рекомендуется включить журналы потоков для каждой подсети VPC для критически важных для бизнеса. Сети и подсети VPC обеспечивают логически изолированные и безопасные сетевые секции, в которых можно запускать ресурсы GCP. Если журналы потоков включены для подсети, виртуальные машины в этой подсети начинают сообщать обо всех потоках протокола управления передачей (TCP) и протокола UDP. Каждая виртуальная машина использует потоки TCP и UDP, которые он видит, входящий и исходящий трафик, независимо от того, входит ли поток в другую виртуальную машину, узел в локальном центре обработки данных, службе Google или узле в Интернете. Если две виртуальные машины GCP взаимодействуют, и оба находятся в подсетях с включенными журналами потоков VPC, обе виртуальные машины сообщают о потоках. Журналы потоков поддерживают следующие варианты использования: 1. Мониторинг сети. 2. Общие сведения об использовании сети и оптимизации расходов на сетевой трафик. 3. Сетевые судебно-медицинские экспертизы. 4. Журналы потоков анализа безопасности в режиме реального времени обеспечивают видимость сетевого трафика для каждой виртуальной машины в подсети и могут использоваться для обнаружения аномального трафика или анализа во время рабочих процессов безопасности.

Серьезность: низкая

Ведение журнала правил брандмауэра должно быть включено

Описание. Эта рекомендация оценивает свойство logConfig в метаданных брандмауэра, чтобы узнать, является ли он пустым или содержит пару "enable": false.

Серьезность: средний

Брандмауэр не должен быть настроен для открытого доступа к общедоступному доступу

Описание. Эта рекомендация оценивает sourceRanges и разрешенные свойства для одной из двух конфигураций:

Свойство sourceRanges содержит 0.0.0.0/0, а разрешенное свойство содержит сочетание правил, включающих любой протокол или протокол:port, за исключением следующего: icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22

Свойство sourceRanges содержит сочетание диапазонов IP-адресов, включая любой непривывный IP-адрес и разрешенное свойство содержит сочетание правил, разрешающих все tcp-порты или все порты udp.

Серьезность: высокий уровень

Рекомендации по безопасности ресурсов Google Cloud Platform (GCP)

Рекомендации по вычислению GCP

Рекомендации по контейнерам GCP

Рекомендации по плоскости данных

Рекомендации по данным GCP

Рекомендации GCP IdentityAndAccess

Рекомендации по сети GCP