Raccomandazioni sulla sicurezza dei dati
Questo articolo elenca tutte le raccomandazioni sulla sicurezza dei dati che è possibile visualizzare in Microsoft Defender per il cloud.
Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Suggerimento
Se una descrizione della raccomandazione indica Nessun criterio correlato, in genere è perché tale raccomandazione dipende da una raccomandazione diversa.
Ad esempio, è consigliabile correggere gli errori di integrità di Endpoint Protection in base alla raccomandazione che controlla se è installata una soluzione endpoint protection (è necessario installare la soluzione Endpoint Protection). La raccomandazione sottostante dispone di un criterio. La limitazione dei criteri solo alle raccomandazioni fondamentali semplifica la gestione dei criteri.
Raccomandazioni per i dati di Azure
Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica
Descrizione: la disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account Cosmos DB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account Cosmos DB. Altre informazioni. (criterio correlato: Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica).
Gravità: medio
(Abilita se necessario) Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/cosmosdb-cmk. (Criterio correlato: Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi.
Gravità: Bassa
(Abilita se necessario) Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Gestire la crittografia dei dati inattivi delle aree di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/azureml-workspaces-cmk. (Criterio correlato: Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente (CMK).
Gravità: Bassa
Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva
Descrizione: l'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. (criterio correlato: il database SQL di Azure deve eseguire TLS versione 1.2 o successiva).
Gravità: medio
Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica
Descrizione: la disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) nelle Istanza gestita di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Altre informazioni sull'accesso alla rete pubblica. (criterio correlato: Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica).
Gravità: medio
Gli account Cosmos DB devono usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Quando gli endpoint privati vengono mappati all'account Cosmos DB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati. (criterio correlato: gli account Cosmos DB devono usare Collegamento privato).
Gravità: medio
(Abilita se necessario) I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. (Criterio correlato: La protezione dei dati bring your own key deve essere abilitata per i server MySQL.
Gravità: Bassa
(Abilita se necessario) I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati inattivi sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. (Criterio correlato: La protezione dei dati Bring Your Own Key deve essere abilitata per i server PostgreSQL.
Gravità: Bassa
(Abilita se necessario) Le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. (Criterio correlato: Le istanze gestite di SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi.
Gravità: Bassa
(Abilita se necessario) I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. (Criterio correlato: I server SQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi.
Gravità: Bassa
(Abilita se necessario) Gli account di archiviazione devono usare la chiave gestita dal cliente (CMK) per la crittografia
Descrizione: le raccomandazioni per l'uso di chiavi gestite dal cliente per la crittografia dei dati inattivi non vengono valutate per impostazione predefinita, ma sono disponibili per abilitare gli scenari applicabili. I dati vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso di chiavi gestite dal cliente deve essere applicato solo quando è obbligatorio in base ai requisiti di conformità o restrittivi dei criteri. Per abilitare questa raccomandazione, passare ai criteri di sicurezza per l'ambito applicabile e aggiornare il parametro Effect per il criterio corrispondente per controllare o applicare l'uso di chiavi gestite dal cliente. Per altre informazioni, vedere Gestire i criteri di sicurezza. È possibile proteggere l'account di archiviazione con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o per cancellare i dati tramite crittografia. (Criterio correlato: Gli account di archiviazione devono usare la chiave gestita dal cliente (CMK) per la crittografia.
Gravità: Bassa
L'accesso pubblico agli account di archiviazione non deve essere consentito
Descrizione: l'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario.
Criterio correlato: l'accesso pubblico all'account di archiviazione deve essere disabilitato
Gravità: medio
Tutti i tipi di protezione avanzata dalle minacce devono essere abilitati nelle impostazioni di sicurezza dei dati avanzate dell'istanza gestita di SQL
Descrizione: è consigliabile abilitare tutti i tipi di protezione avanzata dalle minacce nelle istanze gestite di SQL. L'abilitazione di tutti i tipi abilita la protezione da attacchi SQL injection, vulnerabilità del database e qualsiasi altra attività anomala. (Nessun criterio correlato)
Gravità: medio
Tutti i tipi di protezione avanzata dalle minacce devono essere abilitati nelle impostazioni di sicurezza dei dati avanzate di SQL Server
Descrizione: è consigliabile abilitare tutti i tipi di protezione avanzata dalle minacce nei server SQL. L'abilitazione di tutti i tipi abilita la protezione da attacchi SQL injection, vulnerabilità del database e qualsiasi altra attività anomala. (Nessun criterio correlato)
Gravità: medio
I servizi di gestione API devono usare una rete virtuale
Descrizione: la distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway API possono essere configurati in modo che siano accessibili da Internet o solo nell’ambito della rete virtuale. (Criterio correlato: Gestione API servizi devono usare una rete virtuale.
Gravità: medio
Configurazione app deve usare un collegamento privato
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. (Criterio correlato: Configurazione app deve usare un collegamento privato).
Gravità: medio
La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni
Descrizione: controllare i server SQL configurati con un periodo di conservazione di controllo inferiore a 90 giorni. (Criterio correlato: I server SQL devono essere configurati con conservazione del controllo di 90 giorni o versione successiva.
Gravità: Bassa
È consigliabile abilitare il controllo in SQL Server
Descrizione: abilitare il controllo in SQL Server per tenere traccia delle attività del database in tutti i database nel server e salvarle in un log di controllo. (Criterio correlato: Il controllo in SQL Server deve essere abilitato.
Gravità: Bassa
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni
Descrizione: per monitorare le vulnerabilità e le minacce per la sicurezza, Microsoft Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. (Criterio correlato: Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione.
Gravità: Bassa
La cache di Azure per Redis deve risiedere all'interno di una rete virtuale
Descrizione: la distribuzione di Azure Rete virtuale (VNet) offre sicurezza e isolamento avanzati per le cache di Azure per Redis, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un'istanza di Cache Redis di Azure viene configurata con una rete virtuale, non è indirizzabile pubblicamente ed è accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. (Criterio correlato: cache di Azure per Redis deve trovarsi all'interno di una rete virtuale.
Gravità: medio
Database di Azure per MySQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning
Descrizione: effettuare il provisioning di un amministratore di Azure AD per l'Database di Azure per MySQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft (criterio correlato: è necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server MySQL).
Gravità: medio
Database di Azure per PostgreSQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning
Descrizione: effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per PostgreSQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft
(Criterio correlato: È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server PostgreSQL.
Gravità: medio
Il server flessibile di Database Azure per PostgreSQL deve avere solo l'autenticazione Microsoft Entra abilitata
Descrizione: la disabilitazione dei metodi di autenticazione locale e la richiesta dell'autenticazione di Microsoft Entra migliora la sicurezza assicurando che Database di Azure per PostgreSQL server flessibile sia accessibile solo dalle identità di Microsoft Entra (criterio correlato: il server flessibile di Azure PostgreSQL deve avere l'autenticazione solo Microsoft Entra).
Gravità: medio
Per gli account di Azure Cosmos DB devono essere definite regole del firewall
Descrizione: le regole del firewall devono essere definite sugli account Azure Cosmos DB per impedire il traffico da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. (Criterio correlato: Gli account Azure Cosmos DB devono avere regole del firewall.
Gravità: medio
I domini di Griglia di eventi di Azure devono usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai domini di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. (Criterio correlato: Griglia di eventi di Azure domini devono usare un collegamento privato).
Gravità: medio
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli argomenti anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. (Criterio correlato: Griglia di eventi di Azure argomenti devono usare un collegamento privato).
Gravità: medio
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole aree di lavoro di Azure Machine Learning anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azureml-workspaces-privatelink. (Criterio correlato: Le aree di lavoro di Azure Machine Learning devono usare un collegamento privato.
Gravità: medio
Il servizio Azure SignalR deve usare collegamenti privati
Descrizione: collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle risorse SignalR anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. (Criterio correlato: Servizio Azure SignalR deve usare un collegamento privato).
Gravità: medio
Azure Spring Cloud deve usare l'aggiunta alla rete
Descrizione: Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. (Criterio correlato: Azure Spring Cloud deve usare l'inserimento di rete.
Gravità: medio
Per i server SQL deve essere stato effettuato il provisioning di un amministratore di Azure Active Directory
Descrizione: effettuare il provisioning di un amministratore di Azure AD per il server SQL per abilitare l'autenticazione di Azure AD. Questo tipo di autenticazione consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità degli utenti di database e di altri servizi Microsoft. (Criterio correlato: È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL.
Gravità: alta
La modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere solo Azure Active Directory
Descrizione: la modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere Solo Azure Active Directory solo i metodi di autenticazione di Azure Active Directory migliora la sicurezza assicurando che le aree di lavoro di Synapse richiedano esclusivamente identità di Azure AD per l'autenticazione. Altre informazioni. (Criterio correlato: Le aree di lavoro di Synapse devono usare solo le identità di Azure Active Directory per l'autenticazione.
Gravità: medio
I repository di codice devono avere i risultati di analisi del codice risolti
Descrizione: Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato)
Gravità: medio
I repository di codice devono avere i risultati di analisi Dependabot risolti
Descrizione: Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato)
Gravità: medio
I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti
Descrizione: Defender per DevOps ha trovato l'infrastruttura come problemi di configurazione della sicurezza del codice nei repository. I problemi mostrati di seguito sono stati rilevati nei file modello. Per migliorare il comportamento di sicurezza delle risorse cloud correlate, è consigliabile risolvere questi problemi. (Nessun criterio correlato)
Gravità: medio
I repository di codice devono avere i risultati dell'analisi dei segreti risolti
Descrizione: Defender per DevOps ha trovato un segreto nei repository di codice. Questa operazione deve essere risolta immediatamente per evitare una violazione della sicurezza. I segreti trovati nei repository possono essere persi o individuati da avversari, causando la compromissione di un'applicazione o di un servizio. Per Azure DevOps, lo strumento Microsoft Security DevOps CredScan analizza solo le build su cui è stato configurato per l'esecuzione. Pertanto, i risultati potrebbero non riflettere lo stato completo dei segreti nei repository. (Nessun criterio correlato)
Gravità: alta
Per gli account Servizi cognitivi è necessario abilitare la crittografia dei dati
Descrizione: questo criterio controlla gli account di Servizi cognitivi che non usano la crittografia dei dati. Per ogni account con archiviazione, è necessario abilitare la crittografia dei dati con chiave gestita dal cliente o gestita da Microsoft. (Criterio correlato: Gli account di Servizi cognitivi devono abilitare la crittografia dei dati.
Gravità: Bassa
Gli account di Servizi cognitivi devono usare l'archiviazione di proprietà del cliente o abilitare la crittografia dei dati
Descrizione: questo criterio controlla qualsiasi account di Servizi cognitivi che non usa l'archiviazione di proprietà del cliente né la crittografia dei dati. Per ogni account Servizi cognitivi con risorse di archiviazione, usare lo spazio di archiviazione di proprietà del cliente o abilitare la crittografia dei dati. Allinea a Microsoft Cloud Security Benchmark. (Criterio correlato: Gli account di Servizi cognitivi devono usare l'archiviazione di proprietà del cliente o abilitare la crittografia dei dati.
Gravità: Bassa
È consigliabile abilitare i log di diagnostica in Azure Data Lake Store
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in Azure Data Lake Store devono essere abilitati.
Gravità: Bassa
È consigliabile abilitare i log di diagnostica Data Lake Analytics
Descrizione: abilitare i log e conservarli per un massimo di un anno. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa. (Criterio correlato: I log di diagnostica in Data Lake Analytics devono essere abilitati.
Gravità: Bassa
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta
Descrizione: per assicurarsi che gli utenti pertinenti dell'organizzazione vengano informati quando si verifica una potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare le notifiche tramite posta elettronica per gli avvisi con gravità elevata in Defender per il cloud. (Criterio correlato: È consigliabile abilitare la notifica tramite posta elettronica per gli avvisi con gravità elevata.
Gravità: Bassa
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta
Descrizione: per assicurarsi che i proprietari delle sottoscrizioni vengano informati quando si verifica una potenziale violazione della sicurezza nella sottoscrizione, impostare notifiche tramite posta elettronica ai proprietari delle sottoscrizioni per avvisi con gravità elevata in Defender per il cloud. (Criterio correlato: È necessario abilitare la notifica tramite posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità elevata.
Gravità: medio
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL
Descrizione: Database di Azure per MySQL supporta la connessione del server Database di Azure per MySQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. (Criterio correlato: Applicare la connessione SSL deve essere abilitata per i server di database MySQL.
Gravità: medio
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL
Descrizione: Database di Azure per PostgreSQL supporta la connessione del server Database di Azure per PostgreSQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. (Criterio correlato: Applicare la connessione SSL deve essere abilitata per i server di database PostgreSQL.
Gravità: medio
Le app per le funzioni devono avere i risultati della vulnerabilità risolti
Descrizione: l'analisi delle vulnerabilità di runtime per le funzioni analizza le app per le funzioni per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza delle applicazioni serverless e proteggerle dagli attacchi. (Nessun criterio correlato)
Gravità: alta
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB
Descrizione: Database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB).
Gravità: Bassa
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL
Descrizione: Database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MySQL).
Gravità: Bassa
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL
Descrizione: Database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire opzioni di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione di un server. (Criterio correlato: Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL).
Gravità: Bassa
Nei repository GitHub deve essere abilitata l'analisi del codice
Descrizione: GitHub usa l'analisi del codice per analizzare il codice per trovare vulnerabilità ed errori di sicurezza nel codice. L'analisi del codice può essere usata per trovare, valutare e classificare in ordine di priorità le correzioni per i problemi esistenti nel codice. L'analisi del codice può anche impedire agli sviluppatori di introdurre nuovi problemi. Le analisi possono essere pianificate per giorni e ore specifiche oppure le analisi possono essere attivate quando si verifica un evento specifico nel repository, ad esempio un push. Se l'analisi del codice rileva una potenziale vulnerabilità o un errore nel codice, GitHub visualizza un avviso nel repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto. (Nessun criterio correlato)
Gravità: medio
Per i repository GitHub deve essere abilitata l'analisi Dependabot
Descrizione: GitHub invia avvisi Dependabot quando rileva le vulnerabilità nelle dipendenze del codice che interessano i repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto o di altri progetti che usano il codice. Le vulnerabilità variano in base al tipo, alla gravità e al metodo di attacco. Quando il codice dipende da un pacchetto che presenta una vulnerabilità di sicurezza, questa dipendenza vulnerabile può causare una serie di problemi. (Nessun criterio correlato)
Gravità: medio
Nei repository GitHub deve essere abilitata l'analisi dei segreti
Descrizione: GitHub analizza i repository per i tipi noti di segreti, per evitare l'uso fraudolento dei segreti di cui è stato accidentalmente eseguito il commit nei repository. L'analisi dei segreti analizzerà l'intera cronologia Git in tutti i rami presenti nel repository GitHub per individuare eventuali segreti. Esempi di segreti sono token e chiavi private che un provider di servizi può emettere per l'autenticazione. Se un segreto viene archiviato in un repository, chiunque abbia accesso in lettura al repository può usare il segreto per accedere al servizio esterno con tali privilegi. I segreti devono essere archiviati in una posizione sicura dedicata all'esterno del repository per il progetto. (Nessun criterio correlato)
Gravità: alta
È necessario abilitare Microsoft Defender per i server database SQL di Azure
Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Include funzionalità per l'esposizione e la mitigazione di vulnerabilità potenziali dei database, il rilevamento di attività anomale che potrebbero indicare una minaccia al database e l'individuazione e la classificazione di dati sensibili.
Le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di server database SQL di Azure in questa sottoscrizione, non verrà addebitato alcun costo. Se in un secondo momento si creano server database SQL di Azure in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area.
Per altre informazioni, vedere Introduzione a Microsoft Defender per SQL. (Criterio correlato: È necessario abilitare Azure Defender per i server database SQL di Azure).
Gravità: alta
Microsoft Defender per DNS deve essere abilitato
Descrizione: Microsoft Defender per DNS offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Defender per DNS avvisa l'utente di attività sospette a livello DNS. Per altre informazioni, vedere Introduzione a Microsoft Defender per DNS. L'abilitazione di questo piano defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi di Defender per il cloud: prezzi Defender per il cloud. (Nessun criterio correlato)
Gravità: alta
È necessario abilitare Microsoft Defender per database relazionali open source
Descrizione: Microsoft Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per altre informazioni, vedere Introduzione a Microsoft Defender per database relazionali open source.
L'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Se in questa sottoscrizione non sono presenti database relazionali open source, non verranno addebitati addebiti. Se si creano database relazionali open source in questa sottoscrizione in futuro, questi verranno protetti automaticamente e gli addebiti inizieranno in quel momento. (Nessun criterio correlato)
Gravità: alta
Microsoft Defender per Resource Manager deve essere abilitato
Descrizione: Microsoft Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Defender per il cloud rileva minacce e avvisi sull'attività sospetta. Per altre informazioni, vedere Introduzione a Microsoft Defender per Resource Manager. L'abilitazione di questo piano defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi di Defender per il cloud: prezzi Defender per il cloud. (Nessun criterio correlato)
Gravità: alta
Microsoft Defender per SQL nei computer deve essere abilitato nelle aree di lavoro
Descrizione: Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per i server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per i server in un'area di lavoro, tutti i computer che segnalano a tale area di lavoro verranno addebitati i costi per Microsoft Defender per i server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per i server nella sottoscrizione, tali computer non potranno sfruttare l'accesso jite alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure. Per altre informazioni, vedere Introduzione a Microsoft Defender per server. (Nessun criterio correlato)
Gravità: medio
È necessario abilitare Microsoft Defender per i server SQL nei computer
Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Include funzionalità per l'esposizione e la mitigazione di vulnerabilità potenziali dei database, il rilevamento di attività anomale che potrebbero indicare una minaccia al database e l'individuazione e la classificazione di dati sensibili.
la correzione in base a questa raccomandazione comporterà addebiti per la protezione dei server SQL nei computer. Se nella sottoscrizione non sono presenti server SQL nei computer, non verranno applicati addebiti. Se in futuro si creano server SQL nei computer nella sottoscrizione, tali server saranno protetti automaticamente e l'applicazione degli addebiti avrà inizio in tale momento. Altre informazioni su Microsoft Defender per i server SQL nei computer. (Criterio correlato: È necessario abilitare Azure Defender per i server SQL nei computer.
Gravità: alta
Microsoft Defender per SQL deve essere abilitato per i server SQL di Azure non protetti
Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Rileva e attenua potenziali vulnerabilità dei database e rileva di attività anomale che potrebbero indicare una minaccia per il database. Microsoft Defender per SQL viene fatturato come illustrato nei dettagli dei prezzi per area. (Criterio correlato: La sicurezza dei dati avanzata deve essere abilitata nei server SQL.
Gravità: alta
Microsoft Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette
Descrizione: Microsoft Defender per SQL è un pacchetto unificato che offre funzionalità avanzate di sicurezza SQL. Rileva e attenua potenziali vulnerabilità dei database e rileva di attività anomale che potrebbero indicare una minaccia per il database. Microsoft Defender per SQL viene fatturato come illustrato nei dettagli dei prezzi per area. (Criterio correlato: La sicurezza dei dati avanzata deve essere abilitata in Istanza gestita di SQL).
Gravità: alta
Microsoft Defender per l'archiviazione deve essere abilitato
Descrizione: Microsoft Defender per l'archiviazione rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione.
Le protezioni di questo piano vengono addebitate come illustrato nella pagina Piani di Defender. Se non si dispone di account Archiviazione di Azure in questa sottoscrizione, non verrà addebitato alcun costo. Se in un secondo momento si creano account Archiviazione di Azure in questa sottoscrizione, questi verranno protetti automaticamente e inizieranno gli addebiti. Informazioni sui dettagli dei prezzi per area. Per altre informazioni, vedere Introduzione a Microsoft Defender per Archiviazione. (Criterio correlato: Azure Defender per Archiviazione deve essere abilitato.
Gravità: alta
È consigliabile abilitare Network Watcher
Descrizione: Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, da e verso Azure. Il monitoraggio a livello di scenario consente di diagnosticare i problemi in una visualizzazione a livello di rete end-to-end. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure. (Criterio correlato: Network Watcher deve essere abilitato.
Gravità: Bassa
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate
Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a database SQL di Azure. (Criterio correlato: Le connessioni endpoint private in database SQL di Azure devono essere abilitate).
Gravità: medio
L'endpoint privato deve essere abilitato per i server MariaDB
Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server MariaDB.
Gravità: medio
L'endpoint privato deve essere abilitato per i server MySQL
Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server MySQL.
Gravità: medio
L'endpoint privato deve essere abilitato per i server PostgreSQL
Descrizione: le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. (Criterio correlato: L'endpoint privato deve essere abilitato per i server PostgreSQL.
Gravità: medio
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato
Descrizione: la disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica in database SQL di Azure deve essere disabilitato).
Gravità: medio
L'accesso alla rete pubblica deve essere disabilitato per gli account Servizi cognitivi
Descrizione: questo criterio controlla qualsiasi account di Servizi cognitivi nell'ambiente con l'accesso alla rete pubblica abilitato. L'accesso alla rete pubblica deve essere disabilitato per consentire solo le connessioni da endpoint privati. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per gli account di Servizi cognitivi.
Gravità: medio
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB
Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MariaDB sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB.
Gravità: medio
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL
Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MySQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server MySQL.
Gravità: medio
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL
Descrizione: disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per PostgreSQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. (Criterio correlato: L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL.
Gravità: medio
Cache Redis deve consentire l'accesso solo tramite SSL
Descrizione: abilitare solo le connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione. (Criterio correlato: È necessario abilitare solo le connessioni sicure al cache di Azure per Redis).
Gravità: alta
I risultati delle vulnerabilità devono essere risolti nei database SQL
Descrizione: la valutazione della vulnerabilità SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. Altre informazioni (criterio correlato: è consigliabile correggere le vulnerabilità nei database SQL).
Gravità: alta
Le istanze gestite di SQL devono avere una valutazione della vulnerabilità configurata
Descrizione: la valutazione della vulnerabilità può individuare, tenere traccia e risolvere potenziali vulnerabilità del database. (Criterio correlato: La valutazione della vulnerabilità deve essere abilitata in Istanza gestita di SQL).
Gravità: alta
I risultati delle vulnerabilità devono essere risolti nei server SQL
Descrizione: la valutazione della vulnerabilità SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. Altre informazioni (criterio correlato: è consigliabile correggere le vulnerabilità nei server SQL nel computer).
Gravità: alta
Per i server SQL deve essere stato effettuato il provisioning di un amministratore di Azure Active Directory
Descrizione: effettuare il provisioning di un amministratore di Azure AD per il server SQL per abilitare l'autenticazione di Azure AD. Questo tipo di autenticazione consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità degli utenti di database e di altri servizi Microsoft. (Criterio correlato: È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL.
Gravità: alta
Per i server SQL deve essere configurata la valutazione della vulnerabilità
Descrizione: la valutazione della vulnerabilità può individuare, tenere traccia e risolvere potenziali vulnerabilità del database. (Criterio correlato: La valutazione della vulnerabilità deve essere abilitata nei server SQL.
Gravità: alta
L'account di archiviazione deve usare una connessione collegamento privato
Descrizione: i collegamenti privati applicano la comunicazione sicura, fornendo connettività privata all'account di archiviazione (criterio correlato: l'account di archiviazione deve usare una connessione di collegamento privato).
Gravità: medio
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager
Descrizione: per trarre vantaggio dalle nuove funzionalità di Azure Resource Manager, è possibile eseguire la migrazione delle distribuzioni esistenti dal modello di distribuzione classica. Resource Manager consente miglioramenti alla sicurezza, ad esempio: controllo degli accessi in base al ruolo più forte, controllo migliore, distribuzione e governance basata su ARM, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per segreti, autenticazione basata su Azure AD e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza. Altre informazioni (criterio correlato: è necessario eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager).
Gravità: Bassa
Gli account di archiviazione devono impedire l'accesso alla chiave condivisa
Descrizione: requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. (Criterio correlato: criteri)
Gravità: medio
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale
Descrizione: proteggere gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. (Criterio correlato: Gli account di archiviazione devono limitare l'accesso alla rete usando le regole di rete virtuale.
Gravità: medio
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza
Descrizione: per assicurarsi che le persone pertinenti dell'organizzazione ricevano una notifica quando si verifica una potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per ricevere notifiche tramite posta elettronica da Defender per il cloud. (Criterio correlato: Le sottoscrizioni devono avere un indirizzo di posta elettronica di contatto per i problemi di sicurezza)
Gravità: Bassa
È consigliabile abilitare Transparent Data Encryption nei database SQL
Descrizione: abilitare Transparent Data Encryption per proteggere i dati inattivi e soddisfare i requisiti di conformità (criterio correlato: Transparent Data Encryption nei database SQL deve essere abilitato).
Gravità: Bassa
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato
Descrizione: controllare i modelli di Image Builder della macchina virtuale che non dispongono di una rete virtuale configurata. Quando una rete virtuale non è configurata, viene creato e usato un indirizzo IP pubblico, che potrebbe esporre direttamente le risorse a Internet e aumentare la potenziale superficie di attacco. (Criterio correlato: I modelli di Image Builder della macchina virtuale devono usare un collegamento privato.
Gravità: medio
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione
Descrizione: distribuire Web application firewall (WAF) di Azure davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È anche possibile limitare l'accesso alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP(s) tramite regole personalizzate. (Criterio correlato: Web Application Firewall (WAF) deve essere abilitato per gateway applicazione).
Gravità: Bassa
Web Application Firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure
Descrizione: distribuire Web application firewall (WAF) di Azure davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È anche possibile limitare l'accesso alle applicazioni Web in base a paesi/aree geografiche, intervalli di indirizzi IP e altri parametri HTTP(s) tramite regole personalizzate. (Criterio correlato: Web Application Firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure?
Gravità: Bassa
Raccomandazioni per i dati di AWS
I cluster Amazon Aurora devono avere abilitato il backtracking
Descrizione: questo controllo controlla se i cluster Amazon Aurora hanno abilitato il backtracking. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano anche la resilienza dei sistemi. Il backtracking Aurora riduce il tempo necessario per ripristinare un database in un momento specifico. Non richiede un ripristino del database per eseguire questa operazione. Per altre informazioni sul backtracking in Aurora, vedere Backtracking an Aurora DB cluster (Backtracking an Aurora DB cluster ) nella Guida dell'utente di Amazon Aurora.
Gravità: medio
Gli snapshot amazon EBS non devono essere ripristinabili pubblicamente
Descrizione: gli snapshot amazon EBS non devono essere ripristinabili pubblicamente da tutti, a meno che non siano esplicitamente consentiti, per evitare l'esposizione accidentale dei dati. Inoltre, l'autorizzazione per modificare le configurazioni di Amazon EBS deve essere limitata solo agli account AWS autorizzati.
Gravità: alta
Le definizioni delle attività Amazon ECS devono avere modalità di rete sicure e definizioni utente
Descrizione: questo controllo controlla se una definizione di attività Amazon ECS attiva con modalità di rete host dispone anche di definizioni di contenitori con privilegi o utenti. Il controllo ha esito negativo per le definizioni di attività con modalità di rete host e definizioni di contenitori in cui privileged=false o è vuoto e user=root o è vuoto. Se una definizione di attività ha privilegi elevati, è perché il cliente acconsente esplicitamente a tale configurazione. Questo controllo controlla la presenza di escalation dei privilegi imprevisti quando una definizione di attività ha abilitato la rete host, ma il cliente non ha accodato esplicitamente i privilegi elevati.
Gravità: alta
I domini di Amazon Elasticsearch Service devono crittografare i dati inviati tra nodi
Descrizione: questo controllo controlla se i domini Amazon ES hanno la crittografia da nodo a nodo abilitata. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di intercettare o manipolare il traffico di rete usando attacchi di tipo person-in-the-middle o simili. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Amazon ES garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. Questa configurazione può comportare una riduzione delle prestazioni. Prima di abilitare questa opzione, è necessario tenere presente e testare il compromesso delle prestazioni.
Gravità: medio
I domini di Amazon Elasticsearch Service devono avere la crittografia dei dati inattivi abilitata
Descrizione: è importante abilitare la crittografia dei domini Amazon ES per proteggere i dati sensibili
Gravità: medio
Il database Amazon RDS deve essere crittografato usando la chiave gestita dal cliente
Descrizione: questo controllo identifica i database Di Servizi Desktop remoto crittografati con chiavi predefinite del Servizio di gestione delle chiavi e non con chiavi gestite dal cliente. Come pratica principale, usare le chiavi gestite dal cliente per crittografare i dati nei database di Servizi Desktop remoto e mantenere il controllo delle chiavi e dei dati sui carichi di lavoro sensibili.
Gravità: medio
L'istanza di Amazon RDS deve essere configurata con le impostazioni di backup automatico
Descrizione: questo controllo identifica le istanze di Servizi Desktop remoto, che non sono impostate con l'impostazione di backup automatico. Se è impostato il backup automatico, Servizi Desktop remoto crea uno snapshot del volume di archiviazione dell'istanza del database, esegue il backup dell'intera istanza del database e non solo i singoli database, che forniscono il ripristino temporizzato. Il backup automatico viene eseguito durante l'intervallo di backup specificato e mantiene i backup per un periodo di tempo limitato, come definito nel periodo di conservazione. È consigliabile impostare backup automatici per i server Servizi Desktop remoto critici che consentono il processo di ripristino dei dati.
Gravità: medio
I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
Descrizione: questo controllo controlla se è abilitata la registrazione di controllo di un cluster Amazon Redshift. La registrazione di controllo di Amazon Redshift fornisce informazioni aggiuntive sulle connessioni e sulle attività degli utenti nel cluster. Questi dati possono essere archiviati e protetti in Amazon S3 e possono essere utili nelle indagini e nei controlli di sicurezza. Per altre informazioni, vedere Registrazione di controllo del database nella Guida alla gestione dei cluster Amazon Redshift.
Gravità: medio
I cluster Amazon Redshift devono avere snapshot automatici abilitati
Descrizione: questo controllo controlla se i cluster Amazon Redshift hanno snapshot automatizzati abilitati. Controlla inoltre se il periodo di conservazione degli snapshot è maggiore o uguale a sette. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano la resilienza dei sistemi. Amazon Redshift acquisisce snapshot periodici per impostazione predefinita. Questo controllo controlla se gli snapshot automatici sono abilitati e conservati per almeno sette giorni. Per altre informazioni sugli snapshot automatizzati di Amazon Redshift, vedere Snapshot automatizzati nella Guida alla gestione dei cluster Amazon Redshift.
Gravità: medio
I cluster Amazon Redshift devono impedire l'accesso pubblico
Descrizione: è consigliabile usare i cluster Amazon Redshift per evitare l'accessibilità pubblica valutando il campo "publicAccessible" nell'elemento di configurazione del cluster.
Gravità: alta
Amazon Redshift dovrebbe avere aggiornamenti automatici alle versioni principali abilitate
Descrizione: questo controllo controlla se gli aggiornamenti automatici delle versioni principali sono abilitati per il cluster Amazon Redshift. L'abilitazione degli aggiornamenti automatici delle versioni principali garantisce l'installazione degli aggiornamenti delle versioni principali più recenti per i cluster Amazon Redshift durante la finestra di manutenzione. Questi aggiornamenti possono includere patch di sicurezza e correzioni di bug. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: medio
Le code SQS di Amazon devono essere crittografate inattive
Descrizione: questo controllo controlla se le code SQS di Amazon sono crittografate inattive. La crittografia lato server consente di trasmettere dati sensibili in code crittografate. Per proteggere il contenuto dei messaggi nelle code, la crittografia del servizio di archiviazione usa le chiavi gestite in AWS KMS. Per altre informazioni, vedere Crittografia dei dati inattivi nella Guida per sviluppatori di Amazon Simple Queue Service.
Gravità: medio
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi del cluster critici
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con notifiche abilitate per il tipo di origine seguente: Coppie chiave-valore della categoria di eventi. DBCluster: [Manutenzione e errore]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici dell'istanza del database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente: Coppie chiave-valore della categoria di eventi. DBInstance: [Manutenzione, modifica della configurazione e errore].
Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida.
Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici del gruppo di parametri di database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente: Coppie chiave-valore della categoria di eventi. DBParameterGroup: ["configuration","change"]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici del gruppo di sicurezza del database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente: Coppie chiave-valore della categoria di eventi. DBSecurityGroup: [Configurazione, modifica, errore]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario abilitare la registrazione api REST e WebSocket del gateway API
Descrizione: questo controllo controlla se tutte le fasi di un'API REST o WebSocket di Amazon API hanno abilitato la registrazione. Il controllo ha esito negativo se la registrazione non è abilitata per tutti i metodi di una fase o se il livello di registrazione non è né ERROR né INFO. Le fasi dell'API REST o dell'API WebSocket del gateway API devono avere i log pertinenti abilitati. La registrazione dell'esecuzione dell'API REST e WebSocket del gateway API fornisce record dettagliati delle richieste effettuate alle fasi DELL'API REST e WebSocket del gateway API. Le fasi includono le risposte back-end di integrazione api, le risposte dell'autorizzatore lambda e l'id richiesta per gli endpoint di integrazione AWS.
Gravità: medio
I dati della cache dell'API REST del gateway API API API devono essere crittografati inattivi
Descrizione: questo controllo controlla se tutti i metodi nelle fasi dell'API REST del gateway API con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase dell'API REST del gateway API è configurato per la cache e la cache non è crittografata. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere. Le cache dell'API REST del gateway API API devono essere crittografate inattive per un ulteriore livello di sicurezza.
Gravità: medio
Le fasi dell'API REST del gateway API devono essere configurate per l'uso dei certificati SSL per l'autenticazione back-end
Descrizione: questo controllo controlla se le fasi dell'API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi back-end usano questi certificati per autenticare che le richieste in ingresso provengono dal gateway API. Le fasi dell'API REST del gateway API devono essere configurate con certificati SSL per consentire ai sistemi back-end di autenticare le richieste provenienti dal gateway API.
Gravità: medio
Le fasi dell'API REST del gateway API API devono avere la traccia X-Ray di AWS abilitata
Descrizione: questo controllo controlla se la traccia attiva di AWS X-Ray è abilitata per le fasi dell'API REST di Amazon API Gateway. La traccia attiva X-Ray consente una risposta più rapida alle modifiche delle prestazioni nell'infrastruttura sottostante. Le modifiche apportate alle prestazioni potrebbero causare una mancanza di disponibilità dell'API. La traccia attiva X-Ray fornisce metriche in tempo reale delle richieste utente che passano attraverso le operazioni dell'API REST del gateway API e i servizi connessi.
Gravità: Bassa
Il gateway API deve essere associato a un ACL Web DI AWS WAF
Descrizione: questo controllo controlla se una fase del gateway API usa un elenco di controllo di accesso Web (ACL) di AWS WAF. Questo controllo ha esito negativo se un ACL Web DI AWS WAF non è collegato a una fase del gateway API REST. AWS WAF è un web application firewall che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un elenco di controllo di accesso, ovvero un set di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurarsi che la fase del gateway API sia associata a un ACL Web DI AWS WAF per proteggerlo da attacchi dannosi.
Gravità: medio
La registrazione delle applicazioni e dei servizi di bilanciamento del carico classici deve essere abilitata
Descrizione: questo controllo controlla se il servizio di bilanciamento del carico dell'applicazione e il servizio di bilanciamento del carico classico hanno abilitato la registrazione. Il controllo ha esito negativo se access_logs.s3.enabled è false.
Il bilanciamento del carico elastico fornisce log di accesso che acquisisce informazioni dettagliate sulle richieste inviate al servizio di bilanciamento del carico. Ogni log contiene informazioni quali l'ora di ricezione della richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. È possibile usare i log di accesso per analizzare i modelli di traffico e risolvere i problemi.
Per altre informazioni, vedere Accedere ai log per il servizio di bilanciamento del carico classico nella Guida dell'utente per i servizi di bilanciamento del carico classici.
Gravità: medio
I volumi EBS collegati devono essere crittografati inattivi
Descrizione: questo controllo controlla se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS inattivi. La crittografia Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiedono la compilazione, la gestione e la protezione dell'infrastruttura di gestione delle chiavi. Usa le chiavi master del cliente del Servizio di gestione delle chiavi (CMK) AWS durante la creazione di volumi e snapshot crittografati. Per altre informazioni sulla crittografia Amazon EBS, vedere Amazon EBS encryption (Crittografia Amazon EBS) nella Guida dell'utente amazon EC2 per le istanze linux.
Gravità: medio
Le istanze di replica di AWS Servizio Migrazione del database non devono essere pubbliche
Descrizione: per proteggere le istanze replicate dalle minacce. Un'istanza di replica privata deve avere un indirizzo IP privato che non è possibile accedere all'esterno della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete e la rete è connessa al VPC dell'istanza di replica usando un peering VPN, AWS Direct Connect o VPC. È anche necessario assicurarsi che l'accesso alla configurazione dell'istanza del Servizio Migrazione del database aws sia limitato solo agli utenti autorizzati. A tale scopo, limitare le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse del Servizio Migrazione del database AWS.
Gravità: alta
I listener di Load Balancer classici devono essere configurati con la terminazione HTTPS o TLS
Descrizione: questo controllo controlla se i listener di Load Balancer classici sono configurati con il protocollo HTTPS o TLS per le connessioni front-end (da client a servizio di bilanciamento del carico). Il controllo è applicabile se un'istanza di Load Balancer classica dispone di listener. Se il servizio di bilanciamento del carico classico non dispone di un listener configurato, il controllo non segnala alcun risultato. Il controllo passa se i listener di Load Balancer classici sono configurati con TLS o HTTPS per le connessioni front-end. Il controllo ha esito negativo se il listener non è configurato con TLS o HTTPS per le connessioni front-end. Prima di iniziare a usare un servizio di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che usa il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener possono supportare protocolli HTTP e HTTPS/TLS. È consigliabile usare sempre un listener HTTPS o TLS, in modo che il servizio di bilanciamento del carico faccia il lavoro di crittografia e decrittografia in transito.
Gravità: medio
I servizi di bilanciamento del carico classici devono avere lo svuotamento delle connessioni abilitato
Descrizione: questo controllo controlla se i servizi di bilanciamento del carico classico hanno abilitato lo svuotamento delle connessioni. L'abilitazione dello svuotamento delle connessioni nei servizi di bilanciamento del carico classici garantisce che il servizio di bilanciamento del carico interrompa l'invio di richieste alle istanze che stanno registrando o non integre. Mantiene aperte le connessioni esistenti. Ciò è utile per le istanze nei gruppi di ridimensionamento automatico, per assicurarsi che le connessioni non vengano interrotte bruscamente.
Gravità: medio
Le distribuzioni CloudFront devono avere AWS WAF abilitato
Descrizione: questo controllo controlla se le distribuzioni CloudFront sono associate a ACL Web AWS WAF o AWS WAFv2. Il controllo ha esito negativo se la distribuzione non è associata a un elenco di controllo di accesso Web. AWS WAF è un web application firewall che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un set di regole, denominato elenco di controllo di accesso Web (ACL Web), che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurarsi che la distribuzione di CloudFront sia associata a un ACL Web DI AWS WAF per proteggerla da attacchi dannosi.
Gravità: medio
Le distribuzioni CloudFront devono avere la registrazione abilitata
Descrizione: questo controllo controlla se la registrazione dell'accesso al server è abilitata nelle distribuzioni CloudFront. Il controllo non riesce se la registrazione di accesso non è abilitata per una distribuzione. I log di accesso CloudFront forniscono informazioni dettagliate su ogni richiesta utente ricevuta da CloudFront. Ogni log contiene informazioni quali la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta dal visualizzatore. Questi log sono utili per applicazioni quali controlli di sicurezza e accesso e indagini forensi. Per altre informazioni su come analizzare i log di accesso, vedere Eseguire query sui log di Amazon CloudFront nella Guida dell'utente di AmazonThen.
Gravità: medio
Le distribuzioni CloudFront devono richiedere la crittografia in transito
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront richiede ai visualizzatori di usare direttamente HTTPS o se usa il reindirizzamento. Il controllo ha esito negativo se ViewerProtocolPolicy è impostato su allow-all per defaultCacheBehavior o per cacheBehaviors. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS.
Gravità: medio
I log cloudTrail devono essere crittografati inattivi usando i cmk del Servizio di gestione delle chiavi
Descrizione: è consigliabile configurare CloudTrail per l'uso del Servizio di gestione delle chiavi. La configurazione di CloudTrail per l'uso del servizio di gestione delle chiavi offre più controlli di riservatezza sui dati di log come un determinato utente deve disporre dell'autorizzazione di lettura S3 per il bucket di log corrispondente e deve essere concessa l'autorizzazione di decrittografia dai criteri cmk.
Gravità: medio
Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
Descrizione: questo controllo controlla se le connessioni ai cluster Amazon Redshift sono necessarie per usare la crittografia in transito. Il controllo ha esito negativo se il parametro del cluster Amazon Redshift require_SSL non è impostato su 1. TLS può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite TLS. La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS.
Gravità: medio
Le connessioni ai domini Elasticsearch devono essere crittografate con TLS 1.2
Descrizione: questo controllo controlla se sono necessarie connessioni ai domini Elasticsearch per l'uso di TLS 1.2. Il controllo ha esito negativo se il dominio Elasticsearch TLSSecurityPolicy non è Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS. TLS 1.2 offre diversi miglioramenti alla sicurezza rispetto alle versioni precedenti di TLS.
Gravità: medio
Le tabelle DynamoDB devono avere il ripristino temporizzato abilitato
Descrizione: questo controllo controlla se il ripristino temporizzato (PITR) è abilitato per una tabella Amazon DynamoDB. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano anche la resilienza dei sistemi. Il ripristino temporizzato dynamoDB automatizza i backup per le tabelle DynamoDB. Riduce il tempo necessario per il ripristino da operazioni di eliminazione o scrittura accidentali. Le tabelle DynamoDB con pitr abilitato possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.
Gravità: medio
La crittografia predefinita di EBS deve essere abilitata
Descrizione: questo controllo controlla se la crittografia a livello di account è abilitata per impostazione predefinita per Amazon Elastic Block Store (Amazon EBS). Il controllo ha esito negativo se la crittografia a livello di account non è abilitata. Quando la crittografia è abilitata per l'account, i volumi e le copie snapshot di Amazon EBS vengono crittografati inattivi. In questo modo viene aggiunto un altro livello di protezione per i dati. Per altre informazioni, vedere Crittografia per impostazione predefinita nella Guida utente di Amazon EC2 per le istanze linux.
I tipi di istanza seguenti non supportano la crittografia: R1, C1 e M1.
Gravità: medio
Gli ambienti Elastic Beanstalk devono avere abilitato la creazione di report sull'integrità avanzata
Descrizione: questo controllo controlla se la creazione di report sull'integrità avanzata è abilitata per gli ambienti Elastic Beanstalk aws. La creazione di report sull'integrità avanzata di Elastic Beanstalk consente una risposta più rapida alle modifiche apportate all'integrità dell'infrastruttura sottostante. Queste modifiche potrebbero comportare la mancanza di disponibilità dell'applicazione. La creazione di report sull'integrità avanzata di Elastic Beanstalk fornisce un descrittore di stato per misurare la gravità dei problemi identificati e identificare le possibili cause da analizzare. L'agente di integrità Elastic Beanstalk, incluso nelle ami (AMI) supportate, valuta i log e le metriche delle istanze EC2 dell'ambiente.
Gravità: Bassa
Gli aggiornamenti della piattaforma gestita di Elastic Beanstalk devono essere abilitati
Descrizione: questo controllo controlla se gli aggiornamenti della piattaforma gestita sono abilitati per l'ambiente Elastic Beanstalk. L'abilitazione degli aggiornamenti della piattaforma gestita garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità disponibili più recenti per l'ambiente. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: alta
Il servizio di bilanciamento del carico elastico non deve avere un certificato ACM scaduto o scaduto in 90 giorni.
Descrizione: questo controllo identifica i servizi di bilanciamento del carico elastico (ELB) che usano certificati ACM scaduti o scaduti in 90 giorni. AWS Certificate Manager (ACM) è lo strumento preferito per il provisioning, la gestione e la distribuzione dei certificati server. Con ACM. È possibile richiedere un certificato o distribuire un certificato ACM o un certificato esterno esistente nelle risorse AWS. Come procedura consigliata, è consigliabile reimportare i certificati scaduti o scaduti mantenendo al tempo stesso le associazioni ELB del certificato originale.
Gravità: alta
È necessario abilitare la registrazione degli errori del dominio Elasticsearch nei log di CloudWatch
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati per inviare i log degli errori ai log di CloudWatch. È consigliabile abilitare i log degli errori per i domini Elasticsearch e inviare tali log ai log di CloudWatch per la conservazione e la risposta. I log degli errori di dominio possono essere utili per controllare la sicurezza e l'accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Gravità: medio
I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati con almeno tre nodi master dedicati. Questo controllo ha esito negativo se il dominio non usa nodi master dedicati. Questo controllo passa se i domini Elasticsearch hanno cinque nodi master dedicati. Tuttavia, l'uso di più di tre nodi master potrebbe non essere necessario per attenuare il rischio di disponibilità e comporta un costo maggiore. Un dominio Elasticsearch richiede almeno tre nodi master dedicati per la disponibilità elevata e la tolleranza di errore. Le risorse dei nodi master dedicate possono essere vincolate durante le distribuzioni blu/verde del nodo dati perché sono disponibili più nodi da gestire. La distribuzione di un dominio Elasticsearch con almeno tre nodi master dedicati garantisce una capacità di risorse del nodo master e operazioni cluster sufficienti in caso di errore di un nodo.
Gravità: medio
I domini Elasticsearch devono avere almeno tre nodi dati
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati con almeno tre nodi dati e zoneAwarenessEnabled è true. Un dominio Elasticsearch richiede almeno tre nodi dati per la disponibilità elevata e la tolleranza di errore. La distribuzione di un dominio Elasticsearch con almeno tre nodi dati garantisce che le operazioni del cluster in caso di errore di un nodo.
Gravità: medio
I domini Elasticsearch devono avere la registrazione di controllo abilitata
Descrizione: questo controllo controlla se i domini Elasticsearch hanno la registrazione di controllo abilitata. Questo controllo ha esito negativo se non è abilitata la registrazione di controllo per un dominio Elasticsearch. I log di controllo sono altamente personalizzabili. Consentono di tenere traccia dell'attività degli utenti nei cluster Elasticsearch, tra cui operazioni riuscite e errori di autenticazione, richieste a OpenSearch, modifiche all'indice e query di ricerca in ingresso.
Gravità: medio
Il monitoraggio avanzato deve essere configurato per le istanze e i cluster del database Servizi Desktop remoto
Descrizione: questo controllo controlla se il monitoraggio avanzato è abilitato per le istanze del database Servizi Desktop remoto. In Amazon RDS, Il monitoraggio avanzato consente una risposta più rapida alle modifiche delle prestazioni nell'infrastruttura sottostante. Queste modifiche alle prestazioni potrebbero causare una mancanza di disponibilità dei dati. Il monitoraggio avanzato fornisce metriche in tempo reale del sistema operativo in cui viene eseguita l'istanza del database Servizi Desktop remoto. Un agente viene installato nell'istanza di . L'agente può ottenere metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor. Le metriche di monitoraggio avanzato sono utili quando si vuole vedere in che modo processi o thread diversi in un'istanza del database usano la CPU. Per altre informazioni, vedere Enhanced Monitoring (Monitoraggio avanzato) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
Verificare che la rotazione per i cmk creati dal cliente sia abilitata
Descrizione: AWS Servizio di gestione delle chiavi (KMS) consente ai clienti di ruotare la chiave sottostante, ovvero il materiale della chiave archiviato nel Servizio di gestione delle chiavi associato all'ID chiave della chiave master del cliente creata dal cliente (CMK). Si tratta della chiave di backup usata per eseguire operazioni di crittografia, ad esempio crittografia e decrittografia. La rotazione automatica delle chiavi mantiene attualmente tutte le chiavi di backup precedenti in modo che la decrittografia dei dati crittografati possa essere eseguita in modo trasparente. È consigliabile abilitare la rotazione delle chiavi cmk. La rotazione delle chiavi di crittografia consente di ridurre il potenziale impatto di una chiave compromessa perché non è possibile accedere ai dati crittografati con una nuova chiave con una chiave precedente che potrebbe essere stata esposta.
Gravità: medio
Verificare che la registrazione dell'accesso al bucket S3 sia abilitata nel bucket CloudTrail S3
Descrizione: S3 Bucket Access Logging genera un log contenente i record di accesso Assicurarsi che la registrazione dell'accesso ai bucket S3 sia abilitata nel bucket CloudTrail S3 per ogni richiesta effettuata nel bucket S3. Un record del log di accesso contiene informazioni dettagliate sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta. È consigliabile abilitare la registrazione dell'accesso ai bucket nel bucket CloudTrail S3. Abilitando la registrazione dei bucket S3 nei bucket S3 di destinazione, è possibile acquisire tutti gli eventi, che potrebbero influire sugli oggetti all'interno dei bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di sicurezza e risposta agli eventi imprevisti.
Gravità: Bassa
Verificare che il bucket S3 usato per archiviare i log CloudTrail non sia accessibile pubblicamente
Descrizione: CloudTrail registra un record di ogni chiamata API effettuata nell'account AWS. Questi file di log vengono archiviati in un bucket S3. È consigliabile applicare i criteri del bucket o l'elenco di controllo di accesso (ACL) al bucket S3 registrato da CloudTrail per impedire l'accesso pubblico ai log CloudTrail. Consentire l'accesso pubblico al contenuto del log cloudTrail potrebbe aiutare un antagonista a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.
Gravità: alta
IAM non deve avere certificati SSL/TLS scaduti
Descrizione: questo controllo identifica i certificati SSL/TLS scaduti. Per abilitare le connessioni HTTPS al sito Web o all'applicazione in AWS, è necessario un certificato server SSL/TLS. È possibile usare ACM o IAM per archiviare e distribuire i certificati server. La rimozione di certificati SSL/TLS scaduti elimina il rischio che un certificato non valido venga distribuito accidentalmente in una risorsa, ad esempio AWS Elastic Load Balancer (ELB), che può danneggiare la credibilità dell'applicazione o del sito Web dietro ELB. Questo controllo genera avvisi se sono presenti certificati SSL/TLS scaduti archiviati in AWS IAM. Come procedura consigliata, è consigliabile eliminare i certificati scaduti.
Gravità: alta
I certificati ACM importati devono essere rinnovati dopo un periodo di tempo specificato
Descrizione: questo controllo controlla se i certificati ACM nell'account sono contrassegnati per la scadenza entro 30 giorni. Controlla sia i certificati importati che i certificati forniti da AWS Certificate Manager. ACM può rinnovare automaticamente i certificati che usano la convalida DNS. Per i certificati che usano la convalida della posta elettronica, è necessario rispondere a un messaggio di posta elettronica di convalida del dominio. ACM non rinnova automaticamente anche i certificati importati. È necessario rinnovare manualmente i certificati importati. Per altre informazioni sul rinnovo gestito per i certificati ACM, vedere Rinnovo gestito per i certificati ACM nella Guida dell'utente di AWS Certificate Manager.
Gravità: medio
Le identità con provisioning eccessivo negli account devono essere analizzate per ridurre l'indice di scorrimento delle autorizzazioni (PCI)
Descrizione: le identità con provisioning eccessivo negli account devono essere analizzate per ridurre l'indice pci (Permission Creep Index) e per proteggere l'infrastruttura. Ridurre pci rimuovendo le assegnazioni di autorizzazioni ad alto rischio inutilizzate. Pci elevato riflette il rischio associato alle identità con autorizzazioni che superano l'utilizzo normale o richiesto.
Gravità: medio
È necessario abilitare gli aggiornamenti automatici delle versioni secondarie di Servizi Desktop remoto
Descrizione: questo controllo controlla se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database Servizi Desktop remoto. L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce che siano installati gli aggiornamenti della versione secondaria più recenti al sistema di gestione dei database relazionali (RDBMS). Questi aggiornamenti possono includere patch di sicurezza e correzioni di bug. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: alta
Gli snapshot del cluster Servizi Desktop remoto e gli snapshot del database devono essere crittografati inattivi
Descrizione: questo controllo controlla se gli snapshot del database Servizi Desktop remoto sono crittografati. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per gli snapshot delle istanze di Aurora DB, delle istanze di Neptune DB e dei cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. La crittografia dei dati inattivi riduce il rischio che un utente non autenticato ottenga l'accesso ai dati archiviati su disco. I dati negli snapshot di Servizi Desktop remoto devono essere crittografati inattivi per un ulteriore livello di sicurezza.
Gravità: medio
I cluster Servizi Desktop remoto devono avere la protezione dell'eliminazione abilitata
Descrizione: questo controllo controlla se i cluster Servizi Desktop remoto hanno la protezione dell'eliminazione abilitata. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per le istanze di Aurora DB, le istanze di Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. L'abilitazione della protezione dall'eliminazione del cluster è un altro livello di protezione dall'eliminazione accidentale o dall'eliminazione accidentale da parte di un'entità non autorizzata. Quando la protezione dell'eliminazione è abilitata, non è possibile eliminare un cluster Servizi Desktop remoto. Prima che una richiesta di eliminazione possa avere esito positivo, la protezione dell'eliminazione deve essere disabilitata.
Gravità: Bassa
I cluster di database Servizi Desktop remoto devono essere configurati per più zone di disponibilità
Descrizione: i cluster di database Servizi Desktop remoto devono essere configurati per più dati archiviati. La distribuzione in più zone di disponibilità consente di automatizzare zone di disponibilità per garantire la disponibilità del failover ed in caso di problemi di disponibilità della zona di disponibilità e durante gli eventi di manutenzione di Servizi Desktop remoto regolari.
Gravità: medio
I cluster di database Servizi Desktop remoto devono essere configurati per copiare tag in snapshot
Descrizione: l'identificazione e l'inventario degli asset IT è un aspetto fondamentale della governance e della sicurezza. È necessario avere visibilità su tutti i cluster di database Servizi Desktop remoto in modo da poter valutare il comportamento di sicurezza e agire su potenziali aree di debolezza. Gli snapshot devono essere contrassegnati nello stesso modo dei cluster di database Servizi Desktop remoto padre. L'abilitazione di questa impostazione garantisce che gli snapshot ereditino i tag dei cluster di database padre.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono essere configurate per copiare tag in snapshot
Descrizione: questo controllo controlla se le istanze del database Servizi Desktop remoto sono configurate per copiare tutti i tag negli snapshot quando vengono creati gli snapshot. L'identificazione e l'inventario degli asset IT è un aspetto fondamentale della governance e della sicurezza. È necessario avere visibilità su tutte le istanze del database Servizi Desktop remoto in modo da poter valutare il comportamento di sicurezza e intervenire su potenziali aree di debolezza. Gli snapshot devono essere contrassegnati nello stesso modo delle istanze del database Servizi Desktop remoto padre. L'abilitazione di questa impostazione garantisce che gli snapshot ereditino i tag delle istanze del database padre.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono essere configurate con più zone di disponibilità
Descrizione: questo controllo controlla se la disponibilità elevata è abilitata per le istanze del database Servizi Desktop remoto. Le istanze del database Servizi Desktop remoto devono essere configurate per più zone di disponibilità (AZ). In questo modo si garantisce la disponibilità dei dati archiviati. Le distribuzioni multi-AZ consentono il failover automatico se si verifica un problema con la disponibilità della zona di disponibilità e durante la normale manutenzione di Servizi Desktop remoto.
Gravità: medio
Le istanze del database Servizi Desktop remoto devono avere la protezione dell'eliminazione abilitata
Descrizione: questo controllo controlla se le istanze del database Servizi Desktop remoto che usano uno dei motori di database elencati hanno la protezione dell'eliminazione abilitata. L'abilitazione della protezione dell'eliminazione dell'istanza è un altro livello di protezione da eliminazioni accidentali o eliminazione da parte di un'entità non autorizzata. Mentre la protezione dell'eliminazione è abilitata, non è possibile eliminare un'istanza del database Servizi Desktop remoto. Prima che una richiesta di eliminazione possa avere esito positivo, la protezione dell'eliminazione deve essere disabilitata.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono avere la crittografia dei dati inattivi abilitata
Descrizione: questo controllo controlla se la crittografia di archiviazione è abilitata per le istanze del database Di Amazon RDS. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per le istanze di Aurora DB, le istanze di Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze del database Servizi Desktop remoto, è necessario configurare le istanze del database Servizi Desktop remoto per la crittografia dei dati inattivi. Per crittografare le istanze del database Servizi Desktop remoto e gli snapshot inattivi, abilitare l'opzione di crittografia per le istanze del database Servizi Desktop remoto. I dati crittografati inattivi includono l'archiviazione sottostante per le istanze del database, i relativi backup automatici, le repliche in lettura e gli snapshot. Le istanze di database crittografate di Servizi Desktop remoto usano l'algoritmo di crittografia AES-256 standard aperto per crittografare i dati nel server che ospita le istanze del database Servizi Desktop remoto. Dopo aver crittografato i dati, Amazon RDS gestisce l'autenticazione dell'accesso e della decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è necessario modificare le applicazioni client di database per usare la crittografia. La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di archiviazione. La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanze del database. Per informazioni sulle classi di istanze del database che non supportano la crittografia Amazon RDS, vedere Crittografia delle risorse di Amazon RDS nella Guida dell'utente di Amazon RDS.
Gravità: medio
Le istanze del database Servizi Desktop remoto devono impedire l'accesso pubblico
Descrizione: è consigliabile assicurarsi anche che l'accesso alla configurazione dell'istanza di Servizi Desktop remoto sia limitato solo agli utenti autorizzati, limitando le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse delle istanze di Servizi Desktop remoto.
Gravità: alta
Gli snapshot di Servizi Desktop remoto devono impedire l'accesso pubblico
Descrizione: è consigliabile consentire solo alle entità autorizzate di accedere allo snapshot e modificare la configurazione di Amazon RDS.
Gravità: alta
Rimuovere i segreti di Gestione segreti inutilizzati
Descrizione: questo controllo controlla se i segreti sono stati accessibili entro un numero specificato di giorni. Il valore predefinito è 90 giorni. Se non è stato eseguito l'accesso a un segreto entro il numero di giorni definito, questo controllo ha esito negativo. L'eliminazione di segreti inutilizzati è importante quanto la rotazione dei segreti. I segreti inutilizzati possono essere abusati dai loro utenti precedenti, che non hanno più bisogno di accedere a questi segreti. Inoltre, man mano che più utenti ottengono l'accesso a un segreto, qualcuno potrebbe aver mal gestito e trapelato a un'entità non autorizzata, che aumenta il rischio di abusi. L'eliminazione di segreti inutilizzati consente di revocare l'accesso segreto agli utenti che non ne hanno più bisogno. Consente anche di ridurre il costo dell'uso di Secrets Manager. Pertanto, è essenziale eliminare regolarmente i segreti inutilizzati.
Gravità: medio
Per i bucket S3 deve essere abilitata la replica tra aree
Descrizione: l'abilitazione della replica tra aree S3 garantisce che più versioni dei dati siano disponibili in aree diverse. In questo modo è possibile proteggere il bucket S3 dagli attacchi DDoS e dagli eventi di danneggiamento dei dati.
Gravità: Bassa
I bucket S3 devono avere la crittografia lato server abilitata
Descrizione: abilitare la crittografia lato server per proteggere i dati nei bucket S3. La crittografia dei dati può impedire l'accesso ai dati sensibili in caso di violazione dei dati.
Gravità: medio
I segreti di Secrets Manager configurati con rotazione automatica devono ruotare correttamente
Descrizione: questo controllo controlla se un segreto di AWS Secrets Manager è stato ruotato correttamente in base alla pianificazione della rotazione. Il controllo ha esito negativo se RotationOccurringAsScheduled è false. Il controllo non valuta i segreti che non hanno la rotazione configurata. Secrets Manager consente di migliorare il comportamento di sicurezza dell'organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile usare Secrets Manager per archiviare i segreti in modo centralizzato, crittografare automaticamente i segreti, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico. Secrets Manager può ruotare i segreti. È possibile usare la rotazione per sostituire i segreti a lungo termine con quelli a breve termine. La rotazione dei segreti limita per quanto tempo un utente non autorizzato può usare un segreto compromesso. Per questo motivo, è consigliabile ruotare frequentemente i segreti. Oltre a configurare i segreti per la rotazione automatica, è necessario assicurarsi che tali segreti vengano ruotati correttamente in base alla pianificazione della rotazione. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
I segreti di Secrets Manager devono essere ruotati entro un numero specificato di giorni
Descrizione: questo controllo controlla se i segreti sono stati ruotati almeno una volta entro 90 giorni. La rotazione dei segreti consente di ridurre il rischio di uso non autorizzato dei segreti nell'account AWS. Ad esempio, le credenziali del database, le password, le chiavi API di terze parti e persino il testo arbitrario. Se non si modificano i segreti per un lungo periodo di tempo, è più probabile che i segreti vengano compromessi. Man mano che più utenti ottengono l'accesso a un segreto, può diventare più probabile che qualcuno abbia gestito in modo non autorizzato e lo abbia trapelato in un'entità non autorizzata. I segreti possono essere persi tramite log e dati della cache. Possono essere condivisi per scopi di debug e non modificati o revocati al termine del debug. Per tutti questi motivi, i segreti devono essere ruotati frequentemente. È possibile configurare i segreti per la rotazione automatica in AWS Secrets Manager. Con la rotazione automatica, è possibile sostituire i segreti a lungo termine con quelli a breve termine, riducendo significativamente il rischio di compromissione. L'hub di sicurezza consiglia di abilitare la rotazione per i segreti di Secrets Manager. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
Gli argomenti SNS devono essere crittografati inattivi usando il servizio di gestione delle chiavi AWS
Descrizione: questo controllo controlla se un argomento SNS è crittografato inattivo con AWS KMS. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. Aggiunge anche un altro set di controlli di accesso per limitare la capacità di utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere. Gli argomenti SNS devono essere crittografati inattivi per un ulteriore livello di sicurezza. Per altre informazioni, vedere Crittografia dei dati inattivi nella Guida per sviluppatori di Amazon Simple Notification Service.
Gravità: medio
La registrazione dei flussi VPC deve essere abilitata in tutte le VPC
Descrizione: i log dei flussi VPC offrono visibilità sul traffico di rete che passa attraverso il VPC e possono essere usati per rilevare traffico anomalo o informazioni dettagliate durante gli eventi di sicurezza.
Gravità: medio
Raccomandazioni per i dati GCP
Verificare che il flag di database '3625 (flag di traccia)' per l'istanza di SQL Server cloud sia impostato su 'off'
Descrizione: è consigliabile impostare il flag di database "3625 (flag di traccia)" per l'istanza di SQL Server cloud su "off". I flag di traccia vengono spesso usati per diagnosticare i problemi di prestazioni o per eseguire il debug di stored procedure o sistemi computer complessi, ma possono anche essere consigliati da supporto tecnico Microsoft per risolvere i comportamenti che influiscono negativamente su un carico di lavoro specifico. Tutti i flag di traccia descritti e quelli consigliati dal supporto tecnico Microsoft sono completamente supportati in un ambiente di produzione se usati come indicato. "3625(log di traccia)" Limita la quantità di informazioni restituite agli utenti che non sono membri del ruolo predefinito del server sysadmin, mascherando i parametri di alcuni messaggi di errore usando "******". In questo modo è possibile impedire la divulgazione di informazioni riservate. Di conseguenza, è consigliabile disabilitare questo flag. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: medio
Verificare che il flag di database "external scripts enabled" per l'istanza di SQL Server cloud sia impostato su 'off'
Descrizione: è consigliabile impostare il flag di database "script esterni abilitati" per l'istanza di SQL Server cloud su off. "script esterni abilitati" consentono l'esecuzione di script con determinate estensioni del linguaggio remoto. Questa proprietà è DISATTIVATA per impostazione predefinita. Quando Advanced Analytics Services è installato, il programma di installazione può impostare facoltativamente questa proprietà su true. Poiché la funzionalità "Script esterni abilitati" consente l'esecuzione di script esterni a SQL, ad esempio i file che si trovano in una libreria R, che potrebbero influire negativamente sulla sicurezza del sistema, di conseguenza questo dovrebbe essere disabilitato. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: alta
Verificare che il flag di database "Accesso remoto" per l'istanza di SQL Server cloud sia impostato su "off"
Descrizione: è consigliabile impostare il flag di database "Accesso remoto" per l'istanza di SQL Server cloud su "off". L'opzione "Accesso remoto" controlla l'esecuzione di stored procedure da server locali o remoti in cui sono in esecuzione istanze di SQL Server. Il valore predefinito dell'opzione è 1. In questo modo si ottiene l'autorizzazione a eseguire stored procedure locali da server remoti o stored procedure remote dal server locale. Per impedire l'esecuzione di stored procedure locali da un server remoto o da stored procedure remote nel server locale, questa operazione deve essere disabilitata. L'opzione Accesso remoto controlla l'esecuzione di stored procedure locali su server remoti o stored procedure remote nel server locale. La funzionalità "Accesso remoto" può essere caricata in modo improprio per avviare un attacco Denial of Service (DoS) sui server remoti disattivando l'elaborazione delle query in una destinazione, di conseguenza questa operazione deve essere disabilitata. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: alta
Assicurarsi che il flag di database 'skip_show_database' per l'istanza di Cloud SQL Mysql sia impostato su 'on'
Descrizione: è consigliabile impostare il flag di database "skip_show_database" per l'istanza di Cloud SQL Mysql su "on". Il flag di database 'skip_show_database' impedisce agli utenti di usare l'istruzione SHOW DATABASES se non dispone del privilegio SHOW DATABASES. In questo modo è possibile migliorare la sicurezza in caso di problemi relativi alla possibilità di visualizzare i database appartenenti ad altri utenti. L'effetto dipende dal privilegio SHOW DATABASES: se il valore della variabile è ON, l'istruzione SHOW DATABASES è consentita solo agli utenti con privilegi SHOW DATABASES e l'istruzione visualizza tutti i nomi di database. Se il valore è OFF, SHOW DATABASES è consentito a tutti gli utenti, ma visualizza i nomi solo dei database per i quali l'utente dispone di SHOW DATABASES o di altri privilegi. Questa raccomandazione è applicabile alle istanze del database Mysql.
Gravità: Bassa
Assicurarsi che sia specificata una chiave di crittografia gestita dal cliente (CMEK) predefinita per tutti i set di dati BigQuery
Descrizione: Per impostazione predefinita, BigQuery crittografa i dati come inattivi usando Envelope Encryption usando chiavi di crittografia gestite da Google. I dati vengono crittografati usando le chiavi di crittografia dei dati e le chiavi di crittografia dei dati stessi vengono ulteriormente crittografati usando le chiavi di crittografia delle chiavi. Questo è facile e non richiede alcun input aggiuntivo dall'utente. Tuttavia, se si vuole avere un maggiore controllo, le chiavi di crittografia gestite dal cliente (CMEK) possono essere usate come soluzione di gestione delle chiavi di crittografia per i set di dati BigQuery. Per impostazione predefinita, BigQuery crittografa i dati come inattivi usando Envelope Encryption usando chiavi di crittografia gestite da Google. Questo è facile e non richiede alcun input aggiuntivo dall'utente. Per un maggiore controllo sulla crittografia, le chiavi di crittografia gestite dal cliente (CMEK) possono essere usate come soluzione di gestione delle chiavi di crittografia per i set di dati BigQuery. L'impostazione di una chiave di crittografia gestita dal cliente (CMEK) predefinita per un set di dati garantisce che tutte le tabelle create in futuro useranno il cmek specificato se non viene specificato alcun altro.
Google non archivia le chiavi nei server e non può accedere ai dati protetti a meno che non si fornisca la chiave.
Ciò significa anche che, se si dimentica o si perde la chiave, non c'è modo per Google di recuperare la chiave o di recuperare i dati crittografati con la chiave persa.
Gravità: medio
Assicurarsi che tutte le tabelle BigQuery siano crittografate con la chiave di crittografia gestita dal cliente (CMEK)
Descrizione: Per impostazione predefinita, BigQuery crittografa i dati come inattivi usando Envelope Encryption usando chiavi di crittografia gestite da Google. I dati vengono crittografati usando le chiavi di crittografia dei dati e le chiavi di crittografia dei dati stessi vengono ulteriormente crittografati usando le chiavi di crittografia delle chiavi. Questo è facile e non richiede alcun input aggiuntivo dall'utente. Tuttavia, se si vuole avere un maggiore controllo, le chiavi di crittografia gestite dal cliente (CMEK) possono essere usate come soluzione di gestione delle chiavi di crittografia per i set di dati BigQuery. Se si usa CMEK, cmek viene usato per crittografare le chiavi di crittografia dei dati anziché usare chiavi di crittografia gestite da Google. Per impostazione predefinita, BigQuery crittografa i dati come inattivi usando Envelope Encryption usando chiavi di crittografia gestite da Google. Questo è facile e non richiede alcun input aggiuntivo dall'utente. Per un maggiore controllo sulla crittografia, le chiavi di crittografia gestite dal cliente (CMEK) possono essere usate come soluzione di gestione delle chiavi di crittografia per le tabelle BigQuery. Cmek viene usato per crittografare le chiavi di crittografia dei dati anziché usare chiavi di crittografia gestite da Google. BigQuery archivia la tabella e l'associazione CMEK e la crittografia/decrittografia viene eseguita automaticamente. L'applicazione delle chiavi gestite dal cliente predefinite nei set di dati BigQuery garantisce che tutte le nuove tabelle create in futuro verranno crittografate tramite CMEK, ma le tabelle esistenti devono essere aggiornate per usare singolarmente CMEK.
Google non archivia le chiavi nei server e non può accedere ai dati protetti a meno che non si fornisca la chiave. Ciò significa anche che, se si dimentica o si perde la chiave, non c'è modo per Google di recuperare la chiave o di recuperare i dati crittografati con la chiave persa.
Gravità: medio
Assicurarsi che i set di dati BigQuery non siano accessibili in modo anonimo o pubblico
Descrizione: è consigliabile che i criteri IAM nei set di dati BigQuery non consentano l'accesso anonimo e/o pubblico. La concessione delle autorizzazioni a allUsers o allAuthenticatedUsers consente a chiunque di accedere al set di dati. Tale accesso potrebbe non essere utile se i dati sensibili vengono archiviati nel set di dati. Assicurarsi pertanto che l'accesso anonimo e/o pubblico a un set di dati non sia consentito.
Gravità: alta
Assicurarsi che le istanze del database SQL cloud siano configurate con backup automatizzati
Descrizione: è consigliabile impostare tutte le istanze del database SQL per abilitare i backup automatici. I backup consentono di ripristinare un'istanza di Cloud SQL per ripristinare i dati persi o recuperare da un problema con tale istanza. I backup automatizzati devono essere impostati per qualsiasi istanza che contiene dati che devono essere protetti da perdite o danni. Questa raccomandazione è applicabile alle istanze di SQL Server, PostgreSql, MySql di prima generazione e MySql di seconda generazione.
Gravità: alta
Assicurarsi che le istanze del database SQL cloud non siano aperte al mondo
Descrizione: il server di database deve accettare connessioni solo da reti attendibili/IP e limitare l'accesso dal mondo. Per ridurre al minimo la superficie di attacco in un'istanza del server di database, è necessario approvare solo indirizzi IP attendibili/noti e necessari per la connessione. Una rete autorizzata non deve avere indirizzi IP/reti configurati per 0.0.0.0/0, che consentirà l'accesso all'istanza da qualsiasi parte del mondo. Si noti che le reti autorizzate si applicano solo alle istanze con indirizzi IP pubblici.
Gravità: alta
Assicurarsi che le istanze del database SQL cloud non abbiano indirizzi IP pubblici
Descrizione: è consigliabile configurare l'istanza sql di seconda generazione per usare indirizzi IP privati anziché indirizzi IP pubblici. Per ridurre la superficie di attacco dell'organizzazione, i database SQL cloud non devono avere indirizzi IP pubblici. Gli indirizzi IP privati offrono una maggiore sicurezza di rete e una latenza inferiore per l'applicazione.
Gravità: alta
Assicurarsi che il bucket di Archiviazione cloud non sia accessibile in modo anonimo o pubblico
Descrizione: è consigliabile che i criteri IAM nel bucket Di archiviazione cloud non consentano l'accesso anonimo o pubblico. Consentire l'accesso anonimo o pubblico concede autorizzazioni a chiunque acceda al contenuto del bucket. Questo accesso potrebbe non essere desiderato se si archiviano dati sensibili. Di conseguenza, assicurarsi che l'accesso anonimo o pubblico a un bucket non sia consentito.
Gravità: alta
Assicurarsi che i bucket di Archiviazione cloud abbiano l'accesso uniforme a livello di bucket abilitato
Descrizione: è consigliabile abilitare l'accesso uniforme a livello di bucket nei bucket di Archiviazione cloud.
È consigliabile usare l'accesso uniforme a livello di bucket per unificare e semplificare la modalità di concessione dell'accesso alle risorse di archiviazione cloud.
Archiviazione cloud offre due sistemi per concedere agli utenti l'autorizzazione per accedere ai bucket e agli oggetti: Cloud Identity and Access Management (Cloud IAM) e elenchi di Controllo di accesso (ACL).
Questi sistemi agiscono in parallelo: per consentire a un utente di accedere a una risorsa di archiviazione cloud, solo uno dei sistemi deve concedere all'utente l'autorizzazione.
Cloud IAM viene usato in Google Cloud e consente di concedere un'ampia gamma di autorizzazioni a livello di bucket e progetto.
Gli ACL vengono usati solo da Archiviazione cloud e dispongono di opzioni di autorizzazione limitate, ma consentono di concedere autorizzazioni per ogni oggetto.
Per supportare un sistema di autorizzazione uniforme, Archiviazione cloud ha accesso uniforme a livello di bucket. L'uso di questa funzionalità disabilita gli ACL per tutte le risorse di archiviazione cloud: l'accesso alle risorse di archiviazione cloud viene quindi concesso esclusivamente tramite Cloud IAM. L'abilitazione dell'accesso uniforme a livello di bucket garantisce che, se un bucket di archiviazione non è accessibile pubblicamente, nessun oggetto nel bucket è accessibile pubblicamente.
Gravità: medio
Assicurarsi che le istanze di calcolo dispongano di Confidential Computing abilitato
Descrizione: Google Cloud crittografa i dati inattivi e in transito, ma i dati dei clienti devono essere decrittografati per l'elaborazione. Confidential Computing è una tecnologia rivoluzionaria che crittografa i dati in uso durante l'elaborazione. Gli ambienti confidential computing mantengono i dati crittografati in memoria e altrove all'esterno dell'unità di elaborazione centrale (CPU). Le macchine virtuali riservate sfruttano la funzionalità SECURE Encrypted Virtualization (SEV) delle CPU AMD EPYC. I dati dei clienti rimarranno crittografati mentre vengono usati, indicizzati, sottoposti a query o sottoposti a training. Le chiavi di crittografia vengono generate in hardware, per macchina virtuale e non esportabili. Grazie alle ottimizzazioni hardware predefinite di prestazioni e sicurezza, non c'è alcuna riduzione significativa delle prestazioni per i carichi di lavoro Confidential Computing. Confidential Computing consente al codice sensibile dei clienti e ad altri dati crittografati in memoria durante l'elaborazione. Google non ha accesso alle chiavi di crittografia. La macchina virtuale riservata può aiutare ad alleviare le preoccupazioni relative al rischio correlato alla dipendenza dall'infrastruttura Google o all'accesso dei partecipanti al programma Google Insider ai dati dei clienti in modo chiaro.
Gravità: alta
Assicurarsi che i criteri di conservazione nei bucket di log siano configurati usando il blocco bucket
Descrizione: l'abilitazione dei criteri di conservazione nei bucket di log proteggerà i log archiviati nei bucket di archiviazione cloud da sovrascrivere o eliminare accidentalmente. È consigliabile configurare i criteri di conservazione e configurare il blocco bucket in tutti i bucket di archiviazione usati come sink di log. I log possono essere esportati creando uno o più sink che includono un filtro di log e una destinazione. Poiché la registrazione di Stackdriver riceve nuove voci di log, vengono confrontate con ogni sink. Se una voce di log corrisponde al filtro di un sink, viene scritta una copia della voce di log nella destinazione. I sink possono essere configurati per esportare i log nei bucket di archiviazione. È consigliabile configurare un criterio di conservazione dei dati per questi bucket di archiviazione cloud e bloccare i criteri di conservazione dei dati; impedendo così la riduzione o la rimozione dei criteri in modo permanente. In questo modo, se il sistema viene mai compromesso da un utente malintenzionato o da un utente malintenzionato che vuole coprire le loro tracce, i log attività vengono sicuramente conservati per indagini forensi e di sicurezza.
Gravità: Bassa
Assicurarsi che l'istanza del database SQL cloud richieda tutte le connessioni in ingresso per l'uso di SSL
Descrizione: è consigliabile applicare tutte le connessioni in ingresso all'istanza del database SQL per l'uso di SSL. Connessioni al database SQL se sono state intrappolate correttamente (MITM); può rivelare dati sensibili, ad esempio credenziali, query di database, output di query e così via. Per motivi di sicurezza, è consigliabile usare sempre la crittografia SSL per la connessione all'istanza. Questa raccomandazione è applicabile alle istanze di Postgresql, MySql di prima generazione e MySql di seconda generazione.
Gravità: alta
Assicurarsi che il flag di database "autenticazione del database indipendente" per Cloud SQL nell'istanza di SQL Server sia impostato su "off"
Descrizione: è consigliabile impostare il flag di database "autenticazione del database indipendente" per Cloud SQL nell'istanza di SQL Server è impostato su "off". Un database indipendente include tutte le impostazioni del database e i metadati necessari per definire il database e non ha dipendenze di configurazione dall'istanza del motore di database in cui è installato il database. Gli utenti possono connettersi al database senza eseguire l'autenticazione di un account di accesso al livello del motore di database. L'isolamento del database dal motore di database consente di spostare in modo semplice il database in un'altra istanza di SQL Server. I database indipendenti sono soggetti ad alcune minacce univoche che devono essere comprese e contrastate dagli amministratori del motore di database SQL Server. La maggior parte delle minacce è correlata al processo di autenticazione USER WITH PASSWORD, che sposta il limite di autenticazione dal livello di motore di database al livello di database, di conseguenza è consigliabile disabilitare questo flag. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: medio
Assicurarsi che il flag di database 'cross db ownership chaining' per l'istanza di SQL Server cloud sia impostato su 'off'
Descrizione: è consigliabile impostare il flag di database "cross db ownership chaining" per l'istanza di SQL Server cloud su "off". Usare l'opzione "cross db ownership" per il concatenamento per configurare il concatenamento della proprietà tra database per un'istanza di Microsoft SQL Server. Questa opzione del server consente di controllare il concatenamento della proprietà tra database a livello di database o di consentire il concatenamento della proprietà tra database per tutti i database. L'abilitazione della "proprietà tra database" non è consigliata a meno che tutti i database ospitati dall'istanza di SQL Server non debbano partecipare al concatenamento della proprietà tra database e non si siano a conoscenza delle implicazioni di sicurezza di questa impostazione. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: medio
Assicurarsi che il flag di database "local_infile" per un'istanza di Cloud SQL Mysql sia impostato su "off"
Descrizione: è consigliabile impostare il flag di database local_infile per un'istanza di Cloud SQL MySQL su off.
Il flag local_infile controlla la funzionalità LOCAL lato server per le istruzioni LOAD DATA. A seconda dell'impostazione local_infile, il server rifiuta o consente il caricamento dei dati locali da parte dei client che dispongono di LOCAL abilitato sul lato client.
Per fare in modo esplicito che il server rifiuti le istruzioni LOAD DATA LOCAL (indipendentemente dal modo in cui i programmi client e le librerie vengono configurati in fase di compilazione o runtime), iniziare mysqld con local_infile disabilitato. local_infile possono essere impostati anche in fase di esecuzione.
A causa di problemi di sicurezza associati al flag di local_infile, è consigliabile disabilitarlo. Questa raccomandazione è applicabile alle istanze del database MySQL.
Gravità: medio
Assicurarsi che il filtro delle metriche del log e gli avvisi esistano per le modifiche alle autorizzazioni IAM di Archiviazione cloud
Descrizione: è consigliabile stabilire un filtro delle metriche e un allarme per le modifiche IAM del bucket di archiviazione cloud. Il monitoraggio delle modifiche apportate alle autorizzazioni del bucket di archiviazione cloud potrebbe ridurre il tempo necessario per rilevare e correggere le autorizzazioni per bucket e oggetti di archiviazione cloud sensibili all'interno del bucket.
Gravità: Bassa
Assicurarsi che il filtro e gli avvisi delle metriche del log esistano per le modifiche alla configurazione dell'istanza di SQL
Descrizione: è consigliabile stabilire un filtro e un allarme delle metriche per le modifiche alla configurazione dell'istanza di SQL. Il monitoraggio delle modifiche apportate alle modifiche alla configurazione dell'istanza DI SQL potrebbe ridurre il tempo necessario per rilevare e correggere le configurazioni errate eseguite nel server SQL. Di seguito sono riportate alcune delle opzioni configurabili che potrebbero influire sul comportamento di sicurezza di un'istanza di SQL:
- Abilitare i backup automatici e la disponibilità elevata: la configurazione errata potrebbe influire negativamente sulla continuità aziendale, il ripristino di emergenza e la disponibilità elevata
- Autorizzare le reti: la configurazione errata potrebbe aumentare l'esposizione alle reti non attendibili
Gravità: Bassa
Assicurarsi che siano presenti solo chiavi dell'account del servizio gestito da GCP per ogni account del servizio
Descrizione: gli account del servizio gestito dall'utente non devono avere chiavi gestite dall'utente. Chiunque abbia accesso alle chiavi potrà accedere alle risorse tramite l'account del servizio. Le chiavi gestite da GCP vengono usate dai servizi della piattaforma cloud, ad esempio motore di app e motore di calcolo. Non è possibile scaricare queste chiavi. Google manterrà le chiavi e le ruota automaticamente su base settimanale. Le chiavi gestite dall'utente vengono create, scaricabili e gestite dagli utenti. Scadono 10 anni dalla creazione. Per le chiavi gestite dall'utente, l'utente deve assumere la proprietà delle attività di gestione delle chiavi, tra cui:
- Archiviazione chiavi
- Distribuzione delle chiavi
- Revoca delle chiavi
- Rotazione delle chiavi
- Protezione delle chiavi da utenti non autorizzati
- Recupero chiave
Anche con le precauzioni del proprietario delle chiavi, le chiavi possono essere facilmente perse da procedure di sviluppo comuni meno che ottimali, ad esempio il controllo delle chiavi nel codice sorgente o l'abbandono nella directory Download o l'abbandono accidentale nei blog o nei canali di supporto. È consigliabile impedire le chiavi dell'account del servizio gestito dall'utente.
Gravità: Bassa
Verificare che il flag di database "connessioni utente" per l'istanza di SQL Server cloud sia impostato in base alle esigenze
Descrizione: è consigliabile impostare il flag di database "connessioni utente" per l'istanza di SQL Server cloud in base al valore definito dall'organizzazione. L'opzione "connessioni utente" specifica il numero massimo di connessioni utente simultanee consentite in un'istanza di SQL Server. Il numero effettivo di connessioni utente consentite dipende anche dalla versione di SQL Server in uso e anche dai limiti dell'applicazione o delle applicazioni e dell'hardware. SQL Server consente un massimo di 32.767 connessioni utente. Poiché le connessioni utente sono un'opzione dinamica (autoconfigurazione), SQL Server regola automaticamente il numero massimo di connessioni utente in base alle esigenze, fino al valore massimo consentito. Se, ad esempio, sono connessi solo 10 utenti, vengono allocati 10 oggetti connessione utente. Nella maggior parte dei casi, non è necessario modificare il valore per questa opzione. Il valore predefinito è 0, che indica che è consentito il numero massimo di connessioni utente (32.767). Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: Bassa
Verificare che il flag di database "opzioni utente" per l'istanza di SQL Server cloud non sia configurato
Descrizione: è consigliabile non configurare il flag di database "opzioni utente" per l'istanza di SQL Server cloud. L'opzione "opzioni utente" specifica le impostazioni predefinite globali per tutti gli utenti. Viene creato un elenco di opzioni predefinite per l'elaborazione delle query, che rimane valido per tutta la durata della sessione di lavoro dell'utente. L'impostazione delle opzioni utente consente di modificare i valori predefiniti delle opzioni SET (se le impostazioni predefinite del server non sono appropriate). Un utente può ottenere la priorità su tali impostazioni predefinite utilizzando l'istruzione SET. È possibile configurare dinamicamente user options per i nuovi account di accesso. Dopo aver modificato l'impostazione delle opzioni utente, le nuove sessioni di accesso usano la nuova impostazione; le sessioni di accesso correnti non sono interessate. Questa raccomandazione è applicabile alle istanze di database di SQL Server.
Gravità: Bassa
La registrazione per i cluster GKE deve essere abilitata
Descrizione: questa raccomandazione valuta se la proprietà loggingService di un cluster contiene il percorso Da usare Registrazione cloud per scrivere i log.
Gravità: alta
Il controllo delle versioni degli oggetti deve essere abilitato nei bucket di archiviazione in cui sono configurati i sink
Descrizione: questa raccomandazione valuta se il campo abilitato nella proprietà di controllo delle versioni del bucket è impostato su true.
Gravità: alta
Le identità con provisioning eccessivo nei progetti devono essere analizzate per ridurre l'indice di scorrimento delle autorizzazioni (PCI)
Descrizione: le identità con provisioning eccessivo nei progetti devono essere analizzate per ridurre l'indice di tipo permission creep (PCI) e per proteggere l'infrastruttura. Ridurre pci rimuovendo le assegnazioni di autorizzazioni ad alto rischio inutilizzate. Pci elevato riflette il rischio associato alle identità con autorizzazioni che superano l'utilizzo normale o richiesto.
Gravità: medio
I progetti con chiavi crittografiche non devono avere utenti con autorizzazioni di proprietario
Descrizione: questa raccomandazione valuta i criteri di autorizzazione IAM nei metadati del progetto per i ruoli assegnati/proprietario delle entità.
Gravità: medio
I bucket di archiviazione usati come sink di log non devono essere accessibili pubblicamente
Descrizione: questa raccomandazione valuta i criteri IAM di un bucket per le entità allUsers o allAuthenticatedUsers, che concedono l'accesso pubblico.
Gravità: alta