Datensicherheitsempfehlungen

In diesem Artikel werden alle Empfehlungen zur Datensicherheit aufgeführt, die sie möglicherweise in Microsoft Defender for Cloud sehen.

Die Empfehlungen, die in Ihrer Umgebung angezeigt werden, basieren auf den Ressourcen, die Sie schützen und auf Ihrer angepassten Konfiguration. Sie können die Empfehlungen im Portal sehen, die für Ihre Ressourcen gelten.

Weitere Informationen zu Aktionen, die Sie als Reaktion auf diese Empfehlungen ausführen können, finden Sie unter Remediate Empfehlungen in Defender for Cloud.

Tipp

Wenn eine Empfehlungsbeschreibung keine verwandte Richtlinie besagt, liegt dies in der Regel daran, dass diese Empfehlung von einer anderen Empfehlung abhängig ist.

Die Empfohlene Endpunktschutz-Integritätsfehler sollten beispielsweise behoben werden, indem empfohlen wird, dass überprüft wird, ob eine Endpunktschutzlösung installiert ist (Endpunktschutzlösung sollte installiert werden). Die zugrunde liegende Empfehlung verfügt über eine Richtlinie. Das Einschränken von Richtlinien auf grundlegende Empfehlungen vereinfacht die Richtlinienverwaltung.

Azure-Datenempfehlungen

Azure Cosmos DB sollte den Zugriff auf öffentliche Netzwerke deaktivieren

Beschreibung: Durch das Deaktivieren des Zugriffs auf öffentliche Netzwerke wird die Sicherheit verbessert, indem sichergestellt wird, dass Ihr Cosmos DB-Konto nicht im öffentlichen Internet verfügbar gemacht wird. Sie können die Offenlegung des Cosmos DB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen (Verwandte Richtlinie: Azure Cosmos DB sollte den Öffentlichen Netzwerkzugriff deaktivieren).

Schweregrad: Mittel

(Bei Bedarf aktivieren) Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand Ihrer Azure Cosmos DB zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. CMKs ermöglichen es, die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel zu verschlüsseln. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/cosmosdb-cmk. (Verwandte Richtlinie: Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um Ruhedaten zu verschlüsseln).

Schweregrad: Niedrig

(Bei Bedarf aktivieren) Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwalten Sie die Verschlüsselung im Ruhezustand Ihrer Azure Machine Learning Arbeitsbereichsdaten mit vom Kunden verwalteten Schlüsseln (CMK). Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Häufig sind aber kundenseitig verwaltete Schlüssel (CMKs) zur Einhaltung gesetzlicher Bestimmungen erforderlich. CMKs ermöglichen es, die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel zu verschlüsseln. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/azureml-workspaces-cmk. (Verwandte Richtlinie: Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Schweregrad: Niedrig

Azure SQL-Datenbank sollte TLS, Version 1.2 oder höher, ausführen

Description: Das Festlegen der TLS-Version auf 1.2 oder höher verbessert die Sicherheit, indem sichergestellt wird, dass Auf Ihre Azure SQL-Datenbank nur von Clients mit TLS 1.2 oder höher zugegriffen werden kann. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. (Verwandte Richtlinie: Azure SQL-Datenbank sollte TLS Version 1.2 oder höher ausführen).

Schweregrad: Mittel

Azure SQL Verwaltete Instanzen sollten den Öffentlichen Netzwerkzugriff deaktivieren

Description: Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) auf Azure SQL verwalteten Instanzen verbessert die Sicherheit, indem sichergestellt wird, dass nur innerhalb ihrer virtuellen Netzwerke oder über private Endpunkte darauf zugegriffen werden kann. Weitere Informationen zum Zugriff auf öffentliche Netzwerke. (Verwandte Richtlinie: Azure SQL Verwaltete Instanzen sollten den öffentlichen Netzwerkzugriff deaktivieren).

Schweregrad: Mittel

Cosmos DB-Konten müssen Private Link verwenden

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Wenn private Endpunkte Ihrem Cosmos DB-Konto zugeordnet werden, werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen. (Verwandte Richtlinie: Cosmos DB-Konten müssen Private Link verwenden.)

Schweregrad: Mittel

(Bei Bedarf aktivieren) MySQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. CMKs ermöglichen es, die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel zu verschlüsseln. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. (Verwandte Richtlinie: Bring your own key data protection should be enabled for MySQL servers).

Schweregrad: Niedrig

(Bei Bedarf aktivieren) PostgreSQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (Customer-Managed Key, CMK) sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. CMKs ermöglichen es, die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel zu verschlüsseln. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. (Verwandte Richtlinie: Bring your own key data protection should be enabled for PostgreSQL servers).

Schweregrad: Niedrig

(Bei Bedarf aktivieren) Sql managed instances should use customer-managed keys to encrypt data at rest

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Durch die Implementierung von Transparent Data Encryption (TDE) mit Ihrem eigenen Schlüssel erhalten Sie mehr Transparenz und Kontrolle über die TDE-Schutzkomponente, eine erhöhte Sicherheit mit einem HSM-gesicherten externen Dienst und die Förderung der Trennung von Aufgaben. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. (Verwandte Richtlinie: Verwaltete SQL-Instanzen sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

Schweregrad: Niedrig

(Bei Bedarf aktivieren) SQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Die Implementierung von Transparent Data Encryption (TDE) mit Ihrem eigenen Schlüssel bietet erhöhte Transparenz und Kontrolle über die TDE-Schutzkomponente, erhöhte Sicherheit mit einem HSM-gesicherten externen Dienst und Förderung der Trennung von Aufgaben. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. (Verwandte Richtlinie: SQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

Schweregrad: Niedrig

(Bei Bedarf aktivieren) Speicherkonten sollten für die Verschlüsselung vom Kunden verwalteten Schlüssel (CMK) verwenden.

Beschreibung: Empfehlungen für die Verwendung von vom Kunden verwalteten Schlüsseln für die Verschlüsselung ruhender Daten werden standardmäßig nicht bewertet, stehen jedoch zur Verfügung, um entsprechende Szenarien zu aktivieren. Daten werden automatisch verschlüsselt, indem plattformseitig verwaltete Schlüssel verwendet werden. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies aufgrund der Anforderungen von Konformitäts- oder restriktiven Richtlinien obligatorisch ist. Navigieren Sie zur Aktivierung dieser Empfehlung zu Ihrer Sicherheitsrichtlinie für den betreffenden Bereich, und aktualisieren Sie den Parameter Effect für die entsprechende Richtlinie, um die Verwendung von kundenseitig verwalteten Schlüsseln zu überwachen oder zu erzwingen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsrichtlinien. Schützen Sie Ihr Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln (CMKs), und profitieren Sie von mehr Flexibilität. Wenn Sie einen CMK angeben, schützt und steuert dieser Schlüssel den Zugriff auf den Schlüssel, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von CMKs bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. (Verwandte Richtlinie: Speicherkonten sollten für die Verschlüsselung vom Kunden verwalteten Schlüssel (CMK) verwenden.

Schweregrad: Niedrig

Der öffentliche Zugriff auf Speicherkonten muss untersagt sein

Description: Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine bequeme Möglichkeit zum Freigeben von Daten, kann jedoch Sicherheitsrisiken darstellen. Um Datenschutzverletzungen zu verhindern, die durch unerwünschten anonymen Zugriff verursacht werden, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, es sei denn, Ihr Szenario erfordert es.

Schweregrad: Mittel

In den Advanced Data Security-Einstellungen in SQL Managed Instance sollten alle Advanced Threat Protection-Typen aktiviert werden.

Beschreibung: Es wird empfohlen, alle erweiterten Bedrohungsschutztypen für Ihre verwalteten SQL-Instanzen zu aktivieren. Das Aktivieren aller Typen schützt vor einer Einschleusung von SQL-Befehlen, Datenbanksicherheitsrisiken und anderen anomalen Aktivitäten. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

In den Advanced Data Security-Einstellungen der SQL Server-Instanzen sollten alle Advanced Threat Protection-Typen aktiviert werden.

Beschreibung: Es wird empfohlen, alle erweiterten Bedrohungsschutztypen auf Ihren SQL-Servern zu aktivieren. Das Aktivieren aller Typen schützt vor einer Einschleusung von SQL-Befehlen, Datenbanksicherheitsrisiken und anderen anomalen Aktivitäten. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

API Management-Dienste müssen ein virtuelles Netzwerk verwenden

Description: Azure Virtual Network Bereitstellung bietet erweiterte Sicherheit, Isolation und ermöglicht Es Ihnen, Ihren API-Verwaltungsdienst in einem nicht in internetroutebaren Netzwerk zu platzieren, auf das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. (Verwandte Richtlinie: API-Verwaltungsdienste sollten ein virtuelles Netzwerk verwenden).

Schweregrad: Mittel

App Configuration sollte Private Link verwenden.

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. (Verwandte Richtlinie: Die App-Konfiguration sollte einen privaten Link verwenden).

Schweregrad: Mittel

Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein

Beschreibung: Sql-Server überwachen, die mit einem Aufbewahrungszeitraum von weniger als 90 Tagen konfiguriert sind. (Zugehörige Richtlinie: SQL Server-Instanzen müssen mit einer Aufbewahrungsdauer von 90 Tagen oder mehr konfiguriert werden)

Schweregrad: Niedrig

Die Überwachung in SQL Server muss aktiviert werden

Description: Aktivieren Sie die Überwachung auf Ihrer SQL Server, um Datenbankaktivitäten auf allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. (Verwandte Richtlinie: Die Überwachung auf SQL Server sollte aktiviert sein).

Schweregrad: Niedrig

Die automatische Bereitstellung des Log Analytics-Agents sollte für Abonnements aktiviert sein.

Description: Um Sicherheitsrisiken und Bedrohungen zu überwachen, sammelt Microsoft Defender for Cloud Daten von Ihren Azure virtuellen Computern. Die Daten werden vom Log Analytics Agent gesammelt, der früher als Microsoft Monitoring Agent (MMA) bezeichnet wird, der verschiedene sicherheitsbezogene Konfigurationen und Ereignisprotokolle vom Computer liest und die Daten zur Analyse in Ihren Log Analytics Arbeitsbereich kopiert. Es wird empfohlen, die automatische Bereitstellung zu aktivieren, um den Agent automatisch für alle unterstützten Azure VMs und alle neuen bereitzustellen, die erstellt werden. (Verwandte Richtlinie: Autobereitstellung des Log Analytics-Agents sollte für Ihr Abonnement aktiviert sein).

Schweregrad: Niedrig

Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden.

Description: Azure Virtual Network (VNet)-Bereitstellung bietet erweiterte Sicherheit und Isolation für Ihre Azure Cache for Redis sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features, um den Zugriff weiter einzuschränken. Wenn eine Azure Cache for Redis Instanz mit einem VNet konfiguriert ist, ist sie nicht öffentlich adressierbar und kann nur von virtuellen Computern und Anwendungen innerhalb des VNet aufgerufen werden. (Verwandte Richtlinie: Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden).

Schweregrad: Mittel

Azure Database for MySQL sollte einen Microsoft Entra Administrator bereitgestellt haben

Description: Stellen Sie einen Microsoft Entra Administrator für Ihre Azure Database for MySQL bereit, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste (verwandte Richtlinie: a Microsoft Entra Administrator sollte für MySQL-Server bereitgestellt werden).

Schweregrad: Mittel

Azure Database for PostgreSQL sollte einen Microsoft Entra Administrator bereitgestellt haben

Description: Stellen Sie einen Microsoft Entra Administrator für Ihre Azure Database for PostgreSQL bereit, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste
(Verwandte Richtlinie: a Microsoft Entra Administrator sollte für PostgreSQL-Server) bereitgestellt werden.

Schweregrad: Mittel

Azure Database for PostgreSQL flexibler Server sollte nur Microsoft Entra Authentifizierung aktiviert sein.

Description: Deaktivieren lokaler Authentifizierungsmethoden und Erfordern der Microsoft Entra Authentifizierung verbessert die Sicherheit, indem sichergestellt wird, dass Azure Database for PostgreSQL flexible Server nur von Microsoft Entra Identitäten aufgerufen werden kann (verwandte Richtlinie: Azure Der flexible PostgreSQL-Server sollte Microsoft Entra Nur Authentifizierung aktiviert sein).

Schweregrad: Mittel

Azure Cosmos DB-Konten sollten Firewallregeln aufweisen

Description: Firewallregeln sollten für Ihre Azure Cosmos DB-Konten definiert werden, um den Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. (Verwandte Richtlinie: Azure Cosmos DB-Konten sollten Firewallregeln aufweisen).

Schweregrad: Mittel

Azure Event Grid Domänen sollten einen privaten Link verwenden

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Event Grid-Domänen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. (Verwandte Richtlinie: Azure Event Grid Domänen sollten private Links) verwenden.

Schweregrad: Mittel

Azure Event Grid Themen sollten einen privaten Link verwenden

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren privaten Endpunkten zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. (Verwandte Richtlinie: Azure Event Grid Themen sollten einen privaten Link verwenden).

Schweregrad: Mittel

Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Ihren Azure Machine Learning Arbeitsbereichen anstelle des gesamten Diensts werden Sie auch vor Datenverlustrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-privatelink. (Verwandte Richtlinie: Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden).

Schweregrad: Mittel

Azure SignalR Service sollte einen privaten Link verwenden

Description: mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Da private Endpunkte nicht dem gesamten Dienst, sondern Ihren SignalR-Ressourcen zugeordnet werden, sind Sie außerdem vor Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/asrs/privatelink. (Verwandte Richtlinie: Azure SignalR Service sollte einen privaten Link verwenden).

Schweregrad: Mittel

Azure Spring Cloud sollte die Netzwerkeinfügung verwenden

Description: Azure Spring Cloud-Instanzen sollten für die folgenden Zwecke virtuelle Netzwerkeinfügung verwenden: 1. Isolieren sie Azure Spring Cloud aus dem Internet. 2. Ermöglichen Sie Azure Spring Cloud für die Interaktion mit Systemen in lokalen Rechenzentren oder Azure Dienst in anderen virtuellen Netzwerken. 3. Ermöglichen Sie Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud. (Verwandte Richtlinie: Azure Spring Cloud sollte die Netzwerkeinfügung verwenden).

Schweregrad: Mittel

SQL-Server sollten über einen Microsoft Entra Administrator verfügen

Description: Stellen Sie einen Microsoft Entra Administrator für Ihren SQL-Server bereit, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste. (Verwandte Richtlinie: a Microsoft Entra Administrator sollte für SQL-Server) bereitgestellt werden.

Schweregrad: hoch

Azure Synapse Arbeitsbereichauthentifizierungsmodus sollte nur Microsoft Entra ID werden

Description: Azure Synapse Arbeitsbereichauthentifizierungsmodus sollte nur Microsoft Entra ID Nur Microsoft Entra ID Authentifizierungsmethoden die Sicherheit verbessern, indem sichergestellt wird, dass Synapse-Arbeitsbereiche ausschließlich Microsoft Entra ID Identitäten für Authentifizierung. Weitere Informationen (Verwandte Richtlinie: Synapse-Arbeitsbereiche sollten nur Microsoft Entra ID Identitäten für die Authentifizierung verwenden).

Schweregrad: Mittel

Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden

Description: Defender for DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden

Schweregrad: Mittel

Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden

Description: Defender for DevOps hat Infrastruktur als Codesicherheitskonfigurationsprobleme in Repositorys gefunden. Die unten gezeigten Probleme wurden in Vorlagendateien erkannt. Um den Sicherheitsstatus der zugehörigen Cloudressourcen zu verbessern, empfiehlt es sich dringend, diese Probleme zu beheben. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden

Description: Defender for DevOps hat in Coderepositorys einen geheimen Schlüssel gefunden. Dies sollte sofort behoben werden, um eine Sicherheitsverletzung zu verhindern. In Repositorys gefundene Geheimnisse können nach außen dringen oder von Angreifern entdeckt werden, was zur Kompromittierung einer Anwendung oder eines Dienstes führen kann. Für Azure DevOps überprüft das Microsoft Security DevOps CredScan-Tool nur Builds, auf denen sie für die Ausführung konfiguriert wurde. Daher spiegeln die Ergebnisse möglicherweise nicht den vollständigen Status von Geheimnissen in Ihren Repositorys wider. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Cognitive Services-Konten müssen die Datenverschlüsselung aktivieren

Beschreibung: Diese Richtlinie überprüft alle Cognitive Services-Konten, die keine Datenverschlüsselung verwenden. Für jedes Konto mit Speicher sollten Sie die Datenverschlüsselung entweder mit vom Kunden verwalteten oder Microsoft verwalteten Schlüssel aktivieren. (Verwandte Richtlinie: Cognitive Services-Konten sollten die Datenverschlüsselung aktivieren).

Schweregrad: Niedrig

Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder Datenverschlüsselung aktivieren

Beschreibung: Diese Richtlinie überprüft jedes Cognitive Services-Konto, das keine Speicher- oder Datenverschlüsselung des Kunden verwendet. Verwenden Sie für jedes Cognitive Services-Konto mit Speicher den kundeneigenen Speicher, oder aktivieren Sie die Datenverschlüsselung. Richtet sich an Microsoft Cloud Security Benchmark. (Zugehörige Richtlinie: Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder Datenverschlüsselung aktivieren.)

Schweregrad: Niedrig

Diagnoseprotokolle im Azure Data Lake Store sollten aktiviert sein

Beschreibung: Aktivieren Sie Protokolle, und bewahren Sie sie für bis zu einem Jahr auf. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. (Verwandte Richtlinie: Diagnostische Protokolle im Azure Data Lake Store sollten aktiviert sein).

Schweregrad: Niedrig

Diagnoseprotokolle in Data Lake Analytics sollten aktiviert sein

Schweregrad: Niedrig

E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein

Description: Um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn eine potenzielle Sicherheitsverletzung in einem Ihrer Abonnements vorliegt, aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Defender for Cloud. (Verwandte Richtlinie: E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad sollten aktiviert sein).

Schweregrad: Niedrig

E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein

Description: Um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn ein potenzieller Sicherheitsverstoß in ihrem Abonnement vorliegt, legen Sie E-Mail-Benachrichtigungen an Abonnementbesitzer für Warnungen mit hohem Schweregrad in Defender for Cloud fest. (Verwandte Richtlinie: Die E-Mail-Benachrichtigung an den Abonnementbesitzer für Warnungen mit hohem Schweregrad sollte aktiviert sein).

Schweregrad: Mittel

Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein

Description: Azure Database for MySQL unterstützt die Verbindung Ihres Azure Database for MySQL Servers mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. (Verwandte Richtlinie: Ssl-Verbindung erzwingen sollte für MySQL-Datenbankserver aktiviert sein).

Schweregrad: Mittel

Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein

Description: Azure Database for PostgreSQL unterstützt die Verbindung Ihres Azure Database for PostgreSQL Servers mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. (Verwandte Richtlinie: Ssl-Verbindung erzwingen sollte für PostgreSQL-Datenbankserver aktiviert sein).

Schweregrad: Mittel

In Funktions-Apps sollten gefundene Sicherheitsrisiken behoben werden

Beschreibung: Überprüfung der Laufzeitsicherheit auf Funktionen überprüft Ihre Funktions-Apps auf Sicherheitsrisiken und macht detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer serverlosen Anwendungen erheblich verbessern und die Container vor Angriffen schützen. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Geo-redundante Sicherung sollte für Azure Database for MariaDB aktiviert sein

Description: mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Geo-redundante Sicherung sollte für Azure Database for MariaDB) aktiviert sein.

Schweregrad: Niedrig

Georedundante Sicherung sollte für Azure Database for MySQL aktiviert sein

Description: mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Geo-redundante Sicherung sollte für Azure Database for MySQL) aktiviert sein.

Schweregrad: Niedrig

Georedundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein

Description: mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoptionen bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung eines Servers zulässig. (Verwandte Richtlinie: Geo-redundante Sicherung sollte für Azure Database for PostgreSQL) aktiviert sein.

Schweregrad: Niedrig

GitHub Repositorys sollten die Codeüberprüfung aktiviert haben

Description: GitHub verwendet Codeüberprüfung, um Code zu analysieren, um Sicherheitsrisiken und Fehler im Code zu finden. Mit dem Codescannen können Sie Korrekturen für vorhandene Probleme in Ihrem Code suchen, selektieren und priorisieren. Durch das Codescannen wird außerdem verhindert, dass Entwickler neue Probleme einführen. Für Überprüfungen können bestimmte Tage und Uhrzeiten festgelegt werden, oder Überprüfungen können ausgelöst werden, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push. Wenn die Codeüberprüfung eine potenzielle Sicherheitsanfälligkeit oder einen Fehler im Code findet, zeigt GitHub eine Warnung im Repository an. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts zu beeinträchtigen. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

GitHub Repositorys sollten die Überprüfung von Dependabot aktiviert sein.

Description: GitHub sendet Dependabot-Benachrichtigungen, wenn Sicherheitsrisiken in Codeabhängigkeiten erkannt werden, die sich auf Repositorys auswirken. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Wenn Code von einem Paket abhängt, das eine Sicherheitslücke aufweist, kann diese anfällige Abhängigkeit eine Reihe von Problemen verursachen. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

GitHub Repositorys sollten geheime Überprüfung aktiviert sein

Description: GitHub überprüft Repositorys nach bekannten Arten von geheimen Schlüsseln, um betrügerische Verwendung von Geheimschlüsseln zu verhindern, die versehentlich an Repositorys begangen wurden. Die überprüfung des geheimen Schlüssels überprüft den gesamten Git-Verlauf auf allen Filialen, die im GitHub Repository vorhanden sind, nach geheimen Schlüsseln. Beispiele für Geheimnisse sind Token und private Schlüssel, die ein Dienstanbieter für die Authentifizierung ausstellen kann. Wenn ein Geheimnis in ein Repository eingefügt wird, kann jeder, der über Lesezugriff auf das Repository verfügt, das Geheimnis verwenden, um mit diesen Berechtigungen auf den externen Dienst zuzugreifen. Geheimnisse sollten in einem dedizierten, sicheren Speicherort außerhalb des Repositorys für das Projekt gespeichert werden. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Microsoft Defender für Azure SQL-Datenbank Server sollten aktiviert sein

Description: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Dazu zählen die Funktionen zur Ermittlung und Verringerung potenzieller Datenbanksicherheitsrisiken, Erkennung anomaler Aktivitäten, die eine Bedrohung für Ihre Datenbank darstellen können, und Ermittlung und Klassifizierung vertraulicher Daten.

Auf der Seite Defender Pläne werden Schutzmaßnahmen gegen diesen Plan in Rechnung gestellt. Wenn Sie keine Azure SQL-Datenbank Server in diesem Abonnement haben, werden Ihnen keine Kosten berechnet. Wenn Sie später Azure SQL-Datenbank Server in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen. Weitere Informationen finden Sie in den Preisen pro Region.

Weitere Informationen finden Sie in Introduction zum Microsoft Defender für SQL. (Verwandte Richtlinie: Azure Defender für Azure SQL-Datenbank Server sollte aktiviert sein).

Schweregrad: hoch

Microsoft Defender für DNS sollte aktiviert sein

Description: Microsoft Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen von Ihren Azure-Ressourcen kontinuierlich überwacht werden. Defender für DNS benachrichtigt Sie über verdächtige Aktivitäten auf der DNS-Ebene. Weitere Informationen finden Sie in Introduction zum Microsoft Defender für DNS. Das Aktivieren dieses Defender Plans führt zu Gebühren. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite Defender for Cloud: Defender for Cloud Pricing. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Microsoft Defender für relationale Open Source-Datenbanken sollten aktiviert sein

Description: Microsoft Defender für relationale Open-Source-Datenbanken erkennt ungewöhnliche und potenziell schädliche Versuche, auf Datenbanken zuzugreifen oder auszunutzen. Erfahren Sie mehr in Introduction zum Microsoft Defender für relationale Open-Source-Datenbanken.

Das Aktivieren dieses Plans führt zu Gebühren für den Schutz Ihrer relationalen Open Source-Datenbanken. Wenn Sie in diesem Abonnement über keine relationalen Open-Source-Datenbanken verfügen, fallen keine Gebühren an. Wenn Sie relationale Open-Source-Datenbanken in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Abrechnung der Gebühren beginnt ab diesem Zeitpunkt. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Microsoft Defender für Resource Manager sollte aktiviert sein

Description: Microsoft Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Defender for Cloud erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Weitere Informationen finden Sie in Introduction zum Microsoft Defender für Resource Manager. Das Aktivieren dieses Defender Plans führt zu Gebühren. Erfahren Sie mehr über die Preisdetails pro Region auf der Preisseite Defender for Cloud: Defender for Cloud Pricing. (Keine zugehörige Richtlinie)

Schweregrad: hoch

Microsoft Defender für SQL auf Computern sollte auf Arbeitsbereichen aktiviert sein

Description: Microsoft Defender für Server bietet Bedrohungserkennung und erweiterte Verteidigung für Ihre Windows- und Linux-Computer. Mit diesem Defender Plan, der für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Funktionalität von Microsoft Defender für Server, aber es fehlen einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, werden alle Computer, die an diesen Arbeitsbereich melden, für Microsoft Defender für Server in Rechnung gestellt , auch wenn sie sich in Abonnements befinden, ohne Defender Pläne aktiviert zu haben. Sofern Sie nicht auch Microsoft Defender für Server im Abonnement aktivieren, können diese Computer keinen Just-in-Time-VM-Zugriff, adaptive Anwendungssteuerelemente und Netzwerkerkennungen für Azure Ressourcen nutzen. Weitere Informationen finden Sie in Introduction zum Microsoft Defender für Server. (Keine zugehörige Richtlinie)

Schweregrad: Mittel

Microsoft Defender für SQL-Server auf Computern sollte aktiviert sein

Wenn Sie diese Empfehlung umsetzen, fallen Gebühren für den Schutz Ihrer SQL-Server auf Computern an. Wenn Sie in diesem Abonnement über keine SQL-Server auf Computer verfügen, fallen keine Gebühren an. Wenn Sie SQL-Server auf Computern in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt. Erfahren Sie mehr über Microsoft Defender für SQL-Server auf Computern. (Verwandte Richtlinie: Azure Defender für SQL-Server auf Computern sollte aktiviert sein).

Schweregrad: hoch

Microsoft Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert sein.

Description: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Es ermittelt und verringert potenzielle Datenbankschwachstellen, und es erkennt ungewöhnliche Aktivitäten, die auf eine Bedrohung für Ihre Datenbank hindeuten können. Microsoft Defender für SQL wird gemäß details pro Region abgerechnet. (Verwandte Richtlinie: Erweiterte Datensicherheit sollte auf Ihren SQL-Servern aktiviert sein.

Schweregrad: hoch

Microsoft Defender für SQL sollte für nicht geschützte SQL Managed Instances aktiviert sein

Description: Microsoft Defender für SQL ist ein einheitliches Paket, das erweiterte SQL-Sicherheitsfunktionen bereitstellt. Es ermittelt und verringert potenzielle Datenbankschwachstellen, und es erkennt ungewöhnliche Aktivitäten, die auf eine Bedrohung für Ihre Datenbank hindeuten können. Microsoft Defender für SQL wird gemäß details pro Region abgerechnet. (Verwandte Richtlinie: Advanced-Datensicherheit sollte auf SQL Managed Instance) aktiviert werden.

Schweregrad: hoch

Microsoft Defender für Speicher sollte aktiviert sein

Description: Microsoft Defender für den Speicher erkennt ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder auszunutzen.

Auf der Seite Defender Pläne werden Schutzmaßnahmen gegen diesen Plan in Rechnung gestellt. Wenn Sie keine Azure Storage Konten in diesem Abonnement haben, werden Ihnen keine Gebühren berechnet. Wenn Sie später Azure Storage Konten in diesem Abonnement erstellen, werden diese automatisch geschützt, und die Gebühren beginnen. Weitere Informationen finden Sie in den Preisen pro Region. Weitere Informationen finden Sie unter Introduction zum Microsoft Defender für Speicher. (Verwandte Richtlinie: Azure Defender für den Speicher sollte aktiviert sein).

Schweregrad: hoch

Network Watcher sollte aktiviert sein

Description: Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in und von Azure überwachen und diagnostizieren können. Mit der Überwachung auf Szenarioebene können Sie Probleme in einer End-to-End-Ansicht auf Netzwerkebene diagnostizieren. Netzwerkdiagnose- und Visualisierungstools, die mit Network Watcher verfügbar sind, helfen Ihnen, Ihr Netzwerk in Azure zu verstehen, zu diagnostizieren und Einblicke zu gewinnen. (Verwandte Richtlinie: Network Watcher sollte aktiviert sein).

Schweregrad: Niedrig

Private Endpunktverbindungen auf Azure SQL-Datenbank sollten aktiviert sein

Description: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure SQL-Datenbank ermöglicht wird. (Verwandte Richtlinie: Private-Endpunktverbindungen auf Azure SQL-Datenbank sollten aktiviert sein).

Schweregrad: Mittel

Privater Endpunkt muss für MariaDB-Server aktiviert sein

Description: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for MariaDB ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für MariaDB-Server aktiviert sein.

Schweregrad: Mittel

Privater Endpunkt muss für MySQL-Server aktiviert sein

Description: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for MySQL ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für MySQL-Server aktiviert sein).

Schweregrad: Mittel

Privater Endpunkt muss für PostgreSQL-Server aktiviert sein

Description: Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for PostgreSQL ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. (Verwandte Richtlinie: Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein.

Schweregrad: Mittel

Der Öffentliche Netzwerkzugriff auf Azure SQL-Datenbank sollte deaktiviert werden.

Description: Durch Deaktivieren der Eigenschaft für den Zugriff auf öffentliche Netzwerke wird die Sicherheit verbessert, indem sichergestellt wird, dass Auf Ihre Azure SQL-Datenbank nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. (Verwandte Richtlinie: Public-Netzwerkzugriff auf Azure SQL-Datenbank sollte deaktiviert werden).

Schweregrad: Mittel

Öffentlicher Netzwerkzugriff muss für Cognitive Services-Konten deaktiviert sein

Beschreibung: Diese Richtlinie überprüft jedes Cognitive Services-Konto in Ihrer Umgebung mit aktivierten öffentlichen Netzwerkzugriffen. Der öffentliche Netzwerkzugriff muss deaktiviert werden, sodass nur Verbindungen von privaten Endpunkten aus zulässig sind. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für Cognitive Services-Konten deaktiviert werden.

Schweregrad: Mittel

Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein

Description: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern und sicherzustellen, dass Auf Ihre Azure Database for MariaDB nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für MariaDB-Server deaktiviert werden.

Schweregrad: Mittel

Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein

Description: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for MySQL nur über einen privaten Endpunkt zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für MySQL-Server deaktiviert werden.

Schweregrad: Mittel

Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein

Description: Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern und sicherzustellen, dass Ihre Azure Database for PostgreSQL nur von einem privaten Endpunkt aus aufgerufen werden kann. Diese Konfiguration deaktiviert den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. (Verwandte Richtlinie: Der Zugriff auf öffentliche Netzwerke sollte für PostgreSQL-Server deaktiviert werden.

Schweregrad: Mittel

Redis Cache sollte den Zugriff nur über SSL zulassen.

Beschreibung: Aktivieren Sie nur Verbindungen über SSL zum Redis-Cache. Durch die Verwendung sicheren Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. (Verwandte Richtlinie: Only sichere Verbindungen mit Ihrem Azure Cache for Redis sollten aktiviert sein).

Schweregrad: hoch

Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden

Beschreibung: Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und macht alle Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und nicht geschützten vertraulichen Daten verfügbar. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. Weitere Informationen (verwandte Richtlinie: Sicherheitsrisiken in Ihren SQL-Datenbanken sollten behoben werden).

Schweregrad: hoch

Für verwaltete SQL-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.

Beschreibung: Die Sicherheitsrisikobewertung kann potenzielle Datenbankrisiken ermitteln, nachverfolgen und beheben. (Verwandte Richtlinie: Vulnerability Assessment sollte für SQL Managed Instance) aktiviert werden.

Schweregrad: hoch

Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden

Schweregrad: hoch

SQL-Server sollten über einen Microsoft Entra Administrator verfügen

Schweregrad: hoch

Für SQL Server-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.

Beschreibung: Die Sicherheitsrisikobewertung kann potenzielle Datenbankrisiken ermitteln, nachverfolgen und beheben. (Verwandte Richtlinie: Die Sicherheitsrisikobewertung sollte auf Ihren SQL-Servern aktiviert sein.

Schweregrad: hoch

Das Speicherkonto muss eine Private Link-Verbindung verwenden

Beschreibung: Private Links erzwingen eine sichere Kommunikation, indem sie private Konnektivität mit dem Speicherkonto bereitstellt (verwandte Richtlinie: Speicherkonto sollte eine private Linkverbindung verwenden).

Schweregrad: Mittel

Speicherkonten sollten zu neuen Azure Resource Manager Ressourcen migriert werden.

Description: Um von neuen Funktionen in Azure Resource Manager zu profitieren, können Sie vorhandene Bereitstellungen aus dem klassischen Bereitstellungsmodell migrieren. Resource Manager ermöglicht Sicherheitsverbesserungen wie: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Weitere Informationen (Verwandte Richtlinie: Storage-Konten sollten zu neuen Azure Resource Manager Ressourcen) migriert werden.

Schweregrad: Niedrig

Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern

Description: Überwachungsanforderung von Microsoft Entra ID (Microsoft Entra ID), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Microsoft Entra ID Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Microsoft Entra ID eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber gemeinsam genutztem Schlüssel und wird von Microsoft empfohlen. (Verwandte Richtlinie: Richtlinie)

Hinweis

Einige Azure Dienste erfordern weiterhin zugriff auf gemeinsam genutzte Schlüssel, um zu funktionieren. Beispielsweise verwendet Microsoft Configuration Manager (SCCM) Cloud Management Gateway (CMG) die Shared Key-basierte Autorisierung für die zugrunde liegenden Speicherkonten. Durch deaktivieren des Zugriffs auf gemeinsam genutzte Schlüssel auf Speicherkonten, die von CMG verwendet werden, wird die CMG-Funktionalität unterbrochen. Wenn Sie CMG oder andere Dienste verwenden, die vom Zugriff auf gemeinsam genutzte Schlüssel abhängig sind, nehmen Sie diese Speicherkonten von dieser Empfehlung aus, anstatt die Korrektur anzuwenden. Behalten Sie die zugehörigen Azure Policy im AuditModus anstelle von Deny für diese Konten bei, und dokumentieren Sie die geschäftliche Begründung für die Ausnahme.

Schweregrad: Mittel

Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken

Beschreibung: Schützen Sie Ihre Speicherkonten vor potenziellen Bedrohungen, indem Sie virtuelle Netzwerkregeln als bevorzugte Methode anstelle von IP-basierten Filtern verwenden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. (Verwandte Richtlinie: Speicherkonten sollten den Netzwerkzugriff mithilfe von Regeln für virtuelle Netzwerke einschränken).

Schweregrad: Mittel

In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.

Description: Um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn eine potenzielle Sicherheitsverletzung in einem Ihrer Abonnements vorliegt, legen Sie einen Sicherheitskontakt fest, um E-Mail-Benachrichtigungen von Defender for Cloud zu erhalten. (Zugehörige Richtlinie: Abonnements müssen eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme aufweisen)

Schweregrad: Niedrig

Transparent Data Encryption in SQL-Datenbanken sollte aktiviert sein

Description: Aktivieren transparent data encryption zum Schutz ruhender Daten und Erfüllen der Complianceanforderungen (verwandte Richtlinie: Transparent Data Encryption in SQL-Datenbanken sollte aktiviert sein).

Schweregrad: Niedrig

VM Image Builder-Vorlagen müssen eine private Verbindung verwenden

Beschreibung: Vorlagen für vm Image Builder überwachen, die kein virtuelles Netzwerk konfiguriert haben. Wenn ein virtuelles Netzwerk nicht konfiguriert ist, wird stattdessen eine öffentliche IP erstellt und verwendet, die Ressourcen direkt für das Internet verfügbar macht und die potenzielle Angriffsfläche erhöht. (Verwandte Richtlinie: VM Image Builder-Vorlagen sollten einen privaten Link verwenden).

Schweregrad: Mittel

Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein.

Description: Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land/Region, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. (Verwandte Richtlinie: Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein).

Schweregrad: Niedrig

Web Application Firewall (WAF) sollte für Azure Front Door Service Dienst aktiviert sein.

Schweregrad: Niedrig

AWS-Datenempfehlungen

Einstellung "Beim Beenden löschen" sollte für angefügte EBS-Volumes aktiviert sein

Description: Defender for Cloud ein fehlendes "Delete on termination setting" EBS volume attached instance identifiziert. Mit dieser Einstellung wird der primäre Speicher der Instanz beim Beenden automatisch entfernt. Ohne dies können verwaiste Volumes vertrauliche Daten aufbewahren, wodurch das Risiko nicht autorisierter Zugriffe und Complianceprobleme erhöht wird.

Schweregrad: Niedrig

AWS Key Management Service-Verschlüsselung sollte für EventBridge Pipe konfiguriert werden

Beschreibung: Konfigurieren der KMS-Verschlüsselung (AWS Key Management Service) für EventBridge Pipe stellt sicher, dass ruhende Daten mithilfe von kundengesteuerten Schlüsseln verschlüsselt werden, wodurch erweiterte Sicherheits- und Compliancefunktionen bereitgestellt werden. Diese Maßnahme ermöglicht eine bessere Verwaltung und Drehung von Verschlüsselungsschlüsseln gemäß internen Richtlinien oder behördlichen Anforderungen. Wenn dies nicht implementiert ist, werden die Daten mithilfe von AWS verwalteten Schlüsseln verschlüsselt, die möglicherweise keine strengen Sicherheits- oder Compliancestandards erfüllen. Diese Empfehlung ist besonders wichtig für Organisationen, die vertrauliche oder regulierte Daten behandeln, z. B. personenbezogene Informationen (PII), Finanzdatensätze oder geistiges Eigentum. Um dies zu implementieren, konfigurieren Sie das EventBridge Pipe so, dass ein vom Kunden verwalteter KMS-Schlüssel in der AWS Management Console oder über die AWS CLI verwendet wird.

Schweregrad: Niedrig

AWS Key Management Service-Verschlüsselung sollte für SageMaker-Domäne aktiviert sein

Description: Defender for Cloud identifiziert, dass Ihre SageMaker-Domäne AWS-verwaltete KMS-Schlüssel anstelle von vom Kunden verwalteten Schlüsseln verwendet. Die AWS KMS-Verschlüsselung schützt ruhende Daten, indem Sie die Schlüsselverwaltung steuern können, einschließlich Drehung und Zugriff, um die Einhaltung strenger Sicherheitsanforderungen sicherzustellen. Ohne vom Kunden verwaltete Schlüssel können vertrauliche Daten ein höheres Risiko für nicht autorisierten Zugriff und Nichtcompliance aufweisen. Erfahren Sie mehr.

Schweregrad: Niedrig

AWS Key Management Service-Verschlüsselung sollte auf SageMaker-Endpunkten aktiviert werden

Description: Defender for Cloud identifizierte einen Mangel an AWS Key Management Service (KMS)-Verschlüsselung auf Sagemaker-Endpunkten. DIE KMS-Verschlüsselung schützt vertrauliche Daten, indem Verschlüsselungsschlüssel verwaltet werden, einschließlich ihrer Lebenszyklusaktivitäten wie Generierung, Drehung und Löschung. Ohne KMS aktiviert, riskieren Endpunkte die Gefährdung von Datenschutzverletzungen und unbefugtem Zugriff. Erfahren Sie mehr.

Schweregrad: Mittel

Zugriffsprotokollierung sollte für LightSail-Buckets aktiviert sein

Description: Defender for Cloud identifiziert, dass die Zugriffsprotokollierung nicht in Ihrem LightSail-Bucket konfiguriert ist. Access logging records activities perform on the bucket and helps verify that only authorized actions occur. Ohne ihn kann nicht autorisierter Zugriff unerkannt werden, wodurch die Sichtbarkeit der Sicherheit verringert und forensische Untersuchungen und Die Reaktion auf Vorfälle erschwert werden.

Schweregrad: Niedrig

Export von Überwachungsprotokollen sollte auf Amazon DocumentDB-Clustern aktiviert sein

Description: Defender for Cloud identifiziert, dass der Überwachungsprotokollexport nach CloudWatch in Amazon DocumentDB-Clustern deaktiviert ist. Überwachungsprotokolle erfassen wichtige Informationen zu Benutzer- und Systemaktivitäten, die die forensische Analyse während Sicherheitsvorfällen unterstützen. Ohne diese Informationen besteht ein erhöhtes Risiko, dass nicht autorisierte Aktionen möglicherweise nicht erkannt werden, möglicherweise die Reaktion auf Vorfälle und die Behebung verzögern.

Schweregrad: Niedrig

Automatische Nebenversionsupgrades sollten auf MemoryDB-Clustern aktiviert werden.

Description: Defender for Cloud identifizierten MemoryDB-Cluster ohne automatische Upgrades der Nebenversion aktiviert. MemoryDB-Cluster basieren auf diesen Upgrades, um wichtige Sicherheitspatches und kleinere Softwareverbesserungen automatisch zu installieren. Ohne diese Automatisierung könnten Cluster anfällig für Sicherheitsprobleme bleiben. Das Aktivieren des Upgradeprozesses trägt dazu bei, einen robusten Sicherheitsstatus aufrechtzuerhalten.

Schweregrad: Niedrig

Automatisierte Sicherungsrichtlinien sollten auf AlloyDB-Clustern aktiviert werden

Description: Defender for Cloud identifiziert, dass die automatisierte Sicherungsrichtlinie für den AlloyDB-Cluster deaktiviert ist, was bedeutet, dass tägliche Momentaufnahmen für die Wiederherstellung nicht automatisch erstellt werden. Ohne diese Sicherungen werden Ihre Cluster Risiken wie Datenverlust durch versehentliche Löschung oder Ransomware ausgesetzt, was die Notfallwiederherstellung und Complianceanforderungen gefährden könnte.

Schweregrad: Mittel

Automatische Momentaufnahmeaufbewahrung sollte für Redshift-Cluster aktiviert sein

Description: Defender for Cloud festgestellt, dass die automatische Aufbewahrung von Momentaufnahmen für Ihren Amazon Redshift-Cluster nicht aktiviert ist. Automatisierte Momentaufnahmen bieten Point-in-Time-Wiederherstellungsfunktionen für Ihr Data Warehouse. Ohne ordnungsgemäße Aufbewahrung können kritische Wiederherstellungsdaten verloren gehen, wodurch das Risiko eines Datenverlusts durch versehentliche Löschungen, Beschädigungen oder Ransomware-Angriffe erhöht und möglicherweise Complianceanforderungen verletzt werden.

Schweregrad: Niedrig

Automatische Sicherungen sollten für Elasticache-Cluster aktiviert sein

Description: Defender for Cloud identifiziert, dass automatische Sicherungen für Ihre Elasticache-Cluster nicht aktiviert sind. Elasticache-Cluster sind wichtige Cacheressourcen, die ohne regelmäßige Sicherungen anfällig für Datenverluste durch versehentliche oder böswillige Löschungen sind. Dies stellt ein Risiko für erweiterte Ausfallzeiten und kompromittierte Datenintegrität dar, was sich möglicherweise auf die Gesamtsicherheit des Diensts auswirkt. Es wird empfohlen, automatische Sicherungen zu aktivieren, um Ihre Daten zu schützen und die Betriebskontinuität aufrechtzuerhalten.

Schweregrad: Mittel

Automatische Sicherungen sollten für serverlose Elasticache aktiviert sein

Description: Defender for Cloud festgestellt, dass automatische Sicherungen für Ihren serverlosen ElastiCache nicht aktiviert sind. Ohne regelmäßige Momentaufnahmen fehlt Ihr ElastiCache an einem Wiederherstellungspunkt, um Daten in Fällen versehentlicher oder böswilliger Löschung wiederherzustellen, wodurch das Risiko eines unwiederbringlichen Datenverlusts erhöht wird. Durch aktivieren von automatischen Sicherungen werden potenzielle Unterbrechungen minimiert und die Integrität Ihrer zwischengespeicherten Daten geschützt.

Schweregrad: Mittel

Automatische Sicherheitsupdates sollten auf RedisOSS ElastiCache-Clustern aktiviert werden

Description: Defender for Cloud festgestellt, dass das automatische Upgrade in Ihren RedisOSS ElastiCache-Clustern deaktiviert ist. Das automatische Upgrade installiert automatisch die neuesten Sicherheitspatches und Softwareupdates, um Clusterknoten vor bekannten Sicherheitsrisiken zu schützen. Dies stellt ein Risiko dar, indem Sie Ihre Cluster offen für Cyberangriffe lassen, die veraltete Software ausnutzen. Erfahren Sie mehr.

Schweregrad: Niedrig

Automatische Momentaufnahmen sollten für MemoryDB-Cluster aktiviert sein

Description: Defender for Cloud identifizierten MemoryDB-Cluster ohne automatische Snapshotkonfiguration. Die automatische Momentaufnahme behält Ressourcenmomentaufnahmen für eine bestimmte Dauer automatisch bei und stellt sicher, dass wichtige Wiederherstellungsdaten nach Vorfällen verfügbar sind. Ohne dies besteht ein erhöhtes Risiko für Datenverlust durch versehentliche Löschung oder Beschädigung.

Schweregrad: Mittel

Die Sicherungsaufbewahrung sollte für den relationalen LightSail-Datenbankdienst aktiviert sein.

Description: Defender for Cloud identifiziert, dass die Sicherungsaufbewahrung in Ihrem relationalen LightSail-Datenbankdienst deaktiviert ist. Die Sicherungsaufbewahrung speichert im Laufe der Zeit automatisch Sicherungen Ihrer Datenbank, sodass Sie Daten im Falle versehentlicher Löschung oder böswilliger Beschädigung wiederherstellen können. Ohne die Wiederherstellung wird die Wiederherstellung schwieriger, und Sie riskieren, up-to-Datumsdaten zu verlieren, wenn ein Angreifer Ihre Datenbank kompromittiert.

Schweregrad: Mittel

Allgemeine Besitzer- oder Editorrollen sollten aus Dienstkonten in BigQuery-Datasets entfernt werden.

Description: Defender for Cloud identifizierten Dienstkonten mit übermäßigen Berechtigungen für BigQuery-Datasets. Die Auswertung ermittelte Dienstkonten haben allgemeine Rollen wie BESITZER, WRITER oder Rollen/bigquery.admin zugewiesen, die mehr Zugriff als erforderlich bieten. Dies stellt ein Risiko für laterale Bewegungen und Datenexfiltration dar, wenn diese Anmeldeinformationen kompromittiert werden. Es ist wichtig, Berechtigungen auf Rollen einzuschränken, die den funktionalen Anforderungen des Dienstkontos entsprechen, z. B. "BigQuery Data Viewer" oder "BigQuery Data Editor"

Schweregrad: hoch

Clusterendpunktverschlüsselung sollte für DAX-Cluster aktiviert sein

Description: Defender for Cloud festgestellt, dass die Clusterendpunktverschlüsselung in Clustern nicht aktiviert ist. Die Clusterendpunktverschlüsselung schützt Daten während der Übertragung zwischen Clients und dem Cluster. Ohne sie können vertrauliche Informationen von nicht autorisierten Parteien abgefangen oder darauf zugegriffen werden, was die Vertraulichkeit und Integrität der Daten potenziell beeinträchtigt. Aktivieren Sie die Verschlüsselung, um Daten während der Übertragung zu sichern und das Risiko von Cyberangriffen zu verringern.

Schweregrad: Mittel

Description: Defender for Cloud identifiziert, dass Ihr Amazon SNS-Thema für den kontoübergreifenden Zugriff konfiguriert ist, sodass externe AWS-Konten damit interagieren können. Der kontoübergreifende Zugriff bedeutet, dass Benutzer außerhalb Ihrer vertrauenswürdigen Umgebung Ihre Themen veröffentlichen oder abonnieren können. Dies stellt ein Risiko dar, indem potenziell vertrauliche Benachrichtigungen unbefugten Parteien und Missbrauch ausgesetzt werden. Das Einschränken des Zugriffs trägt dazu bei, Ihr Thema vor externen Bedrohungen zu schützen.

Schweregrad: Mittel

Die vom Kunden verwaltete KMS-Verschlüsselung sollte auf Amazon Bedrock Agents aktiviert sein.

Description: Defender for Cloud identifiziert, dass benutzerdefinierte Amazon Bedrock-Modelle ohne vom Kunden verwaltete KMS-Verschlüsselung bereitgestellt werden. Amazon Bedrock Custom Models können erstellt oder importiert werden, ohne explizit einen vom Kunden verwalteten Schlüssel auszuwählen, was dazu führt, dass Modellartefakte stattdessen mit AWS-verwalteten Schlüsseln verschlüsselt werden. Dies stellt ein Risiko dar, indem die Kontrolle über die Schlüsselrotation, strenge Zugriffsrichtlinien und Überwachungstransparenz reduziert wird, was potenziell zu Compliance- und Sicherheitsrisiken führt.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für CodeArtifact-Domänen aktiviert sein

Description: Defender for Cloud identifiziert, dass kundenverwaltete Schlüssel (CMKs) für Ihre Domänen nicht aktiviert sind. CMKs sind Verschlüsselungsschlüssel, die Sie steuern, einschließlich des Lebenszyklus, der Drehung und der Zugriffsrichtlinien. Ohne CMK-Konfiguration verlassen sich Ihre Domänen ausschließlich auf vom Anbieter verwaltete Schlüssel, reduzieren die Aufsicht und lassen potenziell vertrauliche Daten anfälliger für nicht autorisierten Zugriff.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für Datastream-Datenströme aktiviert werden.

Description: Defender for Cloud identifizierten Datenstreamdatenstromdatenströme, die keine Customer-Managed Verschlüsselungsschlüssel (ENCRYPTION Keys, CMEK) verwenden. Diese Bewertung bewertet, ob Ihre Datastream-Datenströme CMEK aktiviert haben, ein Steuerelement, das die direkte Schlüsselrotation und Zugriffsrichtlinienverwaltung zulässt. Ohne CMEK erfüllt die von Google Cloud bereitgestellte automatische Verschlüsselung möglicherweise nicht die strengen Anforderungen für vertrauliche Daten, sodass Ihre Workload potenziellen Schlüsselkompromittierungen oder nicht autorisiertem Zugriff ausgesetzt bleibt. Weitere Informationen: https://cloud.google.com/datastream/docs

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für ElastiCache-Cluster aktiviert sein

Description: Defender for Cloud identifizierte ElastiCache-Cluster, die keine CMK-Verschlüsselung (Customer Managed Key) aufweisen. CMK-Verschlüsselung verwendet benutzerdefinierte Schlüssel, die eine kontrollierte Drehung und erhöhte Sicherheit im Vergleich zu Standardschlüsseln ermöglichen. Dies stellt ein Risiko dar, da Ihre Cluster potenziell nicht autorisierten Datenzugriffs- und Complianceproblemen ausgesetzt sind. Erfahren Sie mehr.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für GCP-Spanner-Datenbanken aktiviert sein

Description: Defender for Cloud identifizierten Datenbanken, die nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) konfiguriert sind. CMEK bezieht sich auf Verschlüsselungsschlüssel, die von Ihrer Organisation erstellt und verwaltet werden, im Gegensatz zu plattformverwalteten Schlüsseln. Ohne CMEK erfüllen Datenbanken möglicherweise keine behördlichen oder richtlinienrechtlichen Anforderungen, wodurch Ihre Daten möglicherweise nicht autorisierten Zugriffs- oder Complianceproblemen ausgesetzt werden, da die Kontrolle über die Schlüssellebenszyklusverwaltung reduziert wurde.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für Den Speicherspeicher für Redis-Instanzen aktiviert sein.

Description: Defender for Cloud identifiziert, dass vom Kunden verwaltete Verschlüsselungsschlüssel für Redis-Instanzen nicht für "Memorystore" aktiviert sind. Diese Auswertung überprüft, ob Verschlüsselungsvorgänge ausschließlich von Google verwaltet werden, wodurch die Schlüsselrotation, die Überwachungsprotokollierung und die zeitnahe Verbesserung der Zugriffssteuerung eingeschränkt werden. Solche Einschränkungen stellen ein Risiko dar, da die Bemühungen im Rahmen des Datenschutzes und der Compliance potenziell beeinträchtigt werden, da Organisationen keine explizite Eigentümerschaft und Governance gegenüber ihren Verschlüsselungsschlüsseln haben.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für Pub/Sub-Themen aktiviert sein

Description: Defender for Cloud identifizierten Pub/Sub-Themen mit standardmäßigen von Google verwalteten Verschlüsselungsschlüsseln anstelle von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK). CMEK ermöglicht es Ihnen, Schlüsseldrehungs- und Zugriffsrichtlinien zu steuern, während die Abhängigkeit von Standardschlüsseln die Kontrolle begrenzt und das Risiko nicht autorisierter Zugriffe und Compliance-Probleme erhöhen kann. Erfahren Sie mehr.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für Vertex AI Datastore aktiviert werden.

Description: Defender for Cloud identifiziert, dass vertex AI Datastore nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMK) konfiguriert ist, was bedeutet, dass sie auf die von Google verwaltete Standardverschlüsselung angewiesen ist. Dies stellt ein Risiko dar, da GCP-verwaltete Schlüssel es Ihnen nicht ermöglichen, Drehungsrichtlinien zu steuern, präzise Zugriffsberechtigungen festzulegen oder die Verwendung von Überwachungsschlüsseln zu überwachen, die möglicherweise keine strengen Compliance- und Datenhoheitsanforderungen in regulierten Branchen erfüllen.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten für das Vertex-KI-Modul aktiviert sein.

Description: Defender for Cloud identifiziert, dass die Instanz des Vertex AI-Moduls nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMK) konfiguriert ist, was bedeutet, dass sie auf die von Google verwaltete Standardverschlüsselung angewiesen ist. Dies stellt ein Risiko dar, da GCP-verwaltete Schlüssel es Ihnen nicht ermöglichen, Drehungsrichtlinien zu steuern, präzise Zugriffsberechtigungen festzulegen oder die Verwendung von Überwachungsschlüsseln zu überwachen, die möglicherweise keine strengen Compliance- und Datenhoheitsanforderungen in regulierten Branchen erfüllen.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten auf AlloyDB-Clustern aktiviert werden.

Description: Defender for Cloud identifiziert, dass der AlloyDB-Cluster nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMK) konfiguriert ist, was bedeutet, dass er auf die von Google verwaltete Standardverschlüsselung angewiesen ist. Dies stellt ein Risiko dar, da GCP-verwaltete Schlüssel es Ihnen nicht ermöglichen, Drehungsrichtlinien zu steuern, präzise Zugriffsberechtigungen festzulegen oder die Verwendung von Überwachungsschlüsseln zu überwachen, die möglicherweise keine strengen Compliance- und Datenhoheitsanforderungen in regulierten Branchen erfüllen.

Schweregrad: Niedrig

Description: Defender for Cloud identifiziert, dass Ihre AWS-SNS-Themen die Standardverschlüsselung anstelle von vom Kunden verwalteten Schlüsseln (CMK) verwenden. MIT DER CMK-Verschlüsselung können Sie wichtige Richtlinien und die Verwendung von Schlüsseln steuern und einen verbesserten Schutz vor unbefugtem Zugriff bieten und die Einhaltung interner und gesetzlicher Sicherheitsstandards unterstützen. Diese Konfigurationsaufsicht kann sensible Daten zu erhöhten Risiken verfügbar machen.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten in Artefaktregistrierungsrepositorys aktiviert werden.

Description: Defender for Cloud identifiziert, dass Repositorys mithilfe von plattformverwalteten Verschlüsselungsschlüsseln gesichert werden, anstelle von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK). CMEK sind Schlüssel, die Sie steuern, bieten erweiterte Lebenszyklusverwaltung und strengere Zugriffssteuerung. Die Verwendung von plattformverwalteten Schlüsseln erhöht das Risiko von Sicherheitsrisiken im Datenschutz und erfüllt möglicherweise keine Complianceanforderungen. Es wird empfohlen, CMEK so zu konfigurieren, dass die Verschlüsselungssicherheit und -kontrolle verbessert wird.

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten auf Filestore-Instanzen aktiviert sein

Description: Defender for Cloud identifizierte Filestore-Instanzen ohne Customer-Managed Verschlüsselungsschlüssel (CMEK). Dies stellt ein Risiko dar, dass die Kontrolle über Verschlüsselungsschlüsselrotation und Zugriffsrichtlinien in Cloud KMS verringert wird, was die Einhaltung gesetzlicher und organisatorischer Standards beeinträchtigen könnte. Weitere Informationen: https://cloud.google.com/filestore/docs/cmek

Schweregrad: Niedrig

Vom Kunden verwaltete Verschlüsselungsschlüssel sollten auf MemoryDB-Clustern aktiviert sein

Description: Defender for Cloud festgestellt, dass der MemoryDB-Cluster keine vom Kunden verwalteten Schlüssel (Customer Managed Keys, CMK) für die Verschlüsselung verwendet. Die Verwendung von vom Kunden verwalteten Schlüsseln (CUSTOMER Managed Keys, CMK) ermöglicht eine erweiterte Kontrolle über den Schlüssellebenszyklus und eine detaillierte Überwachung, um sicherzustellen, dass verschlüsselungspraktiken den Complianceanforderungen entsprechen.

Schweregrad: Niedrig

Ruhende Datenverschlüsselung sollte auf ElastiCache-Clustern aktiviert sein

Description: Defender for Cloud festgestellt, dass die ruhende Verschlüsselung auf Ihrem ElastiCache-Cluster nicht aktiviert ist. Die Verschlüsselung im Ruhezustand wandelt gespeicherte Daten in ein kryptografisch sicheres Format um, wobei Informationen geschützt werden, auch wenn der zugrunde liegende Speicher verletzt wird. Ohne diesen Schutz können nicht autorisierte Zugriffe oder Datenmanipulationen auftreten, die Compliance und die allgemeine Systemintegrität gefährden.

Schweregrad: Mittel

Datenbankablageschutz sollte für GCP-Spanner-Datenbanken aktiviert sein

Description: Defender for Cloud festgestellt, dass der Schutz vor Datenbankabbruch für Ihre Datenbanken deaktiviert ist. Der Schutz vor Datenbankabbruch verhindert versehentliche oder nicht autorisierte Löschungen, indem vor dem Entfernen einer Datenbank zusätzliche Bestätigung erforderlich ist. Ohne diesen Schutz werden Ihre kritischen Daten potenziellen Verlusten durch menschliche Fehler oder fehlkonfigurierte Automatisierung ausgesetzt.

Schweregrad: Mittel

Standardsicherungszeitplan für neue Datenbanken sollte aktiviert sein

Beschreibung: Das Aktivieren eines Standardmäßigen Sicherungszeitplans für neue Spanner-Instanz gewährleistet den automatisierten Datenschutz direkt bei der Erstellung der Datenbanken. Dies hilft bei der Aufrechterhaltung konsistenter Sicherungen ohne manuelle Eingriffe und reduziert das Risiko eines menschlichen Fehlers. Regelmäßige Sicherungen bieten Wiederherstellungsoptionen bei versehentlicher Löschung, Beschädigung oder Systemfehlern. Wenn der Standardmäßige Sicherungszeitplan nicht aktiviert ist, bleiben neue Datenbanken möglicherweise ungeschützter und anfälliger, wodurch das Risiko dauerhafter Datenverluste erhöht wird. Es wird empfohlen, diese Einstellung zu aktivieren, um die Ausfallsicherheit von Datenbanken und die Geschäftskontinuität zu verbessern.

Schweregrad: Mittel

Für Redshift-Cluster sollten definierte Momentaufnahmenaufbewahrungszeiträume erzwungen werden.

Description: Defender for Cloud die unbestimmte Aufbewahrung in Amazon Redshift-Momentaufnahmen identifiziert, bei denen Momentaufnahmen so konfiguriert sind, dass sie nie ablaufen (Aufbewahrungszeitraum auf -1festgelegt). Dies stellt ein Risiko dar, unnötige Speicherkosten zu sammeln und eine längere Exposition potenziell sensibler Daten zu vermeiden. Durch das Definieren eines Aufbewahrungszeitraums wird sichergestellt, dass veraltete Momentaufnahmen automatisch gelöscht werden, wodurch sowohl finanzielle Auswirkungen als auch Sicherheitsrisiken reduziert werden.

Schweregrad: Niedrig

Der Löschschutz sollte auf Amazon DocumentDB-Clustern aktiviert sein.

Description: Defender for Cloud festgestellt, dass der Löschschutz in Ihren Amazon DocumentDB-Clustern nicht aktiviert ist. Der Löschschutz ist ein Schutz, der das versehentliche oder böswillige Entfernen von Datenbankclustern verhindert. Ohne dies sind Ihre DocumentDB-Cluster risiken nicht autorisierter Löschungen ausgesetzt, was zu erheblichen Ausfallzeiten und Betriebsunterbrechungen führt. Aktivieren Sie den Löschschutz, um die Sicherheit und Verfügbarkeit Ihrer Daten aufrechtzuerhalten.

Schweregrad: Mittel

Der Löschschutz sollte in Firestore-Datenbanken aktiviert sein.

Description: Defender for Cloud identifizierte Firestore-Datenbanken mit deaktivierten Löschschutz in Firestore. Der Löschschutz verhindert, dass Datenbanken entfernt werden, es sei denn, dies ist explizit deaktiviert. Ohne diesen Schutz können versehentliche oder böswillige Löschungen zu unwiderruflichen Datenverlusten und Betriebsunterbrechungen in Produktionsumgebungen führen.

Schweregrad: Mittel

Verschlüsselung während der Übertragung sollte auf MemoryDB-Clustern aktiviert sein

Description: Defender for Cloud identifiziert, dass die TLS-Verschlüsselung (Transport Layer Security) auf Ihrem MemoryDB-Cluster nicht aktiviert ist. TLS sichert Daten und Clientkommunikation, indem übertragene Informationen verschlüsselt werden. Ohne TLS aktiviert, sind Daten während der Übertragung anfällig für Abfangen und Änderungen durch nicht autorisierte Parteien.

Schweregrad: Mittel

Verschlüsselung während der Übertragung sollte im clusterbasierten Cache aktiviert werden

Description: Defender for Cloud festgestellt, dass die Verschlüsselung während der Übertragung nicht in Ihrem clusterbasierten Cache aktiviert ist, der von ElastiCache verwendet wird. Die Verschlüsselung bei der Übertragung schützt Daten, während sie zwischen Cacheknoten und Clientanwendungen verschoben wird. Ohne sie können vertrauliche Informationen während der Übertragung an Abfangen oder Manipulationen ausgesetzt werden, wodurch ein Risiko für Datenschutzverletzungen und die Einhaltung bewährter Sicherheitsmethoden entsteht.

Schweregrad: Mittel

Verschlüsselung mit AWS Key Management Service sollte auf EventBridge Event Bus aktiviert werden

Description: Defender for Cloud identifiziert, dass Ihr EventBridge Event Bus keinen vom Kunden verwalteten AWS Key Management Service-Schlüssel für die Datenverschlüsselung verwendet. Vom Kunden verwaltete KMS-Schlüssel bieten eine verbesserte Steuerung mit Schlüsseldrehungsfeatures, die für den Schutz vertraulicher Daten von entscheidender Bedeutung sind. Ohne diese Konfiguration basiert Ihr Event Bus auf VON AWS verwalteten Schlüsseln, die möglicherweise keine strengen Compliance- und Sicherheitsstandards erfüllen.

Schweregrad: Niedrig

Sicherstellen, dass AWS Backup-Pläne regionsübergreifende oder kontoübergreifende Kopieraktionen umfassen

Beschreibung: AWS Backup-Pläne ohne regionsübergreifende oder kontoübergreifende Kopieraktionen speichern Wiederherstellungspunkte an einem einzigen Ort und erhöhen das Risiko von Datenverlust aufgrund regionaler Ausfälle, Kontokompromittierung oder Ransomware. Durch das Konfigurieren von Kopieraktionen wird die Ausfallsicherheit der Sicherung verbessert, indem sichergestellt wird, dass Wiederherstellungspunkte in einer unabhängigen Sicherheits- und Verfügbarkeitsgrenze beibehalten werden.

Schweregrad: Niedrig

Die explizite Außerkraftsetzung der Aufforderung sollte für Amazon Bedrock Agents konfiguriert werden.

Description: Defender for Cloud identifizierte einstellungen für unkontrollierte Aufforderungsüberschreibungen in Amazon Bedrock Agents. Diese Agents, die generative KI-Aufgaben ausführen, sind gefährdet, wenn steuerelemente zur Eingabeaufforderung außer Kraft setzen, falsch konfiguriert sind und unsichere Anweisungen zur Umgehung etablierter Sicherheitsmechanismen zulassen. Diese Fehlkonfiguration kann zu unvorhersehbarem KI-Verhalten und potenziellen Sicherheits- oder Complianceverletzungen führen, wodurch der vertrauenswürdige Betrieb Ihrer Dienste unterminiert wird.

Schweregrad: Mittel

Die In-Transit-Verschlüsselung sollte für Den Speicherspeicher für Redis-Instanzen aktiviert sein.

Description: Defender for Cloud identifiziert, dass die Verschlüsselung während der Übertragung für Redis-Instanzen im Speicherspeicher deaktiviert ist. Die Verschlüsselung während der Übertragung, die in der Regel über TLS bereitgestellt wird, schützt Daten, während sie über das Netzwerk übertragen werden. Ohne sie werden vertrauliche zwischengespeicherte Daten im Nur-Text übertragen, die sie für Abfangen, Datenverkehrsüberprüfung und Man-in-the-Middle-Angriffe verfügbar machen, die die Vertraulichkeit und Integrität von Daten beeinträchtigen können.

Schweregrad: Mittel

KmS managed key configuration should be enabled for SQS server side encryption

Description: Defender for Cloud identifiziert, dass Ihre SQS-Warteschlange nicht für die Verwendung von kmS-verwalteten Schlüsseln für die serverseitige Verschlüsselung konfiguriert ist. KMS-verwaltete Schlüssel werden vollständig vom Schlüsselverwaltungsdienst gesteuert und bieten eine verbesserte Überwachung des Schlüssellebenszyklus und der Zugriffsüberwachung. Ohne diese Steuerelemente wird das Risiko einer nicht autorisierten Schlüsselverwendung und der eingeschränkte Schutz vertraulicher Daten im Ruhezustand erhöht.

Schweregrad: Mittel

Knowledge Base-Feldzuordnung sollte auf Amazon Bedrock sicher konfiguriert werden

Description: Defender for Cloud haben falsch konfigurierte Feldzuordnungen in Amazon Bedrock Knowledge Bases identifiziert. Dies stellt ein Risiko dar, dass Einbettungen beschädigt werden und ungenaue Dokumentabrufe verursacht werden, was möglicherweise zu unsicheren oder irreführenden Ausgaben in RAG-Pipelines (Retrieval Augmented Generation) führt, wenn Zuordnungen für Vektor-, Text- und Metadatenfelder unvollständig oder falsch sind.

Schweregrad: hoch

LockConfiguration sollte im Sicherungstresor aktiviert sein

Description: Defender for Cloud identifiziert, dass "LockConfiguration" im Sicherungstresor nicht aktiviert ist. LockConfiguration verhindert nicht autorisierte Änderungen oder Löschungen wichtiger Sicherungseinstellungen, um sicherzustellen, dass Wiederherstellungspunkte sicher bleiben. Ohne dieses Steuerelement besteht das Sicherheitstresorrisiko bei versehentlichen oder böswilligen Änderungen, die die Datenresilienz und die Sicherungsintegrität gefährden können. Erfahren Sie mehr.

Schweregrad: Mittel

Verwaltete Administratoranmeldeinformationen sollten für Amazon Redshift-Cluster aktiviert sein

Description: Defender for Cloud identifiziert, dass Ihre Amazon Redshift-Cluster keine verwalteten Administratoranmeldeinformationen verwenden. Verwaltete Administratoranmeldeinformationen umfassen das sichere Speichern administrativer Anmeldeinformationen im AWS Secrets Manager mit automatischer Drehung, wodurch das Risiko der Gefährdung von Anmeldeinformationen minimiert wird. Ohne diese Einrichtung besteht ein erhöhtes Risiko eines nicht autorisierten Datenbankzugriffs und potenzieller Datenschutzverletzungen.

Schweregrad: Mittel

Objektversionsverwaltung sollte in LightSail-Buckets aktiviert sein

Description: Defender for Cloud identifiziert, dass die Objektversionsverwaltung im LightSail-Bucket deaktiviert ist. Die Objektversionsverwaltung speichert und speichert historische Kopien von Objekten, die für die Wiederherstellung von Daten aus versehentlichen Löschungen, Änderungen oder Beschädigungen unerlässlich sind. Ohne dieses Feature können nicht autorisierte Änderungen oder Fehler ihre Datenintegrität dauerhaft gefährden.

Schweregrad: Niedrig

Parser-Außerkraftsetzung sollte für Amazon Bedrock Agents deaktiviert werden

Description: Defender for Cloud identifizierte eine benutzerdefinierte Parserüberschreibungseinstellung (ParserMode = OVERRIDDEN) in Amazon Bedrock Agents. Benutzerdefinierte Parserüberschreibungen ändern den Standardanalysemechanismus, um bestimmte Ausgabeanforderungen zu erfüllen, kann jedoch die Betriebskomplexität erhöhen, was möglicherweise zu Analysefehlern führt oder Sicherheitsrisiken offenlegt, wenn sie nicht streng verwaltet werden. Es wird empfohlen, diese Außerkraftsetzung zu deaktivieren, es sei denn, die strenge Ausgabeüberprüfung ist unerlässlich.

Schweregrad: hoch

Point-in-Time-Wiederherstellung sollte für Firestore-Datenbanken aktiviert sein

Description: Defender for Cloud identifizierte Firestore-Datenbanken mit deaktivierter POINT-in-Time-Wiederherstellung (PITR). PITR ist ein Feature, das die Datenwiederherstellung von einem bestimmten Zeitstempel innerhalb des Aufbewahrungszeitraums ermöglicht, schutz vor versehentlichen Löschungen und fehlerhaften Schreibvorgängen. Ohne PITR besteht das Risiko erweiterter Datenverluste und potenzieller Herausforderungen bei der Wiederherstellung der Datenintegrität nach Vorfällen.

Schweregrad: Mittel

Eingabeaufforderungsausführungszustand sollte für kritische Agentphasen auf Amazon Bedrock aktiviert sein

Description: Defender for Cloud deaktivierten Ausführungsstatus für kritische Agentphasen in Amazon Bedrock identifiziert. Kritische Agent-Phasen wie Orchestrierung und Wissensbasisreaktionsgenerierung sind von entscheidender Bedeutung, um vollständige Begründungen und genaue Ausgaben zu gewährleisten. Durch das Deaktivieren dieser Phasen besteht das Risiko, unsichere, unvollständige oder falsche Antworten zu generieren, was zu kompromittiertem Agentverhalten und der allgemeinen Systemintegrität führen kann.

Schweregrad: hoch

Konfiguration des Öffentlichen Zugriffsblocks sollte auf AWS S3 Access Point aktiviert sein

Description: Defender for Cloud identifiziert, dass die Konfiguration des öffentlichen Zugriffsblocks auf Ihrem AWS S3 Access Point nicht aktiviert ist. Die Einstellungen für den Öffentlichen Zugriff blockieren sind so konzipiert, dass versehentliche öffentliche Gefährdungen verhindert werden, indem der öffentliche Zugriff auf S3-Ressourcen automatisch blockiert wird, unabhängig von Bucket- oder Objektberechtigungen. Ohne diese Einstellung besteht ein erhöhtes Risiko eines nicht autorisierten Zugriffs auf vertrauliche Daten, die in Ihren S3-Buckets gespeichert sind.

Schweregrad: hoch

Description: Defender for Cloud identifiziert, dass Ihre SNS-Themen uneingeschränkten Herausgeberzugriff aktiviert haben. Diese Einstellung ermöglicht es jeder Entität, Benachrichtigungen in Ihren Themen zu veröffentlichen, was zu nicht autorisierten Warnungen, Spam oder sogar böswilligen Nachrichten führen kann, die Ihre Zuverlässigkeit und Sicherheit des Benachrichtigungssystems schwächen. Indem Sie sicherstellen, dass der Herausgeberzugriff eingeschränkt ist, minimieren Sie diese Risiken und verbessern die allgemeine Integrität Ihrer Messaginginfrastruktur.

Schweregrad: hoch

Description: Defender for Cloud identifiziert, dass SNS-Themenabonnements öffentlich zugänglich sind. Hier bedeutet "öffentlicher Zugriff", dass jede Entität Benachrichtigungen abonnieren und empfangen kann, wodurch Ihr Messagingsystem nicht autorisierte Überwachung und Datenlecks ausgesetzt wird. Diese Exposition kann böswilligen Akteuren das Abfangen oder Missbrauch vertraulicher Informationen ermöglichen. Es wird empfohlen, Abonnements so zu konfigurieren, dass nur genehmigte Abonnenten zugelassen werden. Erfahren Sie mehr.

Schweregrad: hoch

Öffentliche E-Mail-Domänen sollten für den Empfang privilegierter Rollen in BigQuery aufgehoben werden.

Description: Defender for Cloud identifizierte besonders privilegierte BigQuery-Rollen (z. B. BESITZER, WRITER oder Administrator), die Mitgliedern mit öffentlichen E-Mail-Domänen zugewiesen sind. Öffentliche E-Mail-Domänen sind außerhalb der Identitätslebenszyklusverwaltung Ihrer Organisation, was ein Risiko einer nicht autorisierten Datenänderung, Löschung oder Berechtigungseskalation darstellt.

Schweregrad: hoch

Öffentlicher Lesezugriff auf LightSail-Buckets sollte deaktiviert werden

Description: Defender for Cloud identifiziert, dass Ihr LightSail-Bucket öffentlichen Lesezugriff zulässt. Diese Einstellung ermöglicht es jedem, auf gespeicherte Objekte ohne Authentifizierung zuzugreifen, wodurch vertrauliche Daten anfällig für nicht autorisierte Gefährdungen und Ausbeutung sind.

Schweregrad: hoch

Ressourcenbezeichnungen sollten in Artifact Registry-Repositorys konfiguriert werden

Description: Defender for Cloud fehlende Ressourcenbeschriftungen in Repositorys identifiziert. Ressourcenbeschriftungen sind Schlüsselwertpaare, die Repositorys kategorisieren und die automatisierte Durchsetzung von Sicherheitsrichtlinien ermöglichen. Ohne ordnungsgemäße Bezeichnungen besteht ein erhöhtes Risiko von Fehlkonfigurationen und unbefugtem Zugriff aufgrund inkonsistenter Sicherheitskontrollen.

Schweregrad: Niedrig

Sichere Connectors sollten für AlloyDB-Instanzen aktiviert sein

Description: Defender for Cloud identifizierte unsichere Clientverbindungseinstellungen in der AlloyDB-Instanz. Die Auswertung überprüft die Eigenschaft "Connectors erforderlich", die bei Festlegung auf "false" direkte PostgreSQL-Protokollverbindungen ohne sicheren Mediator wie den AlloyDB Auth-Proxy zulässt. Dadurch wird die IAM-basierte Authentifizierung und die automatische TLS-Verschlüsselung umgangen, wodurch das Risiko einer schwächeren Authentifizierung und der potenziellen Exposition von unverschlüsselten Datenverkehr in Ihrem VORGANG erhöht wird.

Schweregrad: Mittel

Sicherheitsgruppen sollten für MemoryDB-Cluster konfiguriert werden

Description: Defender for Cloud identifizierten MemoryDB-Cluster ohne konfigurierte Sicherheitsgruppen. Sicherheitsgruppen funktionieren als Firewallregeln, die sowohl eingehenden als auch ausgehenden Datenverkehr für Ihren Cluster regeln. Ohne sie wird Ihr Cluster dem Risiko eines nicht autorisierten Zugriffs und potenzieller Datenschutzverletzungen ausgesetzt. Das Aktivieren von Sicherheitsgruppen kann dieses Risiko erheblich reduzieren, indem sichergestellt wird, dass nur genehmigter Datenverkehr auf Ihren MemoryDB-Cluster zugreifen darf.

Schweregrad: Mittel

Sicherheitsgruppen sollten so konfiguriert werden, dass der Zugriff für ElastiCache eingeschränkt wird.

Description: Defender for Cloud haben unzureichende Sicherheitsgruppenkonfigurationen in Ihrem ElastiCache-Dienst identifiziert. Sicherheitsgruppen sind Netzwerkfilter, die den Datenverkehr zwischen Ressourcen steuern; wenn sie nicht ordnungsgemäß konfiguriert sind, erzwingen sie keine Einschränkungen für den feinkörnigen Zugriff, wodurch Ihr Cache möglicherweise nicht autorisierten Zugriff und Die Ausbeutung ausgesetzt wird. Dies erhöht das Risiko von Datenschutzverletzungen und anderen Sicherheitsvorfällen. Erfahren Sie mehr.

Schweregrad: Niedrig

Sicherheitsgruppen sollten den Zugriff auf ElastiCache einschränken

Description: Defender for Cloud identifizierte laxe Sicherheitsgruppeneinschränkungen in Ihrem ElastiCache-Setup. Sicherheitsgruppen fungieren als virtuelle Firewalls, die den Benutzer- und Instanzzugriff verwalten, und eine unzureichende Segmentierung kann zu nicht autorisiertem Zugriff führen, wodurch das Risiko einer Datengefährdung und potenzieller böswilliger Aktivitäten erhöht wird. Es wird empfohlen, präzise Zugriffsregeln zu überprüfen und zu erzwingen, um sicherzustellen, dass nur autorisierte Benutzer und Prozesse mit Ihren ElastiCache-Ressourcen interagieren.

Schweregrad: Niedrig

Sicherheitsprotokolle sollten für die ElastiCache-Replikationsgruppe aktiviert sein

Description: Defender for Cloud festgestellt, dass die Protokollierung für Ihre ElastiCache-Replikationsgruppe nicht aktiviert ist. Diese Empfehlung wurde ausgelöst, wenn das Fehlen von Modulprotokollen erkannt wurde, die detaillierte Betriebsereignisse oder Langsamprotokolle erfassen, die Latenzprobleme nachverfolgen. Ohne diese Protokolle können potenzielle Anomalien und nicht autorisierte Aktivitäten nicht erkannt werden, wodurch das Risiko einer verzögerten Reaktion auf Vorfälle oder Sicherheitsverletzungen erhöht wird. Erfahren Sie mehr.

Schweregrad: Niedrig

Risikominderung für vertrauliche Daten sollte auf AWS CloudFormation-Stapelausgaben aktiviert werden.

Description: Defender for Cloud identifizierte exponierte vertrauliche Ausgaben in Ihrem AWS CloudFormation-Stapel. CloudFormation-Ausgaben werden verwendet, um Daten zwischen Stapeln zu übergeben, sollten jedoch keine vertraulichen Informationen wie Kennwörter, API-Schlüssel, Token oder Anmeldeinformationen enthalten. Durch das Verfügbarmachen dieser Details wird das Risiko eines nicht autorisierten Datenzugriffs erhöht. Entfernen Sie diese Ausgaben, oder speichern Sie geheime Daten sicher mit AWS Secrets Manager oder SSM Parameter Store. Ausführlichere Informationen finden Sie unter: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Schweregrad: hoch

Vertrauliche Parameter sollten das NoEcho-Attribut auf AWS CloudFormation-Stapeln aktiviert haben.

Description: Defender for Cloud identifizierten AWS CloudFormation-Stapel mit Parametern, die das NoEcho-Attribut fehlen. Das NoEcho-Attribut maskiert vertrauliche Werte aus Protokollen und Ausgaben und verhindert, dass Anmeldeinformationen und andere vertrauliche Daten versehentlich verfügbar gemacht werden. Ohne dies können Ihre Stapel wichtige Informationen durchlecken und das Risiko eines nicht autorisierten Zugriffs verstärken. Es wird empfohlen, Ihre Vorlagen so zu aktualisieren, dass sie ggf. die NoEcho-Einstellung integrieren.

Schweregrad: hoch

Serverseitige Verschlüsselung sollte für Amazon Bedrock Knowledge Bases-Datenquellen aktiviert sein

Description: Defender for Cloud festgestellt, dass in Amazon Bedrock Knowledge Base-Datenquellen keine spezifische serverseitige Verschlüsselungskonfiguration vorhanden ist. Ohne ordnungsgemäße ServerSideEncryptionConfiguration werden erfasste Dokumente, Metadaten und Verarbeitungsartefakte möglicherweise unverschlüsselt oder mit AWS-verwalteten Schlüsseln gespeichert, wodurch die Kundenkontrolle über Verschlüsselung, Schlüsselrotation und Überwachungsfunktionen reduziert wird, wodurch das Risiko eines nicht autorisierten Datenzugriffs und verringerter Sicherheitsgovernance erhöht wird.

Schweregrad: Mittel

Serverseitige Verschlüsselung sollte in SQS-Warteschlangen aktiviert werden

Description: Defender for Cloud identifiziert, dass die serverseitige Verschlüsselung (SSE) in Ihren SQS-Warteschlangen nicht aktiviert ist. SSE ist eine Methode, die Verschlüsselungsschlüssel verwendet, um vertrauliche Daten in ein unlesbares Format zu transformieren, bis sie ordnungsgemäß entschlüsselt wird. Ohne diesen Schutz gefährden Ihre SQS-Warteschlangen nicht autorisierten Datenzugriff, stellen potenziell vertrauliche Informationen offen und führen zu Datenschutzverletzungen und Complianceproblemen.

Schweregrad: hoch

Strenge Kontoübergreifende Zugriffsbeschränkungen sollten in LightSail-Buckets konfiguriert werden

Description: Defender for Cloud identifizierten kontoübergreifenden Zugriff in Ihrem LightSail-Bucket. Der kontoübergreifende Zugriff tritt auf, wenn AWS-Konten außerhalb Ihrer vertrauenswürdigen Umgebung Berechtigungen für den Zugriff auf Bucketobjekte erteilt werden. Dies stellt ein Risiko einer nicht autorisierten Datenexposition dar, wenn diese externen Konten unbekannt oder nicht überwacht sind. Das Einschränken des Zugriffs ausschließlich auf Konten mit berechtigtem Bedarf kann dazu beitragen, Ihre vertraulichen Informationen zu schützen.

Schweregrad: Mittel

Nicht angefügte EBS-Volumes sollten entfernt oder an die EC2-Instanz angefügt werden.

Description: Defender for Cloud identifizierte nicht angefügte EBS-Volume. EBS-Volumes sind persistente Blockspeichergeräte, die für Anlagen an EC2-Instanzen vorgesehen sind. Nicht angefügte Volumes können auf verwaiste Ressourcen aus beendeten Instanzen hinweisen, die Angriffsfläche erhöhen und möglicherweise vertrauliche Daten halten, die keine aktive Sicherheitsüberwachung mehr erhalten.

Schweregrad: Niedrig

Nicht abgelaufene Abonnements sollten Ablaufrichtlinien für Pub/Sub-Abonnements konfiguriert haben

Description: Defender for Cloud identifizierte fehlende Ablaufrichtlinien in Pub/Sub-Abonnements. Ablaufrichtlinien bestimmen, wie lange ein inaktives Abonnement aktiv bleibt, bevor das automatische Löschen ausgeführt wird. Ohne diese Konfiguration können Abonnements daten unbegrenzt speichern, was zu höheren Speicherkosten und einem höheren Risiko führt, dass vertrauliche Informationen länger als nötig aufbewahrt werden. Weitere Informationen finden Sie unter https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period.

Schweregrad: Niedrig

Nicht verwendete CodeArtifact-Domänen sollten entfernt werden

Description: Defender for Cloud identifizierten CodeArtifact-Domänen fehlen aktive Repositorys oder Artefakte in CodeArtifact. Eine nicht verwendete Domäne ist eine Domäne, die keine aktuellen Inhalte hostet, aber weiterhin Legacyeinstellungen wie veraltete Berechtigungen oder Verschlüsselungsschlüssel enthält. Dies stellt ein Risiko dar, indem Die Angriffsfläche der Kontrollebene erweitert und potenziell unbefugten Zugriff ermöglicht wird. Erfahren Sie mehr.

Schweregrad: Niedrig

AWS/GCP-übergreifende Daten- und Netzwerkempfehlungen

Die In-Transit-Verschlüsselung sollte für Den Speicherspeicher für Redis-Cluster aktiviert sein.

Description: Defender for Cloud festgestellt, dass die Verschlüsselung während der Übertragung in Ihren Redis-Clustern fehlt. Die Tls-Verschlüsselung (In-Transit Encryption) sichert Daten, die zwischen Clients und Ihren Redis-Clustern übertragen werden, einschließlich Authentifizierungsanmeldeinformationen und zwischengespeicherten Daten. Ohne TLS könnten Angreifer mit Netzwerkzugriff über freigegebene VPCs, Peered-Netzwerke oder kompromittierte Workloads diese vertraulichen Daten abfangen oder ändern, wodurch das Risiko der Datenexposition und -manipulation erhöht wird.

Schweregrad: Mittel

Der Zugriff auf öffentliche Netzwerke sollte für den relationalen LightSail-Datenbankdienst deaktiviert werden.

Description: Defender for Cloud identifiziert, dass der Zugriff auf öffentliche Netzwerke in Ihrem relationalen LightSail-Datenbankdienst aktiviert ist. Der Zugriff auf öffentliche Netzwerke bedeutet, dass die Datenbank Verbindungen über das Internet akzeptiert, wodurch Netzwerkeinschränkungen umgangen und für nicht autorisierten Zugriff verfügbar gemacht werden. Diese Konfiguration erhöht das Risiko von Datenexfiltration oder Datenverlust, indem potenzielle Einstiegspunkte für Angreifer bereitgestellt werden.

Schweregrad: hoch

Für Amazon Aurora-Cluster sollte die Rückverfolgung aktiviert sein.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob Amazon Aurora-Cluster die Zurückverfolgung aktiviert haben.

Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie sorgen auch für die Wiederherstellbarkeit Ihrer Systeme. Die Aurora-Rückverfolgung reduziert die Zeit für die Wiederherstellung einer Datenbank auf einen bestimmten Zeitpunkt. Dafür ist keine Datenbankwiederherstellung erforderlich.

Weitere Informationen zur Rückverfolgung in Aurora finden Sie unter Rückverfolgung eines Aurora-Datenbankclusters im Amazon Aurora-Benutzerhandbuch.

Schweregrad: Mittel

Amazon EBS-Momentaufnahmen sollten nicht öffentlich wiederherstellbar sein.

Beschreibung: Amazon EBS-Momentaufnahmen sollten nicht von jedem öffentlich wiederhergestellt werden können, es sei denn, es ist explizit zulässig, um versehentliche Gefährdung von Daten zu vermeiden. Sie sollten außerdem sicherstellen, dass die Berechtigung zum Ändern von Amazon EBS-Konfigurationen auf autorisierte AWS-Konten beschränkt ist.

Schweregrad: hoch

Amazon ECS-Aufgabendefinitionen müssen sichere Netzwerkmodi und Benutzerdefinitionen aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob eine aktive Amazon ECS-Aufgabendefinition, die den Hostnetzwerkmodus enthält, auch privilegierte oder Benutzercontainerdefinitionen aufweist. Die Kontrolle schlägt fehl für Aufgabendefinitionen, welche einen Host-Netzwerkmodus haben und Containerdefinitionen, bei denen „privileged=false“ oder leer und „user=root“ oder leer ist. Wenn eine Aufgabendefinition erhöhte Berechtigungen hat, liegt dies daran, dass der Kunde sich speziell für diese Konfiguration entschieden hat. Dieses Steuerelement sucht nach einer unerwarteten Berechtigungseskalation, wenn eine Aufgabendefinition Hostnetzwerke aktiviert hat, sich der Kunde jedoch nicht für erhöhte Berechtigungen entscheidet.

Schweregrad: hoch

Amazon Elasticsearch Service-Domänen sollten zwischen Knoten gesendete Daten verschlüsseln.

Beschreibung: Dieses Steuerelement überprüft, ob Amazon ES-Domänen die Node-zu-Knoten-Verschlüsselung aktiviert haben. Mithilfe von HTTPS (TLS) können potenzielle Angreifer daran gehindert werden, den Netzwerkdatenverkehr über Man-in-the-Middle- oder ähnliche Angriffe abzuhören oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch das Aktivieren der Knoten-zu-Knoten-Verschlüsselung für Amazon ES-Domänen wird sichergestellt, dass die Kommunikation innerhalb von Clustern bei der Übertragung verschlüsselt wird. Dieser Konfiguration kann zu Leistungseinbußen führen. Bevor Sie diese Option aktivieren, sollten Sie die Leistung testen und die Einbußen kennen.

Schweregrad: Mittel

Für Amazon Elasticsearch Service-Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein.

Beschreibung: Es ist wichtig, Verschlüsselungen rest von Amazon ES-Domänen zu aktivieren, um vertrauliche Daten zu schützen.

Schweregrad: Mittel

Die Amazon RDS-Datenbank sollte mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden.

Beschreibung: Diese Überprüfung identifiziert RDS-Datenbanken, die mit standard-KMS-Schlüsseln verschlüsselt sind und nicht mit vom Kunden verwalteten Schlüsseln. Als führende Methode verwenden Sie kundenseitig verwaltete Schlüssel, um die Daten in Ihren RDS-Datenbanken zu verschlüsseln und die Kontrolle über Ihre Schlüssel und Daten in vertraulichen Workloads zu behalten.

Schweregrad: Mittel

Die Amazon RDS-Instanz sollte mit Einstellungen für die automatische Sicherung konfiguriert werden.

Beschreibung: Diese Überprüfung identifiziert RDS-Instanzen, die nicht mit der Einstellung für die automatische Sicherung festgelegt sind. Wenn „Automatische Sicherung“ festgelegt ist, erstellt RDS eine Speichervolume-Momentaufnahme Ihrer Datenbankinstanz, wobei die gesamte Datenbankinstanz und nicht nur einzelne Datenbanken gesichert werden, die eine Point-in-Time-Wiederherstellung ermöglichen. Die automatische Sicherung erfolgt während der angegebenen Zeit des Sicherungsfensters und hält die Sicherungen für einen begrenzten Zeitraum, wie im Aufbewahrungszeitraum definiert. Es wird empfohlen, automatische Sicherungen für Ihre kritischen RDS-Server festzulegen, die beim Datenwiederherstellungsprozess helfen.

Schweregrad: Mittel

Amazon Redshift-Cluster sollten die Überwachungsprotokollierung aktiviert haben.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon Redshift-Cluster die Überwachungsprotokollierung aktiviert hat. Die Amazon Redshift-Überwachungsprotokollierung bietet zusätzliche Informationen zu Verbindungen und Benutzeraktivitäten in Ihrem Cluster. Diese Daten können in Amazon S3 gespeichert und gesichert werden, und sie können bei Sicherheitsüberwachungen und -untersuchungen hilfreich sein. Weitere Informationen finden Sie unter Datenbanküberwachungsprotokollierung im Amazon Redshift-Clusterverwaltungshandbuch.

Schweregrad: Mittel

Für Amazon Redshift-Cluster sollten automatische Momentaufnahmen aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob Amazon Redshift-Cluster automatisierte Momentaufnahmen aktiviert haben. Sie prüft außerdem, ob der Aufbewahrungszeitraum für Momentaufnahmen mindestens sieben Tage umfasst.

Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie stellen die Wiederherstellbarkeit Ihrer Systeme sicher. Amazon Redshift erfasst standardmäßig regelmäßige Momentaufnahmen. Diese Kontrolle überprüft, ob automatische Momentaufnahmen aktiviert sind und für mindestens sieben Tage aufbewahrt werden. Weitere Informationen zu automatisierten Momentaufnahmen von Amazon Redshift finden Sie im Amazon Redshift Cluster Management Guide.

Schweregrad: Mittel

Amazon Redshift-Cluster sollten den öffentlichen Zugriff untersagen.

Beschreibung: Wir empfehlen Amazon Redshift-Clustern, um die öffentliche Barrierefreiheit zu vermeiden, indem das Feld "öffentlich Zugänglich" im Clusterkonfigurationselement ausgewertet wird.

Schweregrad: hoch

Für Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob automatische Upgrades der Hauptversion für den Amazon Redshift-Cluster aktiviert sind. Durch das Aktivieren automatischer Upgrades der Hauptversion wird sichergestellt, dass die neuesten Hauptversionsupdates für Amazon Redshift-Cluster während des Wartungsfensters installiert werden. Diese Updates umfassen möglicherweise Sicherheitspatches und Bugfixes. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.

Schweregrad: Mittel

Amazon SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein.

Beschreibung: Dieses Steuerelement überprüft, ob Amazon SQS-Warteschlangen im Ruhezustand verschlüsselt sind. Die serverseitige Verschlüsselung (Server-Side Encryption, SSE) ermöglicht Ihnen die Übertragung vertraulicher Daten in verschlüsselten Warteschlangen. Um den Inhalt von Nachrichten in Warteschlangen zu schützen, verwendet SSE Schlüssel, die im AWS-KMS verwaltet werden. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Entwicklerhandbuch von Amazon Simple Queue Service (SQS).

Schweregrad: Mittel

Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Clusterereignisse konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement vorhanden ist, das Benachrichtigungen für den folgenden Quelltyp aktiviert hat: Schlüssel-Wert-Paare der Ereigniskategorie. DBCluster: [Wartung und Fehler]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.

Schweregrad: Niedrig

Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Datenbankinstanzereignisse konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBInstance: [Wartung, Konfigurationsänderung und Fehler]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.

Schweregrad: Niedrig

Ein RDS-Ereignisbenachrichtigungsabonnement sollte für kritische Datenbankparametergruppen-Ereignisse konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBParameterGroup: [„Konfiguration“ und „Änderung“]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.

Schweregrad: Niedrig

Ein RDS-Ereignisbenachrichtigungsabonnement muss für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein Amazon RDS-Ereignisabonnement mit Benachrichtigungen für den folgenden Quelltyp aktiviert ist: Schlüssel-Wert-Paare der Ereigniskategorie. DBSecurityGroup: [Konfiguration, Änderung, Fehler]. RDS-Ereignisbenachrichtigungen verwenden Amazon SNS, um Sie über Änderungen an der Verfügbarkeit oder Konfiguration Ihrer RDS-Ressourcen zu informieren. Diese Benachrichtigungen ermöglichen schnelle Reaktionen. Weitere Informationen zu RDS-Ereignisbenachrichtigungen finden Sie unter Verwenden der Amazon RDS-Ereignisbenachrichtigung im Amazon RDS-Benutzerhandbuch.

Schweregrad: Niedrig

Protokollierung der API-Gateway-REST- und WebSocket-API sollte aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob alle Phasen einer Amazon API-Gateway-REST- oder WebSocket-API protokollierungsfähig sind. Die Kontrolle schlägt fehl, wenn die Protokollierung nicht für alle Methoden einer Stufe aktiviert ist oder wenn der Protokolliergrad weder FEHLER noch INFO ist. Für die REST- oder WebSocket-API-Phasen des API-Gateways sollten relevante Protokolle aktiviert sein. Die API Gateway-REST- und WebSocket-API-Ausführungsprotokollierung stellt detaillierte Datensätze von Anforderungen bereit, die an API Gateway-REST- und WebSocket-API-Phasen gesendet werden. Die Phasen umfassen Antworten auf das Back-End der API-Integration, Lambda-Autorisierungsantworten und die requestId für AWS-Integrationsendpunkte.

Schweregrad: Mittel

REST-API-Cachedaten des API-Gateways im Ruhezustand müssen verschlüsselt werden.

Beschreibung: Dieses Steuerelement überprüft, ob alle Methoden in API-Gateway-REST-API-Phasen verschlüsselt sind, die den Cache aktiviert haben. Die Kontrolle schlägt fehl, wenn eine Methode in einer API Gateway-REST-API-Phase für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Durch das Verschlüsseln ruhender Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Benutzer auf Daten zugreift, die auf dem Datenträger gespeichert sind. Es fügt einen weiteren Satz von Zugriffssteuerungen hinzu, um den Zugriff nicht autorisierter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. REST-API-Caches des API-Gateways sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu bieten.

Schweregrad: Mittel

REST-API-Stufen des API-Gateways sollten konfiguriert sein, um SSL-Zertifikate für die Back-End-Authentifizierung zu verwenden.

Beschreibung: Dieses Steuerelement überprüft, ob REST-API-Phasen des Amazon API-Gateways SSL-Zertifikate konfiguriert haben. Back-End-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anforderungen vom API-Gateway stammen. REST-API-Stufen des API-Gateways sollten mit SSL-Zertifikaten konfiguriert werden, damit Back-End-Systeme authentifizieren können, dass Anforderungen vom API-Gateway stammen.

Schweregrad: Mittel

Für die REST-API-Phasen des API-Gateways sollte die Ablaufverfolgung von AWS X-Ray aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob die aktive AWS X-Ray-Ablaufverfolgung für Ihre REST-API-Phasen des Amazon API-Gateways aktiviert ist. Die aktive X-Ray-Ablaufverfolgung ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer fehlenden Verfügbarkeit der API führen. Die aktive X-Ray-Ablaufverfolgung bietet Echtzeitmetriken von Benutzeranforderungen, die Ihre API Gateway-REST-API-Vorgänge und verbundenen Dienste durchlaufen.

Schweregrad: Niedrig

Das API-Gateway muss einer AWS WAF Web-ACL zugeordnet werden.

Beschreibung: Dieses Steuerelement überprüft, ob eine API-Gatewayphase eine AWS WAF Web Access Control List (ACL) verwendet. Diese Kontrolle schlägt fehl, wenn eine AWS WAF-Web-ACL nicht an eine REST-API-Gateway-Stufe angefügt ist. AWS WAF ist eine Web Application Firewall, die Webanwendungen und APIs vor Angriffen schützt. Sie können damit eine ACL konfigurieren, bei der es sich um einen Satz von Regeln handelt, die Webanforderungen basierend auf von Ihnen definierten anpassbaren Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API Gateway-Stufe einer AWS WAF-Web-ACL zugeordnet ist, um sie vor böswilligen Angriffen zu schützen.

Schweregrad: Mittel

Die Protokollierung von Anwendungs- und klassischen Load Balancers sollte aktiviert sein.

Description: Dieses Steuerelement überprüft, ob die Anwendung Load Balancer und die klassische Load Balancer die Protokollierung aktiviert haben. Das Steuerelement schlägt fehl, wenn access_logs.s3.enabled "false" ist. Der elastische Lastenausgleich bietet Zugriffsprotokolle, die detaillierte Informationen zu den an Ihren Load Balancer gesendeten Anforderungen erfassen. Jedes Protokoll enthält Informationen wie z. B. den Zeitpunkt, zu dem die Anforderung empfangen wurde, die IP-Adresse des Clients, Latenzen, Anforderungspfade und Serverantworten. Sie können Zugriffsprotokolle verwenden, um Datenverkehrsmuster zu analysieren und Probleme zu beheben. Weitere Informationen finden Sie in Access-Protokolle für Ihre klassischen Load Balancer in der Benutzerhandbuch für klassische Lastenausgleichsgeräte.

Schweregrad: Mittel

Angefügte EBS-Volumes sollten im Ruhezustand verschlüsselt sein.

Beschreibung: Dieses Steuerelement überprüft, ob die EBS-Volumes verschlüsselt sind, die sich in einem angefügten Zustand befinden. Um diese Kontrolle zu bestehen, müssen EBS-Volumes aktiv und verschlüsselt sein. Wenn das EBS-Volume nicht angefügt ist, wird es nicht überprüft. Um eine weitere Sicherheitsebene für Ihre sensiblen Daten auf EBS-Volumes hinzuzufügen, sollten Sie die EBS-Verschlüsselung im Ruhezustand aktivieren. Die Amazon EBS-Verschlüsselung bietet eine unkomplizierte Verschlüsselungslösung für Ihre EBS-Ressourcen, für die Sie keine eigene Schlüsselverwaltungsinfrastruktur erstellen, verwalten und sichern müssen. Sie verwendet AWS KMS-Kundenhauptschlüssel (Customer Master Keys, CMK) bei der Erstellung verschlüsselter Volumes und Momentaufnahmen. Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.

Schweregrad: Mittel

AWS Database Migration Service Replikationsinstanzen sollten nicht öffentlich sein

Beschreibung: Um Ihre replizierten Instanzen vor Bedrohungen zu schützen. Eine private Replikationsinstanz sollte über eine private IP-Adresse verfügen, auf die außerhalb des Replikationsnetzwerks nicht zugegriffen werden kann. Eine Replikationsinstanz sollte eine private IP-Adresse aufweisen, wenn sich die Quell- und die Zieldatenbank im selben Netzwerk befinden und das Netzwerk über ein VPN, über AWS Direct Connect oder über VPC-Peering mit der VPC der Replikationsinstanz verbunden ist. Stellen Sie außerdem sicher, dass der Zugriff auf die Konfiguration Ihrer AWS DMS-Instanz auf autorisierte Benutzer begrenzt ist. Schränken Sie hierzu die IAM-Benutzerberechtigungen zum Ändern von AWS DMS-Einstellungen und -Ressourcen ein.

Schweregrad: hoch

Klassische Load Balancer Listener sollten mit HTTPS- oder TLS-Beendigung konfiguriert werden.

Description: Dieses Steuerelement überprüft, ob Ihre klassischen Load Balancer Listener mit HTTPS oder TLS-Protokoll für Front-End-Verbindungen (Client zu load balancer) konfiguriert sind. Das Steuerelement gilt, wenn ein klassisches Load Balancer Listener enthält. Wenn ihr classic Load Balancer keinen Listener konfiguriert hat, meldet das Steuerelement keine Ergebnisse. Das Steuerelement wird übergeben, wenn die classic Load Balancer Listener mit TLS oder HTTPS für Front-End-Verbindungen konfiguriert sind. Die Kontrolle verursacht einen Fehler, wenn der Listener für Front-End-Verbindungen nicht mit TLS oder HTTPS konfiguriert ist. Bevor Sie mit der Verwendung eines Lastenausgleichs beginnen, müssen Sie mindestens einen Listener hinzufügen. Ein Listener ist ein Prozess, der das konfigurierte Protokoll und den konfigurierten Port für die Suche nach Verbindungsanforderungen verwendet. Listener können sowohl HTTP- als auch HTTPS-/TLS-Protokolle unterstützen. Sie sollten immer einen HTTPS- oder TLS-Listener verwenden, damit der Lastenausgleich die Verschlüsselung und Entschlüsselung bei der Übertragung durchführt.

Schweregrad: Mittel

Für klassische Load Balancer sollte der Verbindungsausgleich aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob klassische Lastenausgleichsgeräte verbindungsend aktiviert sind. Durch aktivieren der Verbindungsentlastung auf klassischen Lastenausgleichsmodulen wird sichergestellt, dass das Lastenausgleichsmodul keine Anforderungen mehr an Instanzen sendet, die die Registrierung aufheben oder fehlerhaft sind. Die vorhandenen Verbindungen werden offen gehalten. Dies ist nützlich für Instanzen in Gruppen mit automatischer Skalierung, um sicherzustellen, dass Verbindungen nicht plötzlich getrennt werden.

Schweregrad: Mittel

Für CloudFront-Verteilungen sollte der AWS-WAF aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob CloudFront-Verteilungen entweder AWS WAF- oder AWS WAFv2-Web-ACLs zugeordnet sind. Die Kontrolle schlägt fehl, wenn die Verteilung keiner Web-ACL zugeordnet ist. AWS WAF ist eine Web Application Firewall, die Webanwendungen und APIs vor Angriffen schützt. Sie können damit einen Satz von Regeln konfigurieren, die als Web-Zugriffssteuerungsliste (Web Access Control List, Web-ACL) bezeichnet werden und Webanforderungen basierend auf von Ihnen definierten anpassbaren Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre CloudFront-Verteilung einer AWS WAF-Web-ACL zugeordnet ist, um sie vor bösartigen Angriffen zu schützen.

Schweregrad: Mittel

Für CloudFront-Verteilungen sollte die Protokollierung aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob die Serverzugriffsprotokollierung für CloudFront-Verteilungen aktiviert ist. Die Kontrolle schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. CloudFront-Zugriffsprotokolle stellen detaillierte Informationen zu jeder Benutzeranforderung bereit, die CloudFront empfängt. Jedes Protokoll enthält Informationen wie das Datum und die Uhrzeit des Empfangs der Anforderung, die IP-Adresse des Viewers, der die Anforderung gestellt hat, die Quelle der Anforderung und die Portnummer der Anforderung des Viewers. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsüberwachungen und forensische Untersuchungen nützlich. Weitere Informationen zum Analysieren von Zugriffsprotokollen finden Sie unter Abfragen von Amazon CloudFront-Protokollen im Amazon Athena-Benutzerhandbuch.

Schweregrad: Mittel

CloudFront-Verteilungen sollten die Verschlüsselung bei der Übertragung erfordern.

Beschreibung: Dieses Steuerelement überprüft, ob für eine Amazon CloudFront-Verteilung Benutzer HTTPS direkt verwenden müssen oder ob die Umleitung verwendet wird. Die Kontrolle verursacht einen Fehler, wenn „ViewerProtocolPolicy“ für „defaultCacheBehavior“ oder „cacheBehaviors“ auf „allow-all“ festgelegt ist. Mithilfe von HTTPS (TLS) kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln.

Schweregrad: Mittel

CloudTrail-Protokolle sollten im Ruhezustand mit CMKs in KMS verschlüsselt werden.

Beschreibung: Es wird empfohlen, CloudTrail für die Verwendung von SSE-KMS zu konfigurieren. Durch die Konfiguration von CloudTrail für die Verwendung von SSE-KMS werden weitere Vertraulichkeitskontrollen für Protokolldaten bereitgestellt: Ein Benutzer muss die S3-Leseberechtigung für den entsprechenden Protokollbucket besitzen und durch die CMK-Richtlinie eine Entschlüsselungsberechtigung erhalten.

Schweregrad: Mittel

Verbindungen mit Amazon Redshift-Clustern sollten bei der Übertragung verschlüsselt werden.

Beschreibung: Dieses Steuerelement überprüft, ob Verbindungen mit Amazon Redshift-Clustern für die Verwendung der Verschlüsselung bei der Übertragung erforderlich sind. Die Überprüfung schlägt fehl, wenn der Amazon Redshift-Clusterparameter require_SSL nicht auf 1 festgelegt ist. Mithilfe von TLS kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Es sollten nur verschlüsselte Verbindungen über TLS zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln.

Schweregrad: Mittel

Verbindungen mit Elasticsearch-Domänen sollten mit TLS 1.2 verschlüsselt werden.

Beschreibung: Dieses Steuerelement überprüft, ob Verbindungen mit Elasticsearch-Domänen erforderlich sind, um TLS 1.2 zu verwenden. Die Überprüfung schlägt fehl, wenn die TLSSecurityPolicy der Elasticsearch-Domäne nicht Policy-Min-TLS-1-2-2019-07 ist. Mithilfe von HTTPS (TLS) kann verhindert werden, dass potenzielle Angreifer Man-in-the-Middle- oder ähnliche Angriffe zum Abhören oder Manipulieren des Netzwerkdatenverkehrs verwenden. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendung mit diesem Feature, um das Leistungsprofil und die Auswirkungen von TLS zu ermitteln. TLS 1.2 bietet gegenüber früheren Versionen von TLS mehrere Sicherheitsverbesserungen.

Schweregrad: Mittel

Für DynamoDB-Tabellen sollte die Point-in-Time-Wiederherstellung aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob die Point-in-Time-Wiederherstellung (PITR) für eine AmazonDb-Tabelle aktiviert ist.

Sicherungen ermöglichen eine schnellere Wiederherstellung nach einem Sicherheitsincident. Sie sorgen auch für die Wiederherstellbarkeit Ihrer Systeme. Durch die Point-in-Time-Wiederherstellung von DynamoDB werden Sicherungen für DynamoDB-Tabellen automatisiert. So wird die Wiederherstellungszeit nach versehentlichen Lösch- oder Schreibvorgängen verringert.

DynamoDB-Tabellen mit PITR-Aktivierung können auf einen beliebigen Zeitpunkt in den letzten 35 Tagen wiederhergestellt werden.

Schweregrad: Mittel

Die EBS-Standardverschlüsselung sollte aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store(Amazon EBS) aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene nicht aktiviert ist. Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden Amazon EBS-Volumes und Momentaufnahmekopien im Ruhezustand verschlüsselt. Dadurch wird eine weitere Schutzebene für Ihre Daten hinzugefügt. Weitere Informationen finden Sie unter Standardmäßige Verschlüsselung im Amazon EC2-Benutzerhandbuch für Linux-Instanzen.

Die folgenden Instanztypen unterstützen keine Verschlüsselung: R1, C1 und M1.

Schweregrad: Mittel

Für Elastic Beanstalk-Umgebungen sollte die erweiterte Integritätsberichterstellung aktiviert sein.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob die erweiterte Integritätsberichterstattung für Ihre AWS Elastic Beanstalk-Umgebungen aktiviert ist. Die erweiterte Integritätsberichterstellung für Elastic Beanstalk ermöglicht eine schnellere Reaktion auf Änderungen an der Integrität der zugrunde liegenden Infrastruktur. Diese Änderungen können zu fehlender Verfügbarkeit der Anwendung führen. Die erweiterte Integritätsberichterstellung für Elastic Beanstalk stellt einen Statusdeskriptor bereit, um den Schweregrad der identifizierten Probleme zu messen und mögliche Ursachen für die Untersuchung zu ermitteln. Der Elastic Beanstalk-Integritätsagent, der in unterstützten Amazon Machine Images (AMIs) enthalten ist, wertet Protokolle und Metriken von EC2-Umgebungsinstanzen aus.

Schweregrad: Niedrig

Updates für die verwaltete Elastic Beanstalk-Plattform sollten aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob verwaltete Plattformupdates für die Elastic Beanstalk-Umgebung aktiviert sind. Die Aktivierung von verwalteten Plattform-Updates stellt sicher, dass die neuesten verfügbaren Plattform-Fixes, Updates und Features für die Umgebung installiert sind. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.

Schweregrad: hoch

Elastic Load Balancer sollte kein ACM-Zertifikat abgelaufen oder in 90 Tagen ablaufen.

Beschreibung: Diese Überprüfung identifiziert Elastic Load Balancers (ELB), die ACM-Zertifikate verwenden, die in 90 Tagen abgelaufen oder ablaufen. AWS Certificate Manager (ACM) ist das bevorzugte Tool zum Bereitstellen und Verwalten Ihrer Serverzertifikate. Mit ACM. Sie können ein Zertifikat anfordern oder ein vorhandenes ACM- oder externes Zertifikat für AWS-Ressourcen bereitstellen. Als bewährte Methode wird empfohlen, ablaufende/abgelaufene Zertifikate neu zu importieren und dabei die ELB-Zuordnungen des ursprünglichen Zertifikats beizubehalten.

Schweregrad: hoch

Die Fehlerprotokollierung der Elasticsearch-Domänen in CloudWatch Logs sollte aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen so konfiguriert sind, dass Fehlerprotokolle an CloudWatch Logs gesendet werden. Sie sollten Fehlerprotokolle für Elasticsearch-Domänen aktivieren und diese Protokolle zur Aufbewahrung und Antwort an CloudWatch Logs senden. Domänenfehlerprotokolle können bei Sicherheits- und Zugriffsüberprüfungen und bei der Diagnose von Verfügbarkeitsproblemen helfen.

Schweregrad: Mittel

Elasticsearch-Domänen müssen mit mindestens drei dedizierten Masterknoten konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen mit mindestens drei dedizierten Masterknoten konfiguriert sind. Diese Kontrolle schlägt fehl, wenn die Domäne keine dedizierten Masterknoten verwendet. Diese Kontrolle wird bestanden, wenn Elasticsearch-Domänen über fünf dedizierte Masterknoten verfügen. Die Verwendung von mehr als drei Masterknoten ist jedoch möglicherweise nicht erforderlich, um das Verfügbarkeitsrisiko zu verringern, und es führt zu weiteren Kosten. Eine Elasticsearch-Domäne erfordert mindestens drei dedizierte Masterknoten für Hochverfügbarkeit und Fehlertoleranz. Dedizierte Masterknotenressourcen können bei Blau/Grün-Bereitstellungen von Datenknoten überlastet werden, da weitere Knoten zu verwalten sind. Durch die Bereitstellung einer Elasticsearch-Domäne mit mindestens drei dedizierten Masterknoten wird eine ausreichende Ressourcenkapazität für Masterknoten und Clustervorgänge sichergestellt, wenn ein Knoten ausfällt.

Schweregrad: Mittel

Elasticsearch-Domänen sollten mindestens drei Datenknoten aufweisen.

Beschreibung: Dieses Steuerelement überprüft, ob Elasticsearch-Domänen mit mindestens drei Datenknoten konfiguriert sind und zoneAwarenessEnabled wahr ist. Eine Elasticsearch-Domäne erfordert mindestens drei Datenknoten für hohe Verfügbarkeit und Fehlertoleranz. Durch die Bereitstellung einer Elasticsearch-Domäne mit mindestens drei Datenknoten können Clustervorgänge fortfahren, wenn ein Knoten fehlschlägt.

Schweregrad: Mittel

Für Elasticsearch-Domänen sollte die Überwachungsprotokollierung aktiviert sein.

Beschreibung: Mit diesem Steuerelement wird überprüft, ob die Elasticsearch-Domänen die Überwachungsprotokollierung aktiviert haben. Diese Kontrolle schlägt fehl, wenn für eine Elasticsearch-Domäne die Überwachungsprotokollierung nicht aktiviert ist. Überwachungsprotokolle sind in hohem Maße anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren Elasticsearch-Clustern nachzuverfolgen, einschließlich Authentifizierungserfolge und -fehler, Anforderungen an OpenSearch, Indexänderungen und eingehende Suchabfragen.

Schweregrad: Mittel

Die erweiterte Überwachung sollte für RDS-Datenbankinstanzen und -Cluster konfiguriert werden.

Beschreibung: Dieses Steuerelement überprüft, ob die erweiterte Überwachung für Ihre RDS DB-Instanzen aktiviert ist. In Amazon RDS ermöglicht die erweiterte Überwachung eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können dazu führen, dass Daten nicht verfügbar sind. Die erweiterte Überwachung bietet Echtzeitmetriken für das Betriebssystem, auf dem Ihre RDS-Datenbankinstanz ausgeführt wird. Ein Agent wird für die Instanz installiert. Der Agent kann Metriken genauer abrufen als dies auf Hypervisorebene möglich ist. Erweiterte Überwachungsmetriken sind hilfreich, wenn Sie anzeigen möchten, wie die CPU durch verschiedene Prozesse oder Threads einer Datenbankinstanz verwendet wird. Weitere Informationen finden Sie unter Erweiterte Überwachung im Amazon RDS-Benutzerhandbuch.

Schweregrad: Niedrig

Für kundenseitig erstellte CMKs muss die Rotation aktiviert sein.

Beschreibung: AWS Schlüsselverwaltungsdienst (KMS) ermöglicht es Kunden, den Sicherungsschlüssel zu drehen, der im KMS gespeichertes Schlüsselmaterial ist, das an die Schlüssel-ID des vom Kunden erstellten Kundenmasterschlüssels (CMK) gebunden ist. Es ist der Sicherungsschlüssel, der zum Ausführen kryptografischer Vorgänge wie Verschlüsselung und Entschlüsselung verwendet wird. Die automatisierte Schlüsselrotation behält derzeit alle vorherigen Sicherungsschlüssel bei, sodass die Entschlüsselung verschlüsselter Daten transparent erfolgen kann. Es wird empfohlen, die CMK-Schlüsselrotation zu aktivieren. Das Drehen von Verschlüsselungsschlüsseln trägt dazu bei, die potenziellen Auswirkungen eines kompromittierten Schlüssels zu verringern, da mit einem neuen Schlüssel verschlüsselte Daten nicht mit einem vorherigen Schlüssel zugegriffen werden kann, der möglicherweise verfügbar gemacht wurde.

Schweregrad: Mittel

Für den CloudTrail-S3-Bucket muss die Zugriffsprotokollierung für S3-Buckets aktiviert sein.

Beschreibung: S3 Bucket-Zugriffsprotokollierung generiert ein Protokoll, das Zugriffsdatensätze enthält, sicherstellen, dass die S3-Bucketzugriffsprotokollierung im CloudTrail S3-Bucket für jede Anforderung aktiviert ist, die an Ihren S3-Bucket vorgenommen wurde. Ein Zugriffsprotokolldatensatz enthält Details zur Anforderung, z. B. den Anforderungstyp, die in der Anforderung angegebene Ressource, sowie die Uhrzeit und das Datum der Verarbeitung der Anforderung. Es wird empfohlen, die Bucketzugriffsprotokollierung für den CloudTrail S3-Bucket zu aktivieren. Durch aktivieren der S3-Bucket-Protokollierung für Ziel-S3-Buckets ist es möglich, alle Ereignisse zu erfassen, die sich auf Objekte innerhalb von Ziel-Buckets auswirken können. Das Konfigurieren von Protokollen, die in einem separaten Bucket platziert werden sollen, ermöglicht den Zugriff auf Protokollinformationen, die für Workflows zur Sicherheits- und Vorfallreaktion hilfreich sein können.

Schweregrad: Niedrig

Stellen Sie sicher, dass der zum Speichern von CloudTrail-Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist.

Beschreibung: CloudTrail protokolliert einen Datensatz aller API-Aufrufe, die in Ihrem AWS-Konto getätigt wurden. Diese Protokolldateien werden in einem S3-Bucket gespeichert. Es wird empfohlen, dass die Bucketrichtlinie oder Zugriffssteuerungsliste (Access Control List, ACL) auf den S3-Bucket angewendet wird, den CloudTrail protokolliert, um den öffentlichen Zugriff auf die CloudTrail-Protokolle zu verhindern. Das Zulassen des öffentlichen Zugriffs auf CloudTrail-Protokollinhalte kann einen Angreifer bei der Identifizierung von Schwachstellen bei der Verwendung oder Konfiguration des betroffenen Kontos unterstützen.

Schweregrad: hoch

IAM sollte nicht über abgelaufene SSL/TLS-Zertifikate verfügen.

Beschreibung: Diese Überprüfung identifiziert abgelaufene SSL/TLS-Zertifikate. Zum Aktivieren von HTTPS-Verbindungen mit Ihrer Website oder Anwendung in AWS benötigen Sie ein SSL/TLS-Serverzertifikat. Sie können ACM oder IAM verwenden, um Serverzertifikate zu speichern und bereitzustellen. Das Entfernen abgelaufener SSL/TLS-Zertifikate beseitigt das Risiko, dass ein ungültiges Zertifikat versehentlich in einer Ressource wie AWS Elastic Load Balancer (ELB) bereitgestellt wird, was die Glaubwürdigkeit der Anwendung/Website hinter dem ELB beeinträchtigen kann. Diese Überprüfung generiert Warnungen, wenn in AWS IAM abgelaufene SSL/TLS-Zertifikate gespeichert sind. Als bewährte Methode wird empfohlen, abgelaufene Zertifikate zu löschen.

Schweregrad: hoch

Importierte ACM-Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ACM-Zertifikate in Ihrem Konto innerhalb von 30 Tagen für den Ablauf gekennzeichnet sind. Es werden sowohl importierte Zertifikate als auch Zertifikate überprüft, die vom AWS Certificate Manager bereitgestellt werden. ACM kann Zertifikate, welche die DNS-Validierung verwenden, automatisch erneuern. Für Zertifikate, welche die E-Mail-Validierung verwenden, müssen Sie auf eine E-Mail für die Domänenüberprüfung antworten. Außerdem verlängert ACM Zertifikate, die Sie importieren, nicht automatisch. Sie müssen importierte Zertifikate manuell erneuern. Weitere Informationen zur verwalteten Verlängerung von ACM-Zertifikaten finden Sie im Benutzerhandbuch für den AWS Certificate Manager unter Verwaltete Erneuerung für ACM-Zertifikate.

Schweregrad: Mittel

Überdimensionierte Identitäten in Konten sollten untersucht werden, um den Index der schleichenden Berechtigungsausweitung (Permission Creep Index, PCI) zu reduzieren.

Beschreibung: Überbereitstellungsidentitäten in Konten sollten untersucht werden, um den Permission Creep Index (PCI) zu reduzieren und Ihre Infrastruktur zu schützen. Reduzieren Sie die PCI, indem Sie die nicht verwendeten Zuweisungen von Berechtigungen mit hohem Risiko entfernen. High PCI spiegelt das Risiko wider, das den Identitäten mit Berechtigungen zugeordnet ist, die ihre normale oder erforderliche Nutzung überschreiten.

Schweregrad: Mittel

Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob automatische Nebenversionsupgrades für die RDS-Datenbankinstanz aktiviert sind. Durch das Aktivieren automatischer Upgrades für Nebenversionen wird sichergestellt, dass die neuesten Nebenversionsupdates für das Managementsystem für relationale Datenbanken (Relational Database Management System, RDBMS) installiert sind. Diese Upgrades können Sicherheitspatches und Fehlerbehebungen enthalten. Die regelmäßige Installation der neuesten Patches ist ein wichtiger Schritt bei der Absicherung von Systemen.

Schweregrad: hoch

RDS-Clustermomentaufnahmen und -Datenbankmomentaufnahmen sollten im Ruhezustand verschlüsselt sein.

Beschreibung: Dieses Steuerelement überprüft, ob RDS DB-Momentaufnahmen verschlüsselt sind. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Momentaufnahmen von Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Clustern erzeugen. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Die Verschlüsselung ruhender Daten verringert das Risiko, dass ein nicht authentifizierter Benutzer Zugriff auf Daten erhält, die auf dem Datenträger gespeichert sind. Daten in RDS-Momentaufnahmen sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu bieten.

Schweregrad: Mittel

Für RDS-Cluster sollte der Löschschutz aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob RDS-Cluster den Löschschutz aktiviert haben. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Das Aktivieren des Clusterlöschschutzes ist eine weitere Schutzebene vor versehentlichem Löschen oder Löschen durch eine nicht autorisierte Entität. Wenn der Löschschutz aktiviert ist, kann ein RDS-Cluster nicht gelöscht werden. Bevor eine Löschanforderung erfolgreich ausgeführt werden kann, muss der Löschschutz deaktiviert werden.

Schweregrad: Niedrig

RDS DB-Cluster sollten für mehrere Verfügbarkeitszonen konfiguriert werden

Beschreibung: RDS DB-Cluster sollten für mehrere gespeicherte Daten konfiguriert werden. Die Bereitstellung auf mehreren Verfügbarkeitszonen ermöglicht die Automatisierung von Verfügbarkeitszonen, um die Verfügbarkeit eines Failovers im Falle eines Verfügbarkeitszonenproblems und bei regelmäßigen RDS-Wartungsereignissen sicherzustellen.

Schweregrad: Mittel

RDS-Datenbankcluster sollten so konfiguriert werden, dass Tags in Momentaufnahmen kopiert werden.

Beschreibung: Die Identifizierung und Bestandsaufnahme Ihrer IT-Ressourcen ist ein wichtiger Aspekt der Governance und Sicherheit. Sie benötigen Sichtbarkeit aller RDS-Datenbankcluster, damit Sie deren Sicherheitsstatus bewerten und Maßnahmen zu potenziellen Schwachstellen ergreifen können. Momentaufnahmen sollten auf die gleiche Weise markiert werden wie ihre übergeordneten RDS-Datenbankcluster. Durch Aktivieren dieser Einstellung wird sichergestellt, dass Momentaufnahmen die Tags ihrer übergeordneten Datenbankcluster erben.

Schweregrad: Niedrig

RDS-Datenbankinstanzen sollten so konfiguriert werden, dass Tags in Momentaufnahmen kopiert werden.

Beschreibung: Dieses Steuerelement überprüft, ob RDS DB-Instanzen so konfiguriert sind, dass alle Tags in Momentaufnahmen kopiert werden, wenn die Momentaufnahmen erstellt werden. Identifikation und Inventar Ihrer IT-Ressourcen sind ein entscheidender Aspekt von Governance und Sicherheit. Sie benötigen Sichtbarkeit aller RDS-Datenbankinstanzen, damit Sie deren Sicherheitsstatus bewerten und Maßnahmen zu potenziellen Schwachstellen ergreifen können. Momentaufnahmen sollten auf die gleiche Weise markiert werden wie ihre übergeordneten RDS-Datenbankinstanzen. Durch Aktivieren dieser Einstellung wird sichergestellt, dass Momentaufnahmen die Tags ihrer übergeordneten Datenbankinstanzen erben.

Schweregrad: Niedrig

RDS DB-Instanzen sollten mit mehreren Verfügbarkeitszonen konfiguriert werden

Beschreibung: Dieses Steuerelement überprüft, ob hohe Verfügbarkeit für Ihre RDS DB-Instanzen aktiviert ist. RDS DB-Instanzen sollten für mehrere Verfügbarkeitszonen (AZs) konfiguriert werden. Hierdurch wird die Verfügbarkeit der gespeicherten Daten sichergestellt. Bereitstellungen mit mehreren Verfügbarkeitszonen ermöglichen ein automatisiertes Failover bei einem Problem mit der Verfügbarkeit einer Verfügbarkeitszone und während der regulären RDS-Wartung.

Schweregrad: Mittel

Für RDS-Datenbankinstanzen sollte der Löschschutz aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob Ihre RDS DB-Instanzen, die eines der aufgeführten Datenbankmodule verwenden, einen Löschschutz aktiviert haben. Das Aktivieren des Instanzlöschschutzes ist eine weitere Schutzebene vor versehentlichem Löschen oder Löschen durch eine nicht autorisierte Entität. Solange der Löschschutz aktiviert ist, kann eine RDS-Datenbankinstanz nicht gelöscht werden. Bevor eine Löschanforderung erfolgreich ausgeführt werden kann, muss der Löschschutz deaktiviert werden.

Schweregrad: Niedrig

Für RDS-Datenbankinstanzen sollte die Verschlüsselung im Ruhezustand aktiviert sein.

Beschreibung: Dieses Steuerelement überprüft, ob die Speicherverschlüsselung für Ihre Amazon RDS DB-Instanzen aktiviert ist. Diese Kontrolle ist für RDS-Datenbankinstanzen vorgesehen. Sie kann jedoch auch Ergebnisse für Aurora-Datenbankinstanzen, Neptune-Datenbankinstanzen und Amazon DocumentDB-Cluster generieren. Wenn diese Ergebnisse nicht nützlich sind, können Sie diese unterdrücken. Um eine zusätzliche Sicherheitsebene für Ihre vertraulichen Daten in RDS-Datenbankinstanzen zu erhalten, sollten Sie Ihre RDS-Datenbankinstanzen so konfigurieren, dass sie im Ruhezustand verschlüsselt werden. Aktivieren Sie die Verschlüsselungsoption für Ihre RDS-Datenbankinstanzen, um Ihre RDS-Datenbankinstanzen und ruhenden Momentaufnahmen zu verschlüsseln. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugrunde liegenden Speicher für Datenbankinstanzen, seine automatisierten Sicherungen, Lesereplikate und Momentaufnahmen. Verschlüsselte RDS-Datenbankinstanzen verwenden den offenen AES-256-Standardverschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, auf dem Ihre RDS-Datenbankinstanzen gehostet werden. Nachdem Ihre Daten verschlüsselt wurden, verwaltet Amazon RDS die Authentifizierung des Zugriffs und der Entschlüsselung Ihrer Daten transparent mit minimalen Auswirkungen auf die Leistung. Sie müssen Ihre Datenbankclientanwendungen nicht ändern, um die Verschlüsselung zu verwenden. Die Amazon RDS-Verschlüsselung ist derzeit für alle Datenbank-Engines und Speichertypen verfügbar. Die Amazon RDS-Verschlüsselung ist für die meisten Datenbankinstanzklassen verfügbar. Weitere Informationen zu Datenbankinstanzklassen, die keine Amazon RDS-Verschlüsselung unterstützen, finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen im Amazon RDS-Benutzerhandbuch.

Schweregrad: Mittel

RDS DB-Instanzen sollten den öffentlichen Zugriff untersagen.

Beschreibung: Es wird empfohlen, auch sicherzustellen, dass der Zugriff auf die Konfiguration Ihrer RDS-Instanz nur auf autorisierte Benutzer beschränkt ist, indem Sie die BERECHTIGUNGEN von BENUTZERN einschränken, um die Einstellungen und Ressourcen von RDS-Instanzen zu ändern.

Schweregrad: hoch

RDS-Momentaufnahmen sollten den öffentlichen Zugriff untersagen.

Beschreibung: Es wird empfohlen, nur autorisierte Prinzipale für den Zugriff auf die Momentaufnahme zuzulassen und die Amazon RDS-Konfiguration zu ändern.

Schweregrad: hoch

Entfernen nicht verwendeter Geheimnisse des Secrets Managers

Beschreibung: Dieses Steuerelement überprüft, ob innerhalb einer bestimmten Anzahl von Tagen auf Ihre geheimen Schlüssel zugegriffen wurde. Der Standardwert beträgt 90 Tage. Wenn innerhalb der definierten Anzahl von Tagen nicht auf ein Geheimnis zugegriffen wurde, schlägt diese Kontrolle fehl. Das Löschen von nicht verwendeten Geheimnissen ist genauso wichtig wie das Rotieren von Geheimnissen. Nicht verwendete Geheimnisse können von ihren früheren Benutzern missbraucht werden, die keinen Zugriff mehr auf diese Geheimnisse benötigen. Wenn zusätzlich mehr Benutzer Zugriff auf ein Geheimnis erhalten, kann es auch sein, dass jemand es falsch behandelt und es an eine nicht autorisierte Entität durchsickert, was das Missbrauchsrisiko erhöht. Das Löschen nicht verwendeter Geheimnisse hilft dabei, den Zugriff auf Geheimnisse für Benutzer zu widerrufen, die ihn nicht mehr benötigen. Es trägt auch dazu bei, die Kosten für die Verwendung des Secrets Managers zu senken. Daher ist es wichtig, nicht verwendete Geheimnisse routinemäßig zu löschen.

Schweregrad: Mittel

Für S3-Buckets muss die regionsübergreifende Replikation aktiviert sein.

Beschreibung: Durch aktivieren der regionsübergreifenden S3-Replikation wird sichergestellt, dass mehrere Versionen der Daten in unterschiedlichen Regionen verfügbar sind. So können Sie Ihren S3-Bucket vor DDoS-Angriffen und Datenbeschädigungen schützen.

Schweregrad: Niedrig

Für S3-Buckets muss die serverseitige Verschlüsselung aktiviert sein.

Beschreibung: Aktivieren Sie die serverseitige Verschlüsselung, um Daten in Ihren S3-Buckets zu schützen. Durch die Verschlüsselung der Daten kann der Zugriff auf vertrauliche Daten im Falle einer Datenpanne verhindert werden.

Schweregrad: Mittel

Secrets Manager-Geheimnisse, die mit automatischer Rotation konfiguriert wurden, sollten erfolgreich rotiert werden.

Beschreibung: Dieses Steuerelement überprüft, ob ein geheimer AWS Secrets Manager-Schlüssel basierend auf dem Rotationszeitplan erfolgreich gedreht wurde. Die Kontrolle schlägt fehl, wenn RotationOccurringAsScheduledFALSE ist. Die Kontrolle wertet keine Geheimnisse aus, für die keine Rotation konfiguriert ist. Der Secrets Manager hilft Ihnen, den Sicherheitsstatus Ihrer Organisation zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldeinformationen, Kennwörter und API-Schlüssel von Drittanbietern. Sie können den Secrets Manager verwenden, um Geheimnisse zentral zu speichern, Geheimnisse automatisch zu verschlüsseln, den Zugriff auf Geheimnisse zu steuern und Geheimnisse sicher und automatisch zu rotieren. Der Secrets Manager kann Geheimnisse rotieren. Sie können die Rotation verwenden, um Geheimnisse mit langer Gültigkeitsdauer durch kurzlebigere Geheimnisse zu ersetzen. Das Rotieren Ihrer Geheimnisse schränkt ein, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig rotieren. Zusätzlich zur Konfiguration von Geheimnissen für die automatische Rotation sollten Sie sicherstellen, dass diese Geheimnisse basierend auf dem Rotationszeitplan erfolgreich rotiert werden. Weitere Informationen zur Rotation finden Sie unter Rotieren Ihrer AWS Secrets Manager-Geheimnisse im AWS Secrets Manager-Benutzerhandbuch.

Schweregrad: Mittel

Geheimnisse des Geheimnis-Managers müssen innerhalb einer angegebenen Anzahl von Tagen rotiert werden.

Beschreibung: Dieses Steuerelement überprüft, ob Ihre geheimen Schlüssel mindestens einmal innerhalb von 90 Tagen gedreht wurden. Das Rotieren von Geheimnissen kann Ihnen helfen, das Risiko einer unbefugten Verwendung Ihrer Geheimnisse in Ihrem AWS-Konto zu verringern. Beispiele sind Datenbankanmeldeinformationen, Kennwörter, Drittanbieter-API-Schlüssel und sogar beliebiger Text. Wenn Sie Ihre Geheimnisse über einen längeren Zeitraum nicht ändern, wird die Wahrscheinlichkeit der Kompromittierung der Geheimnisse immer größer. Da immer mehr Benutzer Zugriff auf ein Geheimnis erhalten, wird es immer wahrscheinlicher, dass jemand es falsch behandelt und es an eine nicht autorisierte Entität durchsickert. Geheimnisse können über Protokolle und Cachedaten durchsickern. Sie können zum Zweck des Debuggens freigegeben und nach Abschluss des Debuggens nicht geändert oder widerrufen werden. Aus all diesen Gründen sollten Geheimnisse häufig rotiert werden. Sie können Ihre Geheimnisse für die automatische Rotation im AWS Secrets Manager konfigurieren. Mit der automatischen Rotation können Sie Geheimnisse mit langfristiger Gültigkeitsdauer durch kurzlebigere Geheimnisse ersetzen und so das Risiko einer Kompromittierung erheblich verringern. Der Security Hub empfiehlt, die Rotation für Ihre Geheimnisse im Secrets Manager zu aktivieren. Weitere Informationen zur Rotation finden Sie unter Rotieren Ihrer AWS Secrets Manager-Geheimnisse im AWS Secrets Manager-Benutzerhandbuch.

Schweregrad: Mittel

Beschreibung: Dieses Steuerelement überprüft, ob ein SNS-Thema mit AWS KMS verschlüsselt ist. Durch das Verschlüsseln ruhender Daten wird das Risiko verringert, dass ein nicht bei AWS authentifizierter Benutzer auf Daten zugreift, die auf dem Datenträger gespeichert sind. Außerdem wird ein weiterer Satz von Zugriffskontrollen hinzugefügt, um den Zugriff nicht autorisierter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können. SNS-Themen sollten für eine zusätzliche Sicherheitsebene verschlüsselt werden. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand im Entwicklerhandbuch des Amazon Simple Notification Service.

Schweregrad: Mittel

VPC Flow Logs sollte in allen VPCs aktiviert sein.

Beschreibung: FLOW Logs bieten Einblicke in den Netzwerkdatenverkehr, der durch das STEUERELEMENT durchläuft, und kann verwendet werden, um anomale Datenverkehr oder Einblicke während Sicherheitsereignissen zu erkennen.

Schweregrad: Mittel

Empfehlungen für GCP-Daten

Stellen Sie sicher, dass die Datenbankkennzeichnung "3625 (Ablaufverfolgungskennzeichnung)" für cloud SQL SQL Server Instanz auf "aus" festgelegt ist.

Description: Es wird empfohlen, das Datenbankflaggen "3625 (Ablaufverfolgungskennzeichnung)" für Cloud SQL-SQL Server Instanz auf "aus" festzulegen. Ablaufverfolgungskennzeichnungen werden häufig verwendet, um Leistungsprobleme zu diagnostizieren oder gespeicherte Prozeduren oder komplexe Computersysteme zu debuggen, aber sie können auch von Microsoft-Support empfohlen werden, verhalten zu beheben, das sich negativ auf eine bestimmte Workload auswirkt. Alle dokumentierten Ablaufverfolgungskennzeichnungen und diejenigen, die von Microsoft-Support empfohlen werden, werden in einer Produktionsumgebung vollständig unterstützt, wenn sie wie angewiesen verwendet werden. "3625(Ablaufverfolgungsprotokoll)" Schränkt die Menge der Informationen ein, die an Benutzer zurückgegeben werden, die keine Mitglieder der festen Serverrolle "sysadmin" sind, indem die Parameter einiger Fehlermeldungen mithilfe von "******" maskiert werden. Dadurch kann verhindert werden, dass vertrauliche Informationen offen gelegt werden. Daher wird empfohlen, dieses Flag zu deaktivieren. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: Mittel

Stellen Sie sicher, dass die Datenbankkennzeichnung "externe Skripts aktiviert" für cloud SQL SQL Server Instanz auf "aus" festgelegt ist.

Description: Es wird empfohlen, die Datenbankkennzeichnung "externe Skripts aktiviert" für cloud SQL SQL Server Instanz auf "deaktiviert" festzulegen. Mit "Externe Skripts aktiviert" wird die Ausführung von Skripts mit bestimmten Remotespracherweiterungen aktiviert. Diese Eigenschaft ist standardmäßig deaktiviert. Beim Setup kann diese Eigenschaft optional auf TRUE festgelegt werden, wenn Advanced Analytics Services installiert wird. Da das Feature "Externe Skripts aktiviert" zulässt, dass Skripts außerhalb von SQL, z. B. Dateien, die sich in einer R-Bibliothek befinden, ausgeführt werden, was sich negativ auf die Sicherheit des Systems auswirken kann, sollte das Feature deaktiviert werden. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: hoch

Stellen Sie sicher, dass die Datenbankkennzeichnung "Remotezugriff" für cloud SQL SQL Server Instanz auf "aus" festgelegt ist.

Description: Es wird empfohlen, die Datenbankkennzeichnung "Remotezugriff" für Cloud SQL SQL Server Instanz auf "aus" festzulegen. Die Option "Remotezugriff" steuert die Ausführung gespeicherter Prozeduren von lokalen oder Remoteservern, auf denen Instanzen von SQL Server ausgeführt werden. Der Standardwert für diese Option ist 1. Damit wird die Berechtigung zum Ausführen lokal gespeicherter Prozeduren von Remoteservern aus oder zum Ausführen remote gespeicherter Prozeduren vom lokalen Server aus erteilt. Um zu verhindern, dass lokal gespeicherte Prozeduren von einem Remoteserver aus oder remote gespeicherte Prozeduren auf dem lokalen Server ausgeführt werden können, muss diese Option deaktiviert werden. Mithilfe der Option "Remotezugriff" können Sie die Ausführung lokal gespeicherter Prozeduren auf Remoteservern sowie remote gespeicherter Prozeduren auf lokalen Servern verwalten. Die Funktion "Remotezugriff" kann missbraucht werden, um einen Denial-of-Service-Angriff (DoS) auf Remoteservern zu starten, indem die Abfrageverarbeitung auf ein Ziel verlagert wird. Daher sollte die Funktion deaktiviert werden. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: hoch

Stellen Sie sicher, dass das Datenbankflag "skip_show_database" für die Cloud SQL MySQL-Instanz auf "on" festgelegt ist.

Beschreibung: Es wird empfohlen, die Datenbankkennzeichnung "skip_show_database" für cloud SQL Mysql-Instanz auf "Ein" festzulegen. Das Datenbankflagge "skip_show_database" verhindert, dass Benutzer die SHOW DATABASES-Anweisung verwenden, wenn sie nicht über die Berechtigungen "SHOW DATABASES" verfügen. Dies kann die Sicherheit verbessern, wenn Sie Bedenken haben, dass Benutzer Datenbanken sehen können, die anderen Benutzern gehören. Die Auswirkung hängt von der SHOW DATABASES-Berechtigung ab: Wenn der Variablenwert ON ist, ist die SHOW DATABASES-Anweisung nur für Benutzer zulässig, die über die Berechtigung SHOW DATABASES verfügen, und die Anweisung zeigt alle Datenbanknamen an. Wenn der Wert OFF ist, ist SHOW DATABASES für alle Benutzer zulässig. Es werden jedoch nur die Namen der Datenbanken angezeigt, für die der Benutzer über die Berechtigung SHOW DATABASES oder eine andere Berechtigung verfügt. Diese Empfehlung gilt für MySQL-Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass für alle BigQuery-Datasets ein vom Kunden verwalteter Standardverschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) angegeben ist.

Google speichert Ihre Schlüssel nicht auf seinen Servern und kann nicht auf Ihre geschützten Daten zugreifen, es sei denn, Sie stellen den Schlüssel bereit.

Dies bedeutet auch, dass Es keine Möglichkeit gibt, den Schlüssel wiederherzustellen oder alle mit dem verlorenen Schlüssel verschlüsselten Daten wiederherzustellen, wenn Sie Ihren Schlüssel vergessen oder verlieren.

Schweregrad: Mittel

Stellen Sie sicher, dass alle BigQuery-Tabellen mit dem kundenseitig verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) verschlüsselt sind.

Beschreibung: BigQuery verschlüsselt die Daten standardmäßig als Rest, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Die Daten werden mit den Datenverschlüsselungsschlüsseln verschlüsselt, und die Datenverschlüsselungsschlüssel selbst werden mit Schlüsselverschlüsselungsschlüsseln weiter verschlüsselt. Dieser Vorgang ist nahtlos und erfordert keine zusätzliche Eingabe vom Benutzer. Wenn Sie jedoch mehr Kontrolle haben möchten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Datasets verwendet werden. Wenn vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden, wird der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, um die Datenverschlüsselungsschlüssel zu verschlüsseln, und nicht der von Google verwaltete Verschlüsselungsschlüssel. BigQuery verschlüsselt standardmäßig ruhende Daten, indem die Umschlagverschlüsselung mit von Google verwalteten kryptografischen Schlüsseln verwendet wird. Dies ist nahtlos und erfordert keine zusätzlichen Eingaben des Benutzers. Um mehr Kontrolle über die Verschlüsselung zu erhalten, können vom Kunden verwaltete Verschlüsselungsschlüssel als Lösung für die Verwaltung von Verschlüsselungsschlüsseln für BigQuery-Tabellen verwendet werden. Der vom Kunden verwaltete Verschlüsselungsschlüssel wird verwendet, um die Datenverschlüsselungsschlüssel zu verschlüsseln, nicht der von Google verwaltete Verschlüsselungsschlüssel. BigQuery speichert die Tabelle sowie den zugeordneten vom Kunden verwalteten Verschlüsselungsschlüssel, und die Ver-/Entschlüsselung erfolgt automatisch. Durch Anwendung von standardmäßigen, vom Kunden verwalteten Verschlüsselungsschlüsseln auf BigQuery-Datasets wird sichergestellt, dass alle in Zukunft erstellten neuen Tabellen mit dem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt werden. Vorhandene Tabellen müssen jedoch einzeln aktualisiert werden, damit vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden.

Google speichert Ihre Schlüssel nicht auf seinen Servern und kann nicht auf Ihre geschützten Daten zugreifen, es sei denn, Sie stellen den Schlüssel bereit. Dies bedeutet auch, dass Es keine Möglichkeit gibt, den Schlüssel wiederherzustellen oder alle mit dem verlorenen Schlüssel verschlüsselten Daten wiederherzustellen, wenn Sie Ihren Schlüssel vergessen oder verlieren.

Schweregrad: Mittel

BigQuery-Datasets dürfen nicht anonym oder öffentlich zugänglich sein.

Beschreibung: Es wird empfohlen, dass die IAM-Richtlinie für BigQuery-Datasets keinen anonymen und/oder öffentlichen Zugriff zulässt. Durch das Erteilen von Berechtigungen für "allUsers" oder "allAuthenticatedUsers" kann jeder auf das Dataset zugreifen. Ein solcher Zugriff ist u. U. nicht wünschenswert, wenn vertrauliche Daten im Dataset gespeichert sind. Stellen Sie daher sicher, dass anonymer und/oder öffentlicher Zugriff auf ein Dataset nicht zulässig ist.

Schweregrad: hoch

Cloud SQL-Datenbankinstanzen müssen mit automatisierten Sicherungen konfiguriert sein.

Beschreibung: Es wird empfohlen, alle SQL-Datenbankinstanzen so festzulegen, dass automatisierte Sicherungen aktiviert werden. Sicherungen bieten eine Möglichkeit, eine Cloud SQL-Instanz wiederherzustellen, um verlorene Daten oder die Instanz nach einem Problem mit der betreffenden Instanz wiederherzustellen. Automatisierte Sicherungen müssen für jede Instanz festgelegt werden, die Daten enthält, die vor Verlust oder Beschädigung geschützt werden sollen. Diese Empfehlung gilt für SQL Server-, PostgreSql-, MySql-Generation 1- und MySql-Instanzen der Generation 2.

Schweregrad: hoch

Stellen Sie sicher, dass Cloud SQL-Datenbankinstanzen nicht für die Welt geöffnet sind

Beschreibung: Datenbankserver sollten Verbindungen nur von vertrauenswürdigen Netzwerken/IP(n) akzeptieren und den Zugriff auf die Welt einschränken. Um die Angriffsfläche einer Datenbankserverinstanz zu minimieren, sollten nur vertrauenswürdige/bekannte und erforderliche IP(n) genehmigt werden, um eine Verbindung damit herzustellen. Ein autorisiertes Netzwerk sollte keine IPs/Netzwerke mit 0.0.0.0.0/0 konfiguriert haben, was den Zugriff auf die Instanz von überall auf der Welt ermöglicht. Beachten Sie, dass autorisierte Netzwerke nur für Instanzen mit öffentlichen IP-Adressen gelten.

Schweregrad: hoch

Cloud SQL-Datenbankinstanzen dürfen keine öffentlichen IP-Adressen verwenden.

Beschreibung: Es wird empfohlen, sql-Instanz der zweiten Generation so zu konfigurieren, dass private IPs anstelle öffentlicher IPs verwendet werden. Um die Angriffsfläche der Organisation zu verringern, sollten Cloud SQL-Datenbanken keine öffentlichen IPs haben. Private IP-Adressen bieten mehr Netzwerksicherheit und eine geringere Latenz für Ihre Anwendung.

Schweregrad: hoch

Der Cloud Storage-Bucket darf nicht anonym oder öffentlich zugänglich sein.

Beschreibung: Es wird empfohlen, dass die IAM-Richtlinie im Cloud Storage-Bucket keinen anonymen oder öffentlichen Zugriff zulässt. Wenn Sie anonymen oder öffentlichen Zugriff zulassen, erhält jeder Zugriffsberechtigungen für Bucketinhalte. Ein solcher Zugriff ist möglicherweise nicht erwünscht, wenn Sie vertrauliche Daten speichern. Stellen Sie daher sicher, dass anonymer oder öffentlicher Zugriff auf einen Bucket nicht zulässig ist.

Schweregrad: hoch

Für Cloudspeicherbuckets muss ein einheitlicher Zugriff auf Bucketebene aktiviert sein.

Beschreibung: Es wird empfohlen, dass der einheitliche Zugriff auf Bucketebene in Cloud Storage-Buckets aktiviert ist. Es wird empfohlen, den einheitlichen Zugriff auf Bucketebene zu verwenden, um den Zugriff auf Ihre CloudSpeicherressourcen zu vereinheitlichen und zu vereinfachen. Cloud Storage bietet zwei Systeme zum Gewähren der Berechtigung für den Zugriff auf Ihre Buckets und Objekte: Cloud Identity and Access Management (Cloud IAM) und Access Control Lists (ACLs).
Diese Systeme agieren parallel: Damit ein Benutzer auf eine Cloud Storage-Ressource zugreifen kann, muss nur eines der Systeme dem Benutzer die entsprechende Berechtigung erteilen. Cloud IAM wird in der gesamten Google Cloud verwendet und ermöglicht es Ihnen, eine Vielzahl von Berechtigungen auf Bucket- und Projektebene zu gewähren. ACLs werden nur von Cloud Storage verwendet und verfügen über eingeschränkte Berechtigungsoptionen. Sie bieten jedoch die Möglichkeit, Berechtigungen auf Objektbasis zu erteilen.

Um ein einheitliches Berechtigungssystem zu unterstützen, verfügt Cloud Storage über einen einheitlichen Zugriff auf Bucketebene. Durch die Verwendung dieses Features werden ACLs für alle CloudSpeicherressourcen deaktiviert: Der Zugriff auf Cloud Storage-Ressourcen wird dann ausschließlich über Cloud IAM gewährt. Durch das Aktivieren des einheitlichen Zugriffs auf Bucketebene wird sichergestellt, dass, wenn ein Speicher-Bucket nicht öffentlich zugänglich ist, kein Objekt im Bucket öffentlich zugänglich ist.

Schweregrad: Mittel

Stellen Sie sicher, dass Confidential Computing für Compute-Instanzen aktiviert ist.

Beschreibung: Google Cloud verschlüsselt ruhende und während der Übertragung ruhende Daten, kundendaten müssen jedoch zur Verarbeitung entschlüsselt werden. Vertrauliches Computing ist eine bahnbrechende Technologie, die Daten verschlüsselt, während sie verarbeitet wird. In Confidential Computing-Umgebungen werden Daten im Arbeitsspeicher und an anderen Stellen außerhalb der zentralen Verarbeitungseinheit (CPU) verschlüsselt. Vertrauliche VMs nutzen das Secure Encrypted Virtualization (SEV)-Feature von AMD EPYC-CPUs. Kundendaten bleiben verschlüsselt, während sie verwendet, indiziert, abgefragt oder trainiert werden. Verschlüsselungsschlüssel werden hardwaregestützt für die jeweilige VM generiert und können nicht exportiert werden. Dank integrierter Hardwareoptimierungen sowohl der Leistung als auch der Sicherheit gibt es keine erhebliche Leistungseinbußen für vertrauliche Computing-Workloads. Confidential Computing ermöglicht eine Verschlüsselung des sensiblen Codes und anderer Daten von Kunden bei der Verarbeitung im Arbeitsspeicher. Google hat keinen Zugriff auf die Verschlüsselungsschlüssel. Vertrauliche VMs können dazu beitragen, Bedenken hinsichtlich Risiken im Zusammenhang mit der Abhängigkeit von der Google-Infrastruktur oder dem Zugriff von Google-Insidern auf unverschlüsselte Kundendaten zu entschärfen.

Schweregrad: hoch

Stellen Sie sicher, dass Aufbewahrungsrichtlinien für Protokollbuckets mithilfe der Bucketsperre konfiguriert werden.

Beschreibung: Das Aktivieren von Aufbewahrungsrichtlinien in Protokoll-Buckets schützt Protokolle, die in Cloudspeicher-Buckets gespeichert sind, vor dem Überschreiben oder versehentlichen Löschen. Es wird empfohlen, Aufbewahrungsrichtlinien einzurichten und Bucket-Sperre für alle Speicher-Buckets zu konfigurieren, die als Protokollsenken verwendet werden. Protokolle können exportiert werden, indem mindestens eine Senke erstellt wird, die einen Protokollfilter und ein Ziel enthält. Da stackdriver Logging neue Protokolleinträge empfängt, werden sie mit jeder Spüle verglichen. Wenn ein Protokolleintrag mit dem Filter einer Senke übereinstimmt, wird eine Kopie des Protokolleintrags in das Ziel geschrieben. Senken können so konfiguriert werden, dass Protokolle in Speicherbuckets exportiert werden. Es wird empfohlen, eine Datenaufbewahrungsrichtlinie für diese Cloudspeicher-Buckets zu konfigurieren und die Datenaufbewahrungsrichtlinie zu sperren. so dauerhaft zu verhindern, dass die Richtlinie reduziert oder entfernt wird. Wenn das System jemals von einem Angreifer oder einem böswilligen Insider kompromittiert wird, der seine Spuren verwischen möchte, werden die Aktivitätsprotokolle so definitiv für forensische Untersuchungen und Sicherheitsuntersuchungen aufbewahrt.

Schweregrad: Niedrig

Für alle eingehenden Verbindungen mit einer Cloud SQL-Datenbankinstanz muss SSL verwendet werden.

Beschreibung: Es wird empfohlen, alle eingehenden Verbindungen mit der SQL-Datenbankinstanz zu erzwingen, um SSL zu verwenden. SQL-Datenbankverbindungen, wenn erfolgreich abgefangen (MITM); kann vertrauliche Daten wie Anmeldeinformationen, Datenbankabfragen, Abfrageausgaben usw. anzeigen. Aus Sicherheitsgründen wird empfohlen, beim Herstellen einer Verbindung mit Ihrer Instanz immer SSL-Verschlüsselung zu verwenden. Diese Empfehlung gilt für Postgresql-, MySql-Generation 1- und MySql-Instanzen der Generation 2.

Schweregrad: hoch

Stellen Sie sicher, dass die Datenbankkennzeichnung "enthaltene Datenbankauthentifizierung" für Cloud SQL in der SQL Server Instanz auf "aus" festgelegt ist.

Description: Es wird empfohlen, die Datenbankkennzeichnung "enthaltene Datenbankauthentifizierung" für Cloud SQL in der SQL Server Instanz auf "aus" festzulegen. Eine enthaltene Datenbank enthält alle Datenbankeinstellungen und Metadaten, die zum Definieren der Datenbank erforderlich sind und keine Konfigurationsabhängigkeiten von der Instanz der Datenbank-Engine, in der die Datenbank installiert ist. Benutzer können eine Verbindung mit der Datenbank herstellen, ohne eine Anmeldung auf Datenbank-Engine-Ebene zu authentifizieren. Durch das Isolieren der Datenbank aus der Datenbank-Engine ist es möglich, die Datenbank auf einfache Weise in eine andere Instanz von SQL Server zu verschieben. Enthaltene Datenbanken weisen einige eindeutige Bedrohungen auf, die von SQL Server-Datenbank-Engine Administratoren verstanden und abgemildert werden sollten. Die meisten Bedrohungen beziehen sich auf den Authentifizierungsprozess VON USER WITH PASSWORD, wodurch die Authentifizierungsgrenze von der Datenbank-Engine-Ebene auf die Datenbankebene verschoben wird. Daher wird empfohlen, dieses Flag zu deaktivieren. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflagge "cross db ownership chaining" für Cloud SQL SQL Server Instanz auf "off" festgelegt ist.

Description: Es wird empfohlen, für Cloud SQL SQL Server Instanz das Datenbankflagge "cross db ownershiping" auf "off" festzulegen. Verwenden Sie die Option "Cross db ownership" zum Verketten der datenbankübergreifenden Besitzverkettung für eine Instanz von Microsoft SQL Server. Mithilfe dieser Serveroption können Sie die datenbankübergreifende Besitzverkettung für alle Datenbanken auf Datenbankebene steuern oder die datenbankübergreifende Besitzverkettung für alle Datenbanken ermöglichen. Das Aktivieren von "cross db ownership" wird nicht empfohlen, es sei denn, alle Datenbanken, die von der Instanz von SQL Server gehostet werden, müssen an der datenbankübergreifenden Besitzverkettung teilnehmen und sie wissen über die Sicherheitsauswirkungen dieser Einstellung. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: Mittel

Stellen Sie sicher, dass das Datenbankflag "local_infile" für eine Cloud SQL MySQL-Instanz auf "off" festgelegt ist.

Beschreibung: Es wird empfohlen, das local_infile Datenbankkennzeichnung für eine Cloud SQL MySQL-Instanz auf "deaktiviert" festzulegen. Das "local_infile"-Flag steuert die serverseitige LOCAL-Funktion für LOAD DATA-Anweisungen. Abhängig von der "local_infile"-Einstellung kann der Server das Laden von lokalen Daten von Clients, für die LOCAL auf der Clientseite aktiviert ist, verweigern oder zulassen. Um den Server explizit dazu zu veranlassen, LOAD DATA LOCAL-Anweisungen abzulehnen (unabhängig davon, wie Clientprogramme und Bibliotheken zur Buildzeit oder Laufzeit konfiguriert sind), beginnen mysqld Sie mit local_infile deaktiviert. "local_infile" kann auch zur Laufzeit festgelegt werden. Aufgrund von Sicherheitsproblemen im Zusammenhang mit dem local_infile Flag wird empfohlen, es zu deaktivieren. Diese Empfehlung gilt für MySQL-Datenbankinstanzen.

Schweregrad: Mittel

Für Änderungen an Cloud Storage-IAM-Berechtigungen müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Es wird empfohlen, einen metrikbasierten Filter und Alarm für ÄNDERUNGEN des Cloud Storage Bucket IAM einzurichten. Die Überwachung von Änderungen an Cloudspeicher-Bucket-Berechtigungen kann die Zeit reduzieren, die erforderlich ist, um Berechtigungen für vertrauliche Cloudspeicher-Buckets und -Objekte innerhalb des Buckets zu erkennen und zu korrigieren.

Schweregrad: Niedrig

Für Konfigurationsänderungen an SQL-Instanzen müssen Protokollmetrikfilter und -warnungen vorhanden sein.

Beschreibung: Es wird empfohlen, einen Metrikfilter und einen Alarm für Konfigurationsänderungen der SQL-Instanz einzurichten. Die Überwachung von Änderungen an konfigurationsänderungen der SQL-Instanz kann die Zeit reduzieren, die zum Erkennen und Korrigieren von Fehlkonfigurationen auf dem SQL-Server erforderlich ist. Im Folgenden finden Sie einige der konfigurierbaren Optionen, die sich auf den Sicherheitsstatus einer SQL-Instanz auswirken können:

Aktivieren von automatischen Sicherungen und hoher Verfügbarkeit: Fehlkonfiguration kann sich negativ auf Geschäftskontinuität, Notfallwiederherstellung und hohe Verfügbarkeit auswirken
Autorisieren von Netzwerken: Fehlkonfiguration kann die Gefährdung von nicht vertrauenswürdigen Netzwerken erhöhen.

Schweregrad: Niedrig

Stellen Sie sicher, dass für jedes Dienstkonto nur GCP-verwaltete Dienstkontoschlüssel vorhanden sind.

Beschreibung: Benutzerverwaltete Dienstkonten sollten nicht über vom Benutzer verwaltete Schlüssel verfügen. Jeder, der Zugriff auf die Schlüssel hat, kann über das Dienstkonto auf Ressourcen zugreifen. Von Cloud Platform-Diensten wie App Engine und Compute Engine werden von GCP verwaltete Schlüssel verwendet. Diese Schlüssel können nicht heruntergeladen werden. Die Schlüssel verbleiben bei Google, und ungefähr wöchentlich erfolgt eine automatische Rotation. Benutzerverwaltete Schlüssel werden von Benutzern erstellt, heruntergeladen und verwaltet. Sie laufen 10 Jahre ab der Erstellung ab. Bei vom Benutzer verwalteten Schlüsseln muss der Benutzer den Besitz von Schlüsselverwaltungsaktivitäten übernehmen, darunter:

Schlüsselspeicher
Schlüsselverteilung
Schlüsselsperrung
Schlüsselrotation
Schlüsselschutz vor nicht autorisierten Benutzern
Schlüsselwiederherstellung

Selbst bei wichtigen Besitzer-Vorsichtsmaßnahmen können Schlüssel leicht durch weniger als optimale gängige Entwicklungsmethoden wie das Einchecken von Schlüsseln in den Quellcode oder das Verlassen der Schlüssel im Downloads-Verzeichnis oder versehentlich auf Supportblogs/Kanälen verloren gehen. Es wird empfohlen, vom Benutzer verwaltete Dienstkontoschlüssel zu verhindern.

Schweregrad: Niedrig

Stellen Sie sicher, dass die Datenbankkennzeichnung "Benutzerverbindungen" für cloud SQL SQL Server Instanz entsprechend festgelegt ist.

Description: Es wird empfohlen, die Datenbankkennzeichnung "Benutzerverbindungen" für cloud SQL SQL Server Instanz entsprechend dem durch die Organisation definierten Wert festzulegen. Die Option "Benutzerverbindungen" gibt die maximale Anzahl gleichzeitiger Benutzerverbindungen an, die für eine Instanz von SQL Server zulässig sind. Die tatsächliche Anzahl der zulässigen Benutzerverbindungen hängt auch von der Version von SQL Server ab, die Sie verwenden, sowie von den Grenzwerten Ihrer Anwendung oder Anwendungen und Hardware. SQL Server erlaubt maximal 32.767 Benutzerverbindungen. Da Es sich bei Benutzerverbindungen um eine dynamische Option (Selbstkonfiguration) handelt, passt SQL Server die maximale Anzahl von Benutzerverbindungen bei Bedarf bis zum maximal zulässigen Wert automatisch an. Wenn beispielsweise nur 10 Benutzer angemeldet sind, werden 10 Benutzerverbindungsobjekte reserviert. In den meisten Fällen ist es nicht erforderlich, dass Sie den Wert für diese Option ändern. Der Standardwert ist null (0), womit die maximale Anzahl (32.767) Benutzerverbindungen zulässig ist. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: Niedrig

Stellen Sie sicher, dass die Datenbankkennzeichnung "Benutzeroptionen" für cloud SQL SQL Server Instanz nicht konfiguriert ist.

Description: Es wird empfohlen, dass die Datenbankkennzeichnung "Benutzeroptionen" für cloud SQL SQL Server Instanz nicht konfiguriert werden sollte. Die Option "Benutzeroptionen" legt globale Standardwerte für alle Benutzer fest. Es wird eine Liste der Standardoptionen der Abfrageverarbeitung für die Dauer der Sitzung eines Benutzers erstellt. Mit der Einstellung "Benutzeroptionen" können Sie die Standardwerte der SET-Optionen ändern (wenn die Standardeinstellungen des Servers nicht geeignet sind). Ein Benutzer kann diese Standardeinstellungen mithilfe der SET-Anweisung überschreiben. Für neue Anmeldungen können Sie Benutzeroptionen dynamisch konfigurieren. Nachdem Sie die Einstellung der Benutzeroptionen geändert haben, verwenden neue Anmeldesitzungen die neue Einstellung; Aktuelle Anmeldesitzungen sind nicht betroffen. Diese Empfehlung gilt für SQL Server Datenbankinstanzen.

Schweregrad: Niedrig

Die Protokollierung für GKE-Cluster sollte aktiviert sein.

Beschreibung: Diese Empfehlung wertet aus, ob die loggingService-Eigenschaft eines Clusters die Speicherort-Cloudprotokollierung zum Schreiben von Protokollen enthält.

Schweregrad: hoch

Die Objektversionsverwaltung sollte für Speicherbuckets aktiviert sein, in denen Senken konfiguriert sind.

Beschreibung: Diese Empfehlung wertet aus, ob das aktivierte Feld in der Versionsverwaltungseigenschaft des Buckets auf "true" festgelegt ist.

Schweregrad: hoch

Übermäßig bereitgestellte Identitäten in Projekten sollten untersucht werden, um den Index für schleichende Berechtigungsausweitung (Permission Creep Index, PCI) zu reduzieren.

Beschreibung: Überbereitstellungsidentitäten in Projekten sollten untersucht werden, um den Permission Creep Index (PCI) zu reduzieren und Ihre Infrastruktur zu schützen. Reduzieren Sie die PCI, indem Sie die nicht verwendeten Zuweisungen von Berechtigungen mit hohem Risiko entfernen. High PCI spiegelt das Risiko wider, das den Identitäten mit Berechtigungen zugeordnet ist, die ihre normale oder erforderliche Nutzung überschreiten.

Schweregrad: Mittel

Projekte mit kryptografischen Schlüsseln dürfen keine Benutzer mit Besitzerberechtigungen aufweisen.

Beschreibung: Diese Empfehlung wertet die IAM-Zulassungsrichtlinie in Projektmetadaten für prinzipale zugewiesene Rollen/Besitzer aus.

Schweregrad: Mittel

Speicherbuckets, die als Protokollsenke verwendet werden, dürfen nicht öffentlich zugänglich sein.

Beschreibung: Diese Empfehlung wertet die IAM-Richtlinie eines Buckets für die Prinzipale allUsers oder allAuthenticatedUsers aus, die öffentlichen Zugriff gewähren.

Schweregrad: hoch

Geo-redundante Sicherungen sollten für PostgreSQL-Server aktiviert sein

Beschreibung:
Was ist georedundante Sicherung? Georedundante Sicherung repliziert Serversicherungen in einer gekoppelten Azure Region und bietet Resilienz gegenüber regionalen Fehlern.

Warum ist es ein Sicherheitsproblem? Wenn georedundante Sicherungen deaktiviert sind, kann ein regionaler Ausfall zu Datenverlusten und erweiterten Ausfallzeiten führen, was sich auf die Verfügbarkeit und Compliance auswirkt.

Wie könnten Angreifer sie ausnutzen oder wie könnte sie zu Datenschutzverletzungen führen? Obwohl nicht direkt ausgenutzt werden kann, erhöht der Mangel an Georedundanz die Auswirkungen von Katastrophen oder gezielten Angriffen auf eine einzelne Region.

Schweregrad: Niedrig

require_secure_transport sollte für Azure Database for PostgreSQL Server auf on festgelegt werden.

Beschreibung:
Was ist require_secure_transport? require_secure_transport ist ein Parameter auf Serverebene, der die Verwendung von SSL/TLS für alle Clientverbindungen mit PostgreSQL erzwingt. Wenn diese Option aktiviert ist, müssen Clients eine Verbindung über verschlüsselte Kanäle herstellen.

Warum ist es ein Sicherheitsproblem? Wenn diese Einstellung deaktiviert (deaktiviert) ist, können Clients eine Verbindung über unverschlüsselte Kanäle herstellen, vertrauliche Daten wie Anmeldeinformationen, Abfragen und Ergebnisse für Abfangen oder Manipulation verfügbar machen.

Wie könnten Angreifer sie ausnutzen oder wie könnte sie zu Datenschutzverletzungen führen? Ein Angreifer im Netzwerk könnte einen Man-in-the-Middle-Angriff durchführen, Daten zwischen Dem Client und Server abfangen oder ändern, wenn die Verschlüsselung nicht erzwungen wird.

Schweregrad: hoch

Privater Endpunkt sollte für Azure Database for PostgreSQL Server konfiguriert werden

Beschreibung:

Was ist ein privater Endpunkt? Ein privater Endpunkt in Azure ermöglicht den sicheren Zugriff auf Ressourcen über eine private IP-Adresse innerhalb eines virtuellen Netzwerks. Für Azure Database for PostgreSQL-Server stellt die Konfiguration eines privaten Endpunkts sicher, dass der Datenbankdatenverkehr nicht das öffentliche Internet durchläuft.

Warum ist es ein Sicherheitsproblem? Ohne einen privaten Endpunkt kann der Server für den Zugriff auf das öffentliche Netzwerk verfügbar gemacht werden, wodurch das Risiko eines nicht autorisierten Zugriffs, der Datenabnahme und der Denial-of-Service-Angriffe erhöht wird.

Wie könnten Angreifer sie ausnutzen oder wie könnte sie zu Datenschutzverletzungen führen? Ein Angreifer könnte öffentliche IP-Bereiche durchsuchen, um verfügbar gemachte Server zu ermitteln und Brute-Force- oder Exploit-basierte Angriffe zu versuchen. Die öffentliche Exposition erhöht auch das Risiko der Datenexfiltration über kompromittierte Clients.

Schweregrad: hoch

"Zugriff auf Azure-Dienste zulassen" sollte für PostgreSQL-Server deaktiviert werden

Beschreibung:

Was ist "Zugriff auf Azure Dienste zulassen"? Diese Einstellung erstellt eine Firewallregel, mit der alle Azure Dienste eine Verbindung mit dem PostgreSQL-Server herstellen können. Während praktisch, führt es zu erheblichen Risiken, indem Verbindungen von jedem Azure-Abonnement zugelassen werden.

Warum ist es ein Sicherheitsproblem? Durch Aktivieren dieser Einstellung werden Netzwerkisolationssteuerelemente umgangen, wodurch die Datenbank möglicherweise nicht autorisierten Zugriff von externen Azure Mandanten verfügbar ist.

Wie könnten Angreifer sie ausnutzen oder wie könnte sie zu Datenschutzverletzungen führen? Ein Angreifer, der von einem anderen Azure-Abonnement ausgeführt wird, kann Brute-Force-Angriffe oder Sicherheitsrisiken versuchen, wenn diese Regel aktiviert ist.

Schweregrad: hoch

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-15

Freigeben über

Datensicherheitsempfehlungen

Azure-Datenempfehlungen

Azure Cosmos DB sollte den Zugriff auf öffentliche Netzwerke deaktivieren

(Bei Bedarf aktivieren) Azure Cosmos DB Konten sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

(Bei Bedarf aktivieren) Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt werden.

Azure SQL-Datenbank sollte TLS, Version 1.2 oder höher, ausführen

Azure SQL Verwaltete Instanzen sollten den Öffentlichen Netzwerkzugriff deaktivieren

Cosmos DB-Konten müssen Private Link verwenden

(Bei Bedarf aktivieren) MySQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln

(Bei Bedarf aktivieren) PostgreSQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln

(Bei Bedarf aktivieren) Sql managed instances should use customer-managed keys to encrypt data at rest

(Bei Bedarf aktivieren) SQL-Server sollten vom Kunden verwaltete Schlüssel verwenden, um ruhende Daten zu verschlüsseln.

(Bei Bedarf aktivieren) Speicherkonten sollten für die Verschlüsselung vom Kunden verwalteten Schlüssel (CMK) verwenden.

Der öffentliche Zugriff auf Speicherkonten muss untersagt sein

In den Advanced Data Security-Einstellungen in SQL Managed Instance sollten alle Advanced Threat Protection-Typen aktiviert werden.

In den Advanced Data Security-Einstellungen der SQL Server-Instanzen sollten alle Advanced Threat Protection-Typen aktiviert werden.

API Management-Dienste müssen ein virtuelles Netzwerk verwenden

App Configuration sollte Private Link verwenden.

Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein

Die Überwachung in SQL Server muss aktiviert werden

Die automatische Bereitstellung des Log Analytics-Agents sollte für Abonnements aktiviert sein.

Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden.

Azure Database for MySQL sollte einen Microsoft Entra Administrator bereitgestellt haben

Azure Database for PostgreSQL sollte einen Microsoft Entra Administrator bereitgestellt haben

Azure Database for PostgreSQL flexibler Server sollte nur Microsoft Entra Authentifizierung aktiviert sein.

Azure Cosmos DB-Konten sollten Firewallregeln aufweisen

Azure Event Grid Domänen sollten einen privaten Link verwenden

Azure Event Grid Themen sollten einen privaten Link verwenden

Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden

Azure SignalR Service sollte einen privaten Link verwenden

Azure Spring Cloud sollte die Netzwerkeinfügung verwenden

SQL-Server sollten über einen Microsoft Entra Administrator verfügen

Azure Synapse Arbeitsbereichauthentifizierungsmodus sollte nur Microsoft Entra ID werden

Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden

Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden

Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden

Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden

Cognitive Services-Konten müssen die Datenverschlüsselung aktivieren

Cognitive Services-Konten müssen kundeneigenen Speicher verwenden oder Datenverschlüsselung aktivieren

Diagnoseprotokolle im Azure Data Lake Store sollten aktiviert sein

Diagnoseprotokolle in Data Lake Analytics sollten aktiviert sein

E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein

E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein

Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein

Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein

In Funktions-Apps sollten gefundene Sicherheitsrisiken behoben werden

Geo-redundante Sicherung sollte für Azure Database for MariaDB aktiviert sein

Georedundante Sicherung sollte für Azure Database for MySQL aktiviert sein

Georedundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein

GitHub Repositorys sollten die Codeüberprüfung aktiviert haben

GitHub Repositorys sollten die Überprüfung von Dependabot aktiviert sein.

GitHub Repositorys sollten geheime Überprüfung aktiviert sein

Microsoft Defender für Azure SQL-Datenbank Server sollten aktiviert sein

Microsoft Defender für DNS sollte aktiviert sein

Microsoft Defender für relationale Open Source-Datenbanken sollten aktiviert sein

Microsoft Defender für Resource Manager sollte aktiviert sein

Microsoft Defender für SQL auf Computern sollte auf Arbeitsbereichen aktiviert sein

Microsoft Defender für SQL-Server auf Computern sollte aktiviert sein

Microsoft Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert sein.

Microsoft Defender für SQL sollte für nicht geschützte SQL Managed Instances aktiviert sein

Microsoft Defender für Speicher sollte aktiviert sein

Network Watcher sollte aktiviert sein

Private Endpunktverbindungen auf Azure SQL-Datenbank sollten aktiviert sein

Privater Endpunkt muss für MariaDB-Server aktiviert sein

Privater Endpunkt muss für MySQL-Server aktiviert sein

Privater Endpunkt muss für PostgreSQL-Server aktiviert sein

Der Öffentliche Netzwerkzugriff auf Azure SQL-Datenbank sollte deaktiviert werden.

Öffentlicher Netzwerkzugriff muss für Cognitive Services-Konten deaktiviert sein

Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein

Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein

Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein

Redis Cache sollte den Zugriff nur über SSL zulassen.

Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden

Für verwaltete SQL-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.

Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden

SQL-Server sollten über einen Microsoft Entra Administrator verfügen

Für SQL Server-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.

Das Speicherkonto muss eine Private Link-Verbindung verwenden

Speicherkonten sollten zu neuen Azure Resource Manager Ressourcen migriert werden.