Ansichten:

Erhalten Sie Antworten auf häufig gestellte Supportfragen zu Cloud Risk Management.

Zugehörige Informationen

Cloud Risk Management FAQs

Wie verwalte ich Regelverstöße im Zusammenhang mit agentenloser Sicherheitslücken- und Bedrohungserkennung für GCP und Azure?

Die Agentlose Sicherheitslücken- und Bedrohungserkennung (AVTD) für GCP und Azure wurde umfassend getestet, einschließlich Sicherheit und Leistung, um den besten Praktiken der Cloud-Konfiguration zu entsprechen. Die folgenden Regelbefunde wurden vom Trend Micro-Team überprüft und können sicher ignoriert werden:

Regelergebnisse für Azure Agentlose Sicherheitslücken- und Bedrohungserkennung

  1. AppService-013 Automatisierte Backups aktivieren: Der APP-Dienst ist zustandslos und speichert keine Daten. Im Falle eines Ausfalls kann er vollständig über Terraform neu erstellt und neu bereitgestellt werden, sodass keine Backups erforderlich sind.
  2. Funktionen-002 Aktivieren der virtuellen Netzwerkintegration für Azure-Funktionen: Die Funktions-Apps sind bereits durch eine rollenbasierte Zugriffskontrolle mit minimalen Rechten, verwaltete Identitäten und verschlüsselte Verbindungen gesichert, eine VNet-Integration ist nicht erforderlich
  3. VirtualMachines-043 Deaktiviert Öffentlichen Netzwerkzugriff auf Virtuelle Maschinendatenträger: Der VM-Datenträger ermöglicht öffentlichen Netzwerkzugriff, da mehrere Dienste auf die Datenträger zugreifen. Netzwerk- und Dienstebenenkontrollen sind vorhanden, um die Exposition zu begrenzen.
  4. Funktion-006 Exponierte Azure-Funktionen: Die Funktions-Apps sind öffentlich zugänglich, um die Stabilität in der Kommunikation zwischen den Funktionen zu gewährleisten. Die Rolle ist erforderlich, um auf die Funktion zuzugreifen.
  5. VirtualMachines-008 Verwenden Sie BYOK für die Verschlüsselung von Festplattenvolumen: Die von AVTD gestarteten Scanner-VMs sind kurzlebig und existieren nur für die Dauer des DURCHSUCHEN, daher ist BYOK-Festplattenverschlüsselung nicht erforderlich.
  6. VirtualMachines-013 Aktivieren Sie Backups für Azure Virtual Machines: Die von AVTD gestarteten Scanner-VMs sind kurzlebig und existieren nur für die Dauer des DURCHSUCHEN, daher ist kein Backup erforderlich.
  7. VirtualMachines-021 Aktivieren Sie Just-In-Time-Zugriff für virtuelle Maschinen: Die Scanner-VMs dienen nur der Festplattenüberprüfung, daher ist Just-in-Time-Zugriff nicht erforderlich.
  8. VirtualMachine-039 Server-seitige Verschlüsselung für Boot-Disk mit CMK: Die Scanner-VM ist eine kurzfristige, vorübergehende Instanz, die nur für die Dauer eines Scans existiert, und ihre Boot-Disk speichert keine sensiblen Daten. Daher ist eine serverseitige Verschlüsselung auf CMK-Basis nicht erforderlich.
  9. VirtualMachine-007 Überprüfung des SSH-Authentifizierungstyps: Die Scanner-VM erlaubt keinen SSH-Zugriff, ein SSH-Schlüssel ist nicht erforderlich.
  10. StorageAccounts-018 Verschlüsselung des Speicherkontos mit Customer Managed Keys: Das Speicherkonto enthält keine sensiblen Daten und ist bereits mit von Microsoft verwalteten Schlüsseln verschlüsselt, daher sind Customer Managed Keys nicht erforderlich.
  11. StorageAccounts-023 Privater Endpunkt in Verwendung: Ein privater Endpunkt ist nicht erforderlich, da das Speicherkonto keine sensiblen Daten enthält und bereits mit RBAC, verwalteten Identitäten und verschlüsseltem Zugriff gesichert ist.
  12. StorageAccounts-024 Infrastrukturverschlüsselung aktivieren: Eine Verschlüsselung auf Infrastrukturebene ist nicht erforderlich, da das Speicherkonto keine sensiblen Daten speichert und bereits durch die standardmäßige serverseitige Verschlüsselung von Azure mit von Microsoft verwalteten Schlüsseln geschützt ist.
  13. StorageAccounts-029 Deaktiviert Öffentlichen Netzwerkzugriff auf Speicherkonten: Der öffentliche Netzwerkzugriff auf dieses Speicherkonto ist aktiviert, da mehrere Dienste Zugriff benötigen. Zugriffsschlüssel und andere Sicherheitskontrollen sind vorhanden, um sicherzustellen, dass die Daten sicher bleiben.
  14. KeyVault-001 Aktivieren Sie die Wiederherstellbarkeit des Key Vault: Der von AVTD erstellte Key Vault muss sofort entfernt werden, eine Wiederherstellung ist nicht erforderlich.
  15. KeyVault-018 Verwenden Sie private Endpunkte für Vaults: Private Endpunkte für den Vault sind nicht anwendbar, der Vault wird sicher ohne VNet-Integration zugegriffen.
  16. AppService-005 Überprüfen Sie, ob die Azure-App die neueste Version von HTTP verwendet: Die AVTD Function App bearbeitet leichte Anfragen, bei denen HTTP/2 nicht erforderlich ist.

Regelergebnisse für Google Cloud (GCP) Agentenlose Sicherheitslücken- und Bedrohungserkennung

  1. CloudRun-005: Überprüfung auf uneingeschränkten ausgehenden Netzwerkzugriff: Uneingeschränkter Egress ist erforderlich, damit die AVTD Cloud Run-Scanner-Dienste ordnungsgemäß funktionieren, und die damit verbundenen Risiken werden durch strenge IAM-Kontrollen, Isolation, authentifizierten Zugriff, flüchtige Workloads und umfassende Überwachung gemindert.
  2. CloudRun-008: Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel für die Verschlüsselung von Diensten: Die AVTD Cloud Run-Funktion wird standardmäßig mit von Google verwalteten Schlüsseln verschlüsselt und verarbeitet keine hochsensiblen Daten, daher sind zusätzliche Verschlüsselungskontrollen nicht erforderlich.
  3. CloudStorage-006: Aktivieren Sie die Objektverschlüsselung mit kundengesteuerten Schlüsseln: Der AVTD-Bucket ist standardmäßig mit von Google verwalteten Schlüsseln verschlüsselt und speichert keine hochsensiblen Daten, daher sind zusätzliche CMEK-Kontrollen nicht erforderlich.
  4. CloudStorage-005: Definieren Sie das Indexseiten-Suffix und die Fehlerseite für die Bucket-Website-Konfiguration: Der Cloud-Speicher ist nicht für das Hosting von Websites vorgesehen, bei denen die Website-Konfiguration nicht anwendbar ist.
  5. SecretManager-004: Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel für die Verschlüsselung von Secret Manager-Geheimnissen: AVTD-Ressourcen sind standardmäßig sicher verschlüsselt, daher ist eine zusätzliche Verschlüsselung mit vom Kunden verwalteten Schlüsseln nicht erforderlich.
  6. CloudRun-001: Überprüfung der Mindestanzahl von Containerinstanzen: Für AVTD hat die Kosteneffizienz Priorität, und eine kleine Kaltstartverzögerung ist akzeptabel. Das kontinuierliche Laufenlassen von Instanzen würde unnötige Kosten verursachen, ohne einen nennenswerten Leistungsgewinn zu bieten.
  7. CloudRun-004: Aktivieren Sie End-to-End HTTP/2 für den Cloud Run-Dienst: Der AVTD Cloud Run-Dienst bearbeitet leichte Anfragen, bei denen HTTP/2 nicht erforderlich ist.
  8. CloudRun-006: Binärautorisierung aktivieren: Eine Binärautorisierung ist nicht erforderlich, da bestehende IAM-, Dienstkontensteuerungen, private Registry-Beschränkungen und Netzwerksicherheit bereits sicherstellen, dass nur vertrauenswürdige Container bereitgestellt werden.
  9. CloudVPC-006: Stellen Sie sicher, dass die Cloud-DNS-Protokollierung für alle VPC-Netzwerke aktiviert ist: AVTD implementiert sicher ein [Google-Netzwerk. Die Cloud-DNS-Protokollierung ist für die Überwachung nicht erforderlich.
  10. CloudVPC-003: Aktivieren Sie VPC Flow Logs für VPC-Subnets: AVTD stellt VPC-Subnets-Netzwerke sicher bereit. VPC Flow Logs sind für die Überwachung nicht erforderlich.
  11. CloudStorage-009: Aktivieren Sie Nutzungs- und Speicherprotokolle: Der AVTD-Zugriffsprotokoll-Bucket ist ein dedizierter Bucket, der verwendet wird, um Protokolle aus dem Ressourcen-Bucket zu speichern.
  12. CloudLogging-010: Konfigurieren Sie Aufbewahrungsrichtlinien mit Bucket Lock: AVTD legt die Aufbewahrungsrichtlinie für die Log-Sink-Buckets fest. Die Bucket-Lock-Funktion wird nicht erzwungen, um Flexibilität bei der Anpassung der Richtlinie zu ermöglichen.
  13. CloudStorage-003: Aufbewahrungsrichtlinien mit Bucket-Sperre konfigurieren: AVTD legt die Aufbewahrungsrichtlinie für den Cloud-Speicher fest. Die Bucket-Sperrfunktion wird nicht erzwungen, um Flexibilität bei der Anpassung der Richtlinie zu ermöglichen.
  14. SecretManager-002: Zerstörungsverzögerung für Geheimnisversionen aktivieren: Eine verzögerte Zerstörungsrichtlinie ist nicht erforderlich, da Geheimnisse sofort bei der Zerstörung entfernt werden müssen.
  15. SecretManager-003: Aktivieren Sie Rotationspläne für Secret Manager-Geheimnisse: AVTD enthält einen integrierten Mechanismus zur Geheimnisrotation.

Was sind die potenziellen Regelverstöße im Zusammenhang mit der agentenlosen Sicherheitslücken- und Bedrohungserkennung?

Die neue Guided Exclusions-Funktion ist standardmäßig automatisch aktiviert, um AVTD-Ressourcen auszuschließen und zu verhindern, dass Fehler die Compliance- und Risikobewertungen Ihrer Cloud-Konten beeinflussen. Für weitere Informationen, einschließlich der Deaktivierung der Ausschlüsse, siehe: Einstellungen verwalten.
Potenzielle Regelbefunde für ausgeschlossene Ressourcen
Die folgenden potenziellen Regelbefunde wurden vom Trend Micro-Team überprüft. Unter Berücksichtigung des Kontexts dieser Ressourcen sind diese Befunde nicht anwendbar und können sicher ignoriert werden:
Die neue Funktion Geführte Ausschlüsse ist standardmäßig automatisch aktiviert, um AVTD-Ressourcen auszuschließen und zu verhindern, dass Fehler die Compliance- und Risikobewertungen Ihrer Cloud-Konten beeinträchtigen. Weitere Informationen, einschließlich der Deaktivierung der Ausschlüsse, finden Sie unter: Verwalten von Einstellungen.
Potenzielle Regelbefunde für ausgeschlossene Ressourcen
Die folgenden potenziellen Regelbefunde wurden vom Trend Micro-Team überprüft. Unter Berücksichtigung des Kontexts dieser Ressourcen sind diese Befunde nicht anwendbar und können sicher ignoriert werden:
  1. Lambda-009: Aktivieren Sie die Verschlüsselung im Ruhezustand für Umgebungsvariablen mit Customer Managed Keys: AVTD-Ressourcen sind sicher mit Standard-Schlüsseln verschlüsselt. Darüber hinaus enthalten die Umgebungsvariablen keine Geheimnisse, daher ist eine zusätzliche Verschlüsselung mit von Kunden verwalteten Schlüsseln nicht erforderlich.
  2. SecretsManager-001: Geheimnis verschlüsselt mit KMS-Kundenschlüsseln: AVTD-Ressourcen sind sicher mit Standardschlüsseln verschlüsselt, daher ist eine zusätzliche Verschlüsselung mit kundengesteuerten Schlüsseln nicht erforderlich.
  3. Lambda-001: Lambda mit neuester Laufzeitumgebung: AVTD stellt sicher, dass alle unsere Lambdas eine unterstützte Laufzeitumgebung ohne End-of-Life-Datum verwenden. Alle unterstützten Laufzeitumgebungen erhalten regelmäßige Sicherheitsupdates von AWS.
  4. Lambda-003: Lambda-Tracing aktiviert : AVTD stellt sicher, dass diese Funktion vor der Veröffentlichung gründlich getestet wird, daher ist diese zusätzliche Sichtbarkeit durch Aktivieren des Tracings nicht erforderlich.
  5. SecretsManager-002: Geheimnisrotation aktiviert AVTD verwendet seine eigene Geheimnisfunktion anstelle der von AWS bereitgestellten, daher ist das Aktivieren der von AWS bereitgestellten Geheimnisrotationsfunktion nicht erforderlich.
  6. SecretsManager-003: Geheimnis-Rotationsintervall AVTD verwendet seine eigene Geheimnisfunktion anstelle der von AWS bereitgestellten, daher ist das Aktivieren der von AWS bereitgestellten Geheimnis-Rotationsfunktion nicht erforderlich.
  7. S3-024: S3-Übertragungsbeschleunigung: Die AVTD-Funktion nutzt die Übertragungsbeschleunigung nicht.
  8. Lambda-006: Verwenden einer IAM-Rolle für mehr als eine Lambda-Funktion: AVTD setzt eine Strategie namens "Berechtigungsebenen" ein, bei der Lambda-Funktionen, die identische Berechtigungen benötigen, eine einzige IAM-Rolle verwenden. Dies gewährleistet sowohl Effizienz als auch Verwaltbarkeit bei der Bereitstellung in mehreren Regionen, z. B. Reduzierung der Anzahl der in einem Kunden-Cloud-Konto verwendeten IAM-Rollen
  9. Lambda-007: VPC-Zugriff für AWS Lambda-Funktionen: AVTD nutzt keine Ressourcen wie Redshift, ElastiCache und RDS, die möglicherweise eine VPC-Implementierung erfordern.
  10. CFM-001: CloudFormation Stack-Benachrichtigung: Der AVTD CloudFormation-Stack wird bereits über V1 CAM anstelle von AWS verwaltet.
  11. CFM-002: CloudFormation-Stack-Richtlinie: Der AVTD CloudFormation-Stack wird bereits über V1 CAM anstelle von AWS verwaltet.
  12. CFM-005:CloudFormation Stack-Beendigungsschutz: Um den Kunden die Kontrolle über die Stacks in ihrer Umgebung zu geben, erlaubt AVTD den Benutzern, den Stack zu deaktivieren und aus ihrem Konto zu entfernen
  13. S3-025: S3-Buckets, die mit vom Kunden bereitgestellten Schlüsseln (CMKs) verschlüsselt sind: AVTD ist bereits mit S3-verwalteten Schlüsseln verschlüsselt.
  14. SQS-006:SQS Dead Letter Queue: AVTD implementiert die Dead Letter Queue (DLQ) in einigen seiner SQS-Ressourcen, wo anwendbar.
  15. S3-013: S3-Bucket-MFA-Löschung aktiviert: Objekte, die in AVTD S3s gespeichert sind, sind relativ kurzlebig, daher ist das Aktivieren des MFA-Löschschutzes für versehentliche Löschungen nicht erforderlich
  16. S3-023: Objektsperre: Objekte, die in AVTD S3s gespeichert sind, haben eine relativ kurze Lebensdauer, daher ist eine Objektsperre zum Schutz vor versehentlichem Löschen nicht erforderlich.

Leistung Übergeordnetes Thema

Zugehörige Informationen

Leistungsfehlerbehebung Übergeordnetes Thema

Fehlerbehebungsoptionen für Leistungsprobleme
Issue
Resolution or Cause
Compliance-DURCHSUCHEN hat dazu geführt, dass Mein Konto sein Ratenlimit erreicht hat
Verwalten Sie Leistungsprobleme, indem Sie die Verzögerung zwischen Compliance-DURCHSUCHEN-Durchläufen erhöhen
API-Drosselung
Cloud Risk Management hat die Plattform optimiert, um unnötige API-Aufrufe zu vermeiden. Beispiele für Leistungsoptimierung: 1. Wenn Cloud Risk Management die AWS-API für die S3-Bucket-Liste aufruft, führt der Bot keine wiederholten Aufrufe durch, sondern überprüft nur auf Änderungen. 2. Cloud Risk Management unterstützt teilweise Inventarisierung, d.h. die Verwendung von Teillisten von Ressourcen aus AWS, sodass das System in der Lage ist, mit Teilaufrufen umzugehen, z.B. S3-Bucket-Liste - sekundäre IP-Aufrufe - wenn der Bot den zweiten API-Aufruf nicht ausführen kann, funktioniert die Regel-Engine trotzdem. 3. Unterstützung für exponentielles Backoff-API.
Wenn Sie weitere Probleme haben, lassen Sie es unser Team bitte über Cloud Risk Management Support wissen.