2022年6月6日、Conformity—以下の機能と更新が2022年6月6日のConformityの最新リリースで利用可能になりました。
- Conformityによってリリースされた新しいAWSおよびAzureルールをサポートするために、FedRAMP Rev 4コンプライアンス標準を更新しました。
- Get ServicesAPIエンドポイントを更新し、関連するコンプライアンス基準のデータを表示するようにしました。
バグ修正
- 一部のルールにおいて、リソース別表示タブでリソースタイプを表示するバグを修正しました。
- Conformity管理 > ユーザータブでPowerユーザーのConfigureボタンを無効にするバグを修正しました。
- ユーザーが一度に1000以上のアカウントにプロファイルを適用できるようにするバグを修正しました。
- パブリックAPIを介して、リクエスト内の必須値の1つを正しく設定せずにチェックの抑制を誤って許可していたバグを修正しました。
- ルール - Route53-008 に関する古いナレッジベースページを削除するバグを修正しました。
- スケジュールされたレポートを設定する際に、利用可能なすべてのメールを読み込むドロップダウンメール選択のバグを修正しました。
カスタムポリシーの更新
新しいデプロイメントによるカスタムポリシーの変更はありません。現在のカスタムポリシーバージョンは1.37です。現在のカスタムポリシーにアクセスするにはこちらをクリックしてください。
新しいルール
GCP
- CloudSQL-020: SQL Serverデータベースインスタンスのuser connectionsフラグを設定する: このルールは、SQL Serverデータベースインスタンスがuser connectionsフラグに対して適切な設定を持つことを保証します。
- CloudSQL-021: SQL Serverインスタンスのuser optionsフラグを無効にする: このルールは、`user options` SQL Serverフラグが設定されていないことを確認します。
- ComputeEngine-011: 仮想マシンインスタンスのために機密コンピューティングを有効にする: このルールは、仮想マシン (VM) インスタンスに対して機密コンピューティングが有効になっていることを保証します。
- ComputeEngine-010: GCPプロジェクトのOSログインを有効化: このルールは、GCPプロジェクトレベルでOSログイン機能が有効になっていることを確認します。
- CloudLogging-008: プロジェクト所有権の割り当て監視を有効にする: このルールは、アラートポリシーを使用してGCPプロジェクトの所有権変更が監視されていることを保証します。
AWS
- CF-012: Cloudfrontコンテンツ配信ネットワーク: このルールは、ウェブサイト/ウェブアプリケーションがAmazon CloudFrontコンテンツ配信ネットワーク (CDN) を使用して、ウェブコンテンツの配信 (メディアファイルや静的リソースファイル、例: html, .css, .js) を保護することを保証します。
Azure
- SQL-017: Microsoft SQLサーバーの脆弱性評価を有効にする: このルールは、Microsoft SQLデータベースサーバーの脆弱性評価が有効になっていることを確認します。
- Network-016: 制限のないCIFSアクセスの確認: このルールは、Microsoft Azure Network Security Groups (NSGs) がTCPポート445での制限のないアクセスを許可しないようにし、これらのNSGsに関連付けられたAzure仮想マシンへのアクセスを得るためにブルートフォース手法を使用する攻撃者から保護します。
- Network-017: HTTPアクセスの無制限をチェック: このルールは、Microsoft Azure Network Security Groups (NSGs) がTCPポート80で無制限のアクセスを許可しないようにし、これらのNSGsに関連付けられたAzure仮想マシンへのアクセスを得るためにブルートフォース手法を使用する攻撃者から保護します。
ルールアップデート
- チェック結果を生成する際に`resource region`を考慮するように、以下のルールを改善しました:
- EC2-048: 予約インスタンスのリース期限が7日以内に切れます
- EC2-049: 予約インスタンスのリース期限が30日以内に切れます
- EC-004: ElastiCache予約キャッシュノードのリース期限が7日以内に切れます
- EC-005: ElastiCache予約キャッシュノードのリース期限が7日以内に切れます
- ES-015: ElasticSearchノード間暗号化
- ES-016: Elasticsearch予約インスタンスのリース期限が7日以内に切れます
- ES-017: Elasticsearch予約インスタンスのリース期限が7日以内に切れます
- RDS-010: RDS汎用SSD
- RDS-011: RDSデフォルトポート
- RDS-014: RDS予約DBインスタンスのリース期限が7日以内に切れます
- RDS-015: RDS予約DBインスタンスのリース期限が30日以内に切れます
- S3-026: S3バケットのS3パブリックアクセスブロックを有効にする
- Azure Network Security Groupsで追加の無制限のインバウンドアクセスシナリオを確認するために、以下のルールを更新しました。
- Network-001: 制限なしRDPアクセスの確認
- Network-002: 無制限のSSHアクセスを確認
- Network-005: 無制限のFTPアクセスを確認
- Network-006: 制限されていないMySQLデータベースアクセスを確認
- Network-007: 制限なしのPostgreSQLデータベースアクセスを確認
- Network-008: 制限のないMS SQLデータベースアクセスを確認
- Network-009: 無制限のOracleデータベースアクセスを確認
- Network-010: 制限されていないRPCアクセスを確認
- CT-003: 公開アクセス可能なCloudTrailバケット: CloudTrailのターゲットバケットとそのアクセスポリシーの評価方法を改善しました。
ルールのバグ修正
- SecurityCenter-001 "Microsoft Defender標準価格帯を有効化: MicrosoftのDefender (旧Security Centre) サービスの変更を考慮し、失敗したチェックの修正を妨げるバグを修正しました。