檢視次數:

獲取 Cloud Risk Management 常見技術支援問題的答案。

相關資訊

Cloud Risk Management 常見問題

如何管理與 GCP 和 Azure 無代理弱點與安全威脅偵測相關的規則失敗?

無代理弱點與安全威脅偵測(AVTD)針對 GCP 和 Azure 的功能已經過全面測試,包括安全性和效能,以符合雲端配置最佳實務。以下規則的結果已由 TrendAI™ 團隊審核,可以安全忽略:

Azure 無代理弱點與安全威脅偵測的規則發現

  1. AppService-013 啟用自動備份:App Service 是無狀態的,不儲存任何資料。在發生故障時,可以透過 Terraform 完全重新建立和重新部署,因此不需要備份。
  2. Functions-002 啟用 Azure Functions 的虛擬網路整合:Function Apps 已透過最小權限的角色型存取控制、受管理的身分識別和已加密的連線進行保護,不需要進行 VNet 整合
  3. VirtualMachines-043 關閉虛擬機器磁碟的公共網路存取:虛擬機器磁碟允許公共網路存取,因為多個服務會存取這些磁碟。已設置網路和服務層級控制以限制暴露。
  4. Function-006 暴露的 Azure Functions:為了維持函數間通信的穩定性,Function Apps 是公開可訪問的。需要角色才能訪問該函數。
  5. VirtualMachines-008 使用 BYOK 進行磁碟區加密:由 AVTD 啟動的掃瞄虛擬機器是短暫存在的,只在掃瞄期間存在,因此不需要使用 BYOK 磁碟加密。
  6. VirtualMachines-013 啟用 Azure 虛擬機的備份:由 AVTD 啟動的掃瞄虛擬機是短暫存在的,只在掃瞄期間存在,因此不需要備份。
  7. 虛擬機-021 啟用虛擬機的即時存取:掃描器虛擬機僅用於磁碟掃描,因此不需要即時存取。
  8. VirtualMachine-039 使用 CMK 的伺服器端開機磁碟加密:掃瞄器 VM 是一個短期的、暫時的實例,只在掃瞄期間存在,其開機磁碟不儲存任何敏感資料。因此,不需要基於 CMK 的伺服器端加密。
  9. VirtualMachine-007 檢查 SSH 驗證類型:掃描器 VM 不允許 SSH 存取,不需要 SSH 金鑰。
  10. StorageAccounts-018 使用 Customer Managed Keys 進行儲存帳戶加密:儲存帳戶不包含敏感資料,且已使用 Microsoft 管理的金鑰進行加密,因此不需要使用 Customer Managed Keys。
  11. StorageAccounts-023 使用中的私人端點:不需要私人端點,因為該儲存帳戶不包含敏感資料,且已透過 RBAC、受管理的身分識別和已加密的存取進行保護。
  12. StorageAccounts-024 啟用基礎架構加密:基礎架構層級加密並非必要,因為儲存帳戶不存儲敏感資料,且已由 Azure 的預設伺服器端加密與 Microsoft 管理的金鑰保護。
  13. StorageAccounts-029 關閉儲存帳戶的公共網路存取:此儲存帳戶的公共網路存取已啟動,因為多個服務需要存取。已設置存取金鑰和其他安全控制措施,以確保資料防護。
  14. KeyVault-001 啟用 Key Vault 恢復功能:AVTD 建立的 Key Vault 需要立即移除,無需恢復。
  15. KeyVault-018 使用私有端點於 Key Vault:Key Vault 的私有端點不適用,Key Vault 可以在不需要 VNet 整合的情況下安全地存取。
  16. AppService-005 檢查 Azure 應用程式是否使用最新版本的 HTTP:AVTD 功能應用程式處理輕量級請求,無需使用 HTTP/2。

Google Cloud (GCP) 無代理弱點與安全威脅偵測的規則發現

  1. CloudRun-005:檢查不受限制的輸出網路存取:AVTD雲端運行掃描服務需要不受限制的出口流量才能正常運作,相關風險透過嚴格的IAM控制、隔離、身份驗證存取、短暫工作負載及全面監控來降低。
  2. CloudRun-008:使用客戶管理的加密金鑰進行服務加密:AVTD 雲端運行功能預設使用 Google 管理的金鑰進行加密,且不處理高度敏感的資料,因此不需要額外的加密控制。
  3. CloudStorage-006:啟用客戶管理金鑰的物件加密:AVTD 儲存桶預設使用 [Google 管理的金鑰] 進行加密,且不儲存高度敏感的資料,因此不需要額外的 CMEK 控制。
  4. CloudStorage-005:定義索引頁面後綴和錯誤頁面以進行儲存桶網站配置:雲端儲存不適用於網站託管,因此網站配置不適用。
  5. SecretManager-004:使用客戶管理的加密金鑰進行 Secret Manager 機密加密:AVTD 資源已使用預設金鑰安全地加密,因此不需要使用客戶管理的金鑰進行額外加密。
  6. CloudRun-001:檢查容器實例的最小數量:對於 AVTD,成本效益是優先考量,並且可以接受小幅的冷啟動延遲。持續運行實例會產生不必要的成本,而沒有實質的效能提升。
  7. CloudRun-004:啟用雲端運行服務的端到端 HTTP/2:AVTD 雲端運行服務處理輕量級請求,無需 HTTP/2。
  8. CloudRun-006:啟用二進位授權:二進位授權並非必要,因為現有的 IAM、服務帳戶控制、私有註冊表限制和網路安全已經確保只有受信任的容器被部署。
  9. CloudVPC-006:確保所有 VPC 網路已啟動雲端 DNS 日誌記錄:AVTD 安全地部署了一個 [Google 網路。雲端 DNS 日誌記錄不需要用於監控。
  10. CloudVPC-003:為 VPC Subnets 啟用 VPC Flow Logs:AVTD 安全地部署 VPC Subnets 網路。VPC Flow Logs 並非監控所必需。
  11. CloudStorage-009:啟用使用和存儲日誌:AVTD 訪問日誌儲存桶是一個專用的儲存桶,用於存儲來自資源儲存桶的日誌。
  12. CloudLogging-010:使用儲存桶鎖定配置保留政策:AVTD 為日誌接收儲存桶設置保留政策。不強制執行儲存桶鎖定功能,以允許靈活調整政策。
  13. CloudStorage-003:使用桶鎖定配置保留政策:AVTD 為雲端儲存設定保留政策。不強制使用桶鎖定功能,以便靈活調整政策。
  14. SecretManager-002:啟用秘密版本的銷毀延遲:不需要延遲銷毀政策,因為秘密必須在銷毀時立即移除。
  15. SecretManager-003:為 Secret Manager 機密啟用輪替排程:AVTD 包含內建的機密輪替機制。

與無代理弱點和安全威脅偵測相關的潛在規則失敗有哪些?

新功能「Guided Exclusions」預設自動已啟動,以排除 AVTD 資源並防止故障影響您雲端帳戶的合規性和風險評分。欲了解詳細資訊,包括如何停用排除,請參閱:管理偏好設定
排除資源的潛在規則發現
以下潛在規則發現已由TrendAI™團隊審核。在考慮這些資源的上下文後,這些發現不適用,可以安全地忽略:
新的引導排除功能預設自動已啟動,以排除 AVTD 資源並防止故障影響您雲端帳戶的合規性和風險分數。欲了解更多資訊,包括如何停用排除,請參閱:管理偏好設定
排除資源的潛在規則發現
以下潛在規則發現已由TrendAI™團隊審核。在考慮這些資源的上下文後,這些發現不適用,可以安全地忽略:
  1. Lambda-009:使用Customer Managed Keys啟用環境變數的靜態加密: AVTD資源已使用預設密鑰安全地加密。此外,環境變數不包含任何秘密,因此不需要使用客戶管理的密鑰進行額外加密。
  2. SecretsManager-001:使用 KMS 客戶主密鑰加密的秘密: AVTD 資源已使用預設密鑰安全地加密,因此不需要使用客戶管理的密鑰進行額外加密。
  3. Lambda-001:使用最新執行環境的 Lambda: AVTD 確保我們所有的 Lambda 使用支援的執行環境,且沒有生命週期結束日期。所有支援的執行環境都會定期收到 AWS 的安全更新。
  4. Lambda-003:Lambda追蹤已啟動:AVTD確保此功能在發布前已徹底測試,因此不需要通過啟用追蹤來增加可見性。
  5. SecretsManager-002:已啟動密碼輪替 AVTD 使用其自身的密碼功能,而非 AWS 提供的功能,因此不需要啟用 AWS 提供的密碼輪替功能。
  6. SecretsManager-003:秘密輪替間隔 AVTD 使用其自身的秘密功能,而非 AWS 提供的功能,因此不需要啟用 AWS 提供的秘密輪替功能。
  7. S3-024: S3 Transfer Acceleration: AVTD 功能未使用傳輸加速功能。
  8. Lambda-006:使用一個 IAM 角色於多個 Lambda Function: AVTD 採用一種稱為「權限平面」的策略,讓需要相同權限的 Lambda Function 使用單一 IAM 角色。這確保在部署到多個地區時的效率和可管理性,例如減少客戶雲端帳戶中使用的 IAM 角色數量
  9. Lambda-007:AWS Lambda 函數的 VPC 存取: AVTD 不使用可能需要 VPC 實作的資源,例如 Redshift、ElastiCache 和 RDS。
  10. CFM-001: CloudFormation 堆疊通知: AVTD CloudFormation 堆疊已透過 V1 CAM 管理,而非 AWS。
  11. CFM-002: CloudFormation 堆疊政策: AVTD CloudFormation 堆疊已透過 V1 CAM 管理,而非 AWS。
  12. CFM-005:CloudFormation 堆疊終止保護:為了讓客戶能夠控制其環境中的堆疊,AVTD 確實允許用戶停用並從其帳戶中移除堆疊
  13. S3-025:使用客戶提供的金鑰 CMKs 加密的 S3 儲存桶:AVTD 已使用 S3 管理的金鑰加密。
  14. SQS-006:SQS 死信佇列: AVTD 在其部分適用的 SQS 資源中實施死信佇列 (DLQ)。
  15. S3-013: S3 Bucket MFA 刪除已啟動:儲存在 AVTD S3 中的物件壽命相對較短,因此不需要啟用 MFA 刪除保護以防止意外刪除
  16. S3-023:物件鎖定:儲存在 AVTD S3 中的物件壽命相對較短,因此不需要物件鎖定以防止意外刪除。

效能 上層主題

相關資訊

效能疑難排解 上層主題

性能問題的疑難排解選項
Issue
Resolution or Cause
合規掃瞄 已導致我的帳戶達到其速率限制
透過增加合規掃瞄執行之間的延遲來管理效能問題
API 限流
Cloud Risk Management 已優化平台以避免不必要的 API 呼叫。性能優化示例:1. 當 Cloud Risk Management 呼叫 AWS API 以獲取 S3 存儲桶列表時,機器人不會重複呼叫,而是僅檢查變更。2. Cloud Risk Management 支援部分清單。即使用 AWS 的部分資源清單,使系統能夠處理部分呼叫,例如 S3 存儲桶列表 - 次要 IP 呼叫 - 如果機器人未能呼叫第二次 API,規則引擎仍然可以運作。3. 支援指數退避 API。
如果您遇到任何其他問題,請透過Cloud Risk Management技術支援中心告知我們的團隊。