檢視次數:

獲取 Cloud Risk Management 常見技術支援問題的答案。

相關資訊

雲端風險管理常見問題

如何管理與無代理弱點及安全威脅偵測相關的規則失敗(適用於 GCP 和 Azure)?

無代理弱點與安全威脅偵測(AVTD)針對GCP和Azure功能已經過全面測試,包括安全性和效能,以符合雲端配置最佳實務。以下規則的發現已由趨勢科技團隊審查,可以安全忽略:

Azure 無代理弱點與安全威脅偵測的規則發現

  1. AppService-013 啟用自動備份:APP 服務是無狀態的,不儲存任何資料。在故障發生時,可以透過 Terraform 完全重新建立和重新部署,因此不需要備份。
  2. Functions-002 啟用 Azure Functions 的虛擬網路整合:Function Apps 已透過最低權限的角色型存取控制、受管理的身分識別和已加密的連線進行保護,不需要進行 VNet 整合
  3. VirtualMachines-043 關閉虛擬機器磁碟的公共網路存取:由於多個服務存取磁碟,虛擬機器磁碟允許公共網路存取。已設置網路和服務層級控制以限制暴露。
  4. Function-006 暴露的 Azure 函數:為了維持函數間通訊的穩定性,函數應用程式是公開可訪問的。需要角色來存取該函數。
  5. VirtualMachines-008 使用 BYOK 進行磁碟區加密:由 AVTD 啟動的掃瞄虛擬機器是短暫存在的,只在掃瞄期間存在,因此不需要 BYOK 磁碟加密。
  6. VirtualMachines-013 啟用 Azure 虛擬機的備份:由 AVTD 啟動的掃瞄虛擬機是短暫存在的,只在掃瞄期間存在,因此不需要備份。
  7. 虛擬機-021 啟用虛擬機的即時存取:掃描器虛擬機僅用於磁碟掃描,因此不需要即時存取。
  8. VirtualMachine-039 使用 CMK 的伺服器端加密啟動磁碟:掃瞄器 VM 是一個短期的臨時實例,只在掃瞄期間存在,其啟動磁碟不儲存任何敏感資料。因此,不需要基於 CMK 的伺服器端加密。
  9. VirtualMachine-007 檢查 SSH 驗證類型:掃描器 VM 不允許 SSH 存取,不需要 SSH 金鑰。
  10. StorageAccounts-018 使用 Customer Managed Keys 的儲存帳戶加密:該儲存帳戶不包含敏感資料,並且已使用 Microsoft 管理的金鑰進行加密,因此不需要使用客戶管理的金鑰。
  11. StorageAccounts-023 使用中的私人端點:不需要私人端點,因為該儲存帳戶不包含敏感資料,且已透過 RBAC、受管理的身分識別和已加密的存取進行保護。
  12. StorageAccounts-024 啟用基礎設施加密:不需要基礎設施層級的加密,因為儲存帳戶不存儲敏感資料,且已由 Azure 的預設伺服器端加密與 Microsoft 管理的金鑰保護。
  13. StorageAccounts-029 關閉儲存帳戶的公共網路存取:此儲存帳戶的公共網路存取已啟動,因為多個服務需要存取。已設置存取金鑰和其他安全控制措施,以確保資料防護。
  14. KeyVault-001 啟用密碼保險箱可恢復性:AVTD 創建的密碼保險箱需要立即移除,無需恢復。
  15. KeyVault-018 使用私有端點連接密碼保險箱:密碼保險箱不適用私有端點,密碼保險箱可在不需要 VNet 整合的情況下安全存取。
  16. AppService-005 檢查 Azure 應用程式是否使用最新版本的 HTTP:AVTD Function App 處理不需要 HTTP/2 的輕量請求。

Google Cloud (GCP) 無代理弱點與安全威脅偵測的規則發現

  1. CloudRun-005:檢查不受限制的輸出網路存取:不受限制的出口是 AVTD 雲端執行掃描服務正常運作所需的,相關風險透過嚴格的 IAM 控制、隔離、驗證存取、短暫工作負載和全面監控來降低。
  2. CloudRun-008:使用客戶管理的加密金鑰進行服務加密:AVTD 雲端運行功能預設使用 Google 管理的金鑰進行加密,且不處理高度敏感的資料,因此不需要額外的加密控制。
  3. CloudStorage-006:啟用客戶管理金鑰的物件加密:AVTD 儲存桶預設使用 [Google 管理的金鑰] 進行加密,且不儲存高度敏感的資料,因此不需要額外的 CMEK 控制。
  4. CloudStorage-005:定義索引頁面後綴和錯誤頁面以進行儲存桶網站配置:雲端儲存不適用於網站託管,因此網站配置不適用。
  5. SecretManager-004:使用客戶管理的加密金鑰進行 Secret Manager 機密加密:AVTD 資源已使用預設金鑰安全地加密,因此不需要使用客戶管理的金鑰進行額外加密。
  6. CloudRun-001:檢查容器實例的最小數量:對於 AVTD,成本效益是優先考量,並且可以接受小幅的冷啟動延遲。持續運行實例會產生不必要的成本,而沒有實質的性能提升。
  7. CloudRun-004:為雲端運行服務啟用端到端 HTTP/2:AVTD 雲端運行服務處理不需要 HTTP/2 的輕量請求。
  8. CloudRun-006:啟用二進位授權:不需要二進位授權,因為現有的 IAM、服務帳戶控制、私有註冊表限制和網路安全已經確保只有受信任的容器被部署。
  9. CloudVPC-006:確保所有 VPC 網路已啟動雲端 DNS 日誌記錄:AVTD 安全地部署 [Google 網路。雲端 DNS 日誌記錄不是監控所需的。
  10. CloudVPC-003:為 VPC 子網路啟用 VPC 流量日誌:AVTD 安全地部署 VPC 子網路。VPC 流量日誌不是監控所必需的。
  11. CloudStorage-009:啟用使用和存儲日誌:AVTD 訪問日誌儲存桶是一個專用的儲存桶,用於存儲來自資源儲存桶的日誌。
  12. CloudLogging-010:使用儲存桶鎖定配置保留政策:AVTD 為日誌接收儲存桶設置保留政策。不強制執行儲存桶鎖定功能,以便靈活調整政策。
  13. CloudStorage-003:使用儲存桶鎖定配置保留政策:AVTD 為雲端儲存設定保留政策。不強制執行儲存桶鎖定功能,以允許靈活調整政策。
  14. SecretManager-002:啟用秘密版本的銷毀延遲:不需要延遲銷毀政策,因為秘密必須在銷毀時立即移除。
  15. SecretManager-003:為 Secret Manager 機密啟用輪替排程:AVTD 包含內建的機密輪替機制。

與無代理弱點和安全威脅偵測相關的潛在規則失敗是什麼?

新的Guided Exclusions功能預設會自動已啟動,以排除 AVTD 資源並防止故障影響您雲端帳戶的合規性和風險分數。欲了解更多資訊,包括如何停用排除,請參閱:管理偏好設定
排除資源的潛在規則發現
以下潛在規則發現已由趨勢科技團隊審查。考慮到這些資源的上下文,這些發現不適用,可以安全忽略:
新的引導排除功能預設會自動已啟動,以排除 AVTD 資源並防止故障影響您雲端帳戶的合規性和風險分數。欲了解詳細資訊,包括如何停用排除,請參閱:管理偏好設定
排除資源的潛在規則發現
以下潛在規則發現已由趨勢科技團隊審查。考慮到這些資源的上下文,這些發現不適用,可以安全忽略:
  1. Lambda-009:使用客戶管理的金鑰啟用環境變數的靜態加密:AVTD 資源使用預設金鑰進行安全加密。此外,環境變數不包含任何秘密,因此不需要使用客戶管理的金鑰進行額外的加密。
  2. SecretsManager-001: 使用 KMS 客戶主密鑰加密的秘密: AVTD 資源已使用預設密鑰安全加密,因此不需要使用客戶管理的密鑰進行額外加密。
  3. Lambda-001:使用最新運行環境的 Lambda: AVTD 確保我們所有的 Lambda 使用 受支持的運行環境,且沒有 生命週期結束 日期。所有受支持的運行環境都會定期從 AWS 獲得安全更新。
  4. Lambda-003: 已啟動 Lambda 追蹤: AVTD 確保在發佈之前對此功能進行徹底測試,因此不需要通過啟動追蹤來獲得額外的可見性。
  5. SecretsManager-002:已啟動秘密輪換 AVTD 使用其自己的秘密功能,而不是 AWS 提供的功能,因此不需要啟用 AWS 提供的秘密輪換功能。
  6. SecretsManager-003: 秘密輪換間隔 AVTD 使用其自有的秘密功能,而非 AWS 提供的功能,因此不需要啟用 AWS 提供的秘密輪換功能。
  7. S3-024: S3 傳輸加速:AVTD 功能不使用傳輸加速功能。
  8. Lambda-006:對多個 Lambda 函數使用 IAM 角色:AVTD 採用一種稱為「權限平面」的策略,讓需要相同權限的 Lambda 函數使用單一 IAM 角色。這確保了在部署到多個區域時的效率和可管理性,例如減少客戶雲端帳戶中使用的 IAM 角色數量
  9. Lambda-007: AWS Lambda 函數的 VPC 存取: AVTD 不使用像 Redshift、ElastiCache 和 RDS 這樣可能需要 VPC 實作的資源。
  10. CFM-001: CloudFormation 堆疊通知: AVTD CloudFormation 堆疊已通過 V1 CAM 管理,而非 AWS。
  11. CFM-002: CloudFormation 堆疊政策: AVTD CloudFormation 堆疊已透過 V1 CAM 管理,而非 AWS。
  12. CFM-005: CloudFormation 堆疊終止保護: 為了讓客戶能夠控制其環境中的堆疊,AVTD 允許用戶停用並從其帳戶中移除該堆疊
  13. S3-025: 使用客戶提供的金鑰 CMKs 加密的 S3 存儲桶: AVTD 已使用 S3 管理的金鑰進行加密。
  14. SQS-006:SQS 死信佇列: AVTD 在某些適用的 SQS 資源中實現了死信佇列 (DLQ)。
  15. S3-013: S3 Bucket MFA 刪除已啟動:存儲在 AVTD S3 中的物件相對短暫,因此不需要啟用 MFA 刪除保護以防止意外刪除
  16. S3-023: 物件鎖定: 存儲在 AVTD S3 中的物件相對短暫,因此不需要物件鎖定以防止意外刪除。

效能 上層主題

相關資訊

效能疑難排解 上層主題

性能問題的疑難排解選項
Issue
Resolution or Cause
合規掃瞄 已導致我的帳戶達到其速率限制
通過增加合規掃瞄運行之間的延遲來管理性能問題
API 限流
雲端風險管理 已優化平台以避免不必要的 API 呼叫。 性能優化示例:1. 當 雲端風險管理 呼叫 AWS API 以獲取 S3 存儲桶列表時,機器人不會重複呼叫,而是僅檢查變更。2. 雲端風險管理 支援部分清單。即使用來自 AWS 的部分資源清單,因此系統能夠處理部分呼叫,例如 S3 存儲桶列表 - 次要 IP 呼叫 - 如果機器人無法呼叫第二個 API 呼叫,規則引擎仍然可以運作。3. 支援指數退避 API。
如果您遇到任何其他問題,請通過 雲端風險管理 技術支援中心 讓我們的團隊知道。