Memperbaiki temuan Security Health Analytics

Halaman ini menyediakan daftar panduan dan teknik referensi untuk memperbaiki temuan Analisis Kondisi Keamanan menggunakan Security Command Center.

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan, dan untuk mengakses atau mengubah resource Google Cloud. Jika Anda mengalami error izin saat mengakses Security Command Center di Konsol Google Cloud, minta bantuan administrator Anda dan. Untuk mempelajari peran, lihat Kontrol akses. Untuk mengatasi error resource, baca dokumentasi untuk produk yang terpengaruh.

Perbaikan Security Health Analytics

Bagian ini mencakup petunjuk perbaikan untuk semua temuan Analisis Kondisi Keamanan.

Penonaktifan temuan setelah perbaikan

Setelah Anda memperbaiki temuan kerentanan atau kesalahan konfigurasi, Security Health Analytics secara otomatis menetapkan status temuan ke INACTIVE saat berikutnya Analytics memindai temuan tersebut. Waktu yang diperlukan Security Health Analytics untuk menetapkan temuan perbaikan ke INACTIVE bergantung pada kapan temuan tersebut diperbaiki dan jadwal pemindaian yang mendeteksi temuan tersebut.

Security Health Analytics juga menetapkan status temuan ke INACTIVE saat pemindaian mendeteksi bahwa resource yang terpengaruh oleh temuan tersebut dihapus. Jika ingin menghapus temuan resource yang telah dihapus dari layar selagi Anda menunggu Security Health Analytics mendeteksi bahwa resource tersebut dihapus, Anda dapat menonaktifkan temuan tersebut. Untuk menonaktifkan temuan, lihat Menonaktifkan temuan di Security Command Center.

Jangan gunakan mute untuk menyembunyikan temuan perbaikan untuk resource yang ada. Jika masalah terjadi berulang dan Security Health Analytics memulihkan status ACTIVE temuan, Anda mungkin tidak melihat temuan yang diaktifkan kembali, karena temuan yang dinonaktifkan akan dikecualikan dari kueri temuan apa pun yang menentukan NOT mute="MUTED", seperti kueri temuan default.

Untuk mengetahui informasi tentang interval pemindaian, lihat Jenis pemindaian Security Health Analytics.

Access Transparency disabled

Nama kategori di API: ACCESS_TRANSPARENCY_DISABLED

Log Transparansi Akses saat karyawan Google Cloud mengakses project di organisasi Anda untuk memberikan dukungan. Aktifkan Transparansi Akses untuk mencatat siapa yang mengakses informasi Anda dari Google Cloud, kapan, dan mengapa. Untuk mendapatkan informasi lebih lanjut, lihat Transparansi Akses.

Untuk mengaktifkan Transparansi Akses pada suatu project, project tersebut harus dikaitkan dengan akun penagihan.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk melakukan tugas ini, minta administrator untuk memberi Anda peran IAM Admin Transparansi Akses (roles/axt.admin) di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin axt.labels.get dan axt.labels.set, yang diperlukan untuk melakukan tugas ini. Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran standar lainnya.

Langkah-langkah perbaikan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Periksa izin tingkat organisasi Anda:

    1. Buka halaman Identity and Access Management di Konsol Google Cloud.

      Buka Identity and Access Management

    2. Jika diminta, pilih organisasi Google Cloud di menu pemilih.

  2. Pilih project Google Cloud apa pun dalam organisasi menggunakan menu pemilih.

    Transparansi Akses dikonfigurasi di halaman project Google Cloud, tetapi Transparansi Akses diaktifkan untuk seluruh organisasi.

  3. Buka halaman IAM & Admin > Settings.

  4. Klik Aktifkan Transparansi Akses.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

AlloyDB auto backup disabled

Nama kategori di API: ALLOYDB_AUTO_BACKUP_DISABLED

Cluster AlloyDB untuk PostgreSQL tidak mengaktifkan pencadangan otomatis.

Untuk membantu mencegah kebocoran data, aktifkan pencadangan otomatis untuk cluster Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi cadangan otomatis tambahan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman cluster AlloyDB untuk PostgreSQL di Konsol Google Cloud.

    Buka AlloyDB untuk cluster PostgreSQL

  2. Klik cluster di kolom Resource Name.

  3. Klik Perlindungan data.

  4. Di bagian Automated backup policy, klik Edit di baris Automated backup.

  5. Centang kotak Mengotomatiskan pencadangan.

  6. Klik Perbarui.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

AlloyDB log min error statement severity

Nama kategori di API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Instance AlloyDB untuk PostgreSQL tidak memiliki tanda database log_min_error_statement yang ditetapkan ke error atau nilai lain yang direkomendasikan.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL untuk tingkat keparahan yang ditentukan atau yang lebih tinggi akan dicatat ke dalam log. Makin tinggi tingkat keparahannya, makin sedikit pesan yang direkam. Jika ditetapkan ke tingkat keparahan yang terlalu tinggi, pesan error mungkin tidak akan dicatat ke dalam log.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman cluster AlloyDB untuk PostgreSQL di Konsol Google Cloud.

    Buka AlloyDB untuk cluster PostgreSQL

  2. Klik cluster di kolom Resource Name.

  3. Di bagian Instances in your cluster, klik Edit untuk instance tersebut.

  4. Klik Opsi Konfigurasi Lanjutan.

  5. Di bagian Flags, tetapkan flag database log_min_error_statement dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
    • error
  6. Klik Update Instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

AlloyDB log min messages

Nama kategori di API: ALLOYDB_LOG_MIN_MESSAGES

Instance AlloyDB untuk PostgreSQL tidak memiliki tanda database log_min_messages yang ditetapkan ke minimal warning.

Flag log_min_messages mengontrol tingkat pesan mana yang dicatat dalam log server. Semakin tinggi tingkat keseriusannya, semakin sedikit pesan yang dicatat. Menetapkan batas yang terlalu rendah dapat mengakibatkan peningkatan ukuran dan panjang penyimpanan log, sehingga sulit untuk menemukan error yang sebenarnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman cluster AlloyDB untuk PostgreSQL di Konsol Google Cloud.

    Buka AlloyDB untuk cluster PostgreSQL

  2. Klik cluster di kolom Resource Name.

  3. Di bagian Instances in your cluster, klik Edit untuk instance tersebut.

  4. Klik Opsi Konfigurasi Lanjutan.

  5. Di bagian Flags, tetapkan flag database log_min_messages dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
  6. Klik Update Instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

AlloyDB log error verbosity

Nama kategori di API: ALLOYDB_LOG_ERROR_VERBOSITY

Instance AlloyDB untuk PostgreSQL tidak memiliki flag database log_error_verbosity yang ditetapkan ke default atau nilai lainnya yang tidak terlalu ketat.

Flag log_error_verbosity mengontrol jumlah detail dalam pesan yang dicatat. Semakin panjang panjangnya, semakin banyak detail yang dicatat dalam pesan. Sebaiknya setel tanda ini ke default atau nilai lainnya yang tidak terlalu membatasi.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman cluster AlloyDB untuk PostgreSQL di Konsol Google Cloud.

    Buka AlloyDB untuk cluster PostgreSQL

  2. Klik cluster di kolom Resource Name.

  3. Di bagian Instances in your cluster, klik Edit untuk instance tersebut.

  4. Klik Opsi Konfigurasi Lanjutan.

  5. Di bagian Flags, tetapkan flag database log_error_verbosity dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • default
    • verbose
  6. Klik Update Instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Admin service account

Nama kategori di API: ADMIN_SERVICE_ACCOUNT

Akun layanan di organisasi atau project Anda memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini memiliki izin yang luas dan tidak boleh ditetapkan ke akun layanan. Untuk mempelajari akun layanan dan peran yang tersedia baginya, lihat Akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman kebijakan IAM di Konsol Google Cloud.

    Buka kebijakan IAM

  2. Untuk setiap utama yang diidentifikasi dalam temuan:

    1. Klik Edit di samping akun utama.
    2. Untuk menghapus izin, klik Hapus di samping peran yang melanggar.
    3. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Alpha cluster enabled

Nama kategori di API: ALPHA_CLUSTER_ENABLED

Fitur cluster Alfa diaktifkan untuk cluster Google Kubernetes Engine (GKE).

Cluster Alfa memungkinkan pengguna awal bereksperimen dengan beban kerja yang menggunakan fitur baru sebelum dirilis ke masyarakat umum. Cluster Alfa mengaktifkan semua fitur GKE API, tetapi tidak tercakup oleh GKE SLA, tidak menerima update keamanan, menonaktifkan upgrade otomatis node dan perbaikan otomatis node, serta tidak dapat diupgrade. Data tersebut juga akan otomatis dihapus setelah 30 hari.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Cluster Alfa tidak dapat dinonaktifkan. Anda harus membuat cluster baru dengan fitur alfa yang dinonaktifkan.

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik Create.

  3. Pilih Konfigurasikan di sebelah jenis cluster yang ingin Anda buat.

  4. Pada tab Features, pastikan Enable Kubernetes alpha features di cluster ini dinonaktifkan.

  5. Klik Create.

  6. Untuk memindahkan beban kerja ke cluster baru, lihat Memigrasikan workload ke berbagai jenis mesin.

  7. Untuk menghapus cluster asli, lihat Menghapus cluster.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

API key APIs unrestricted

Nama kategori di API: API_KEY_APIS_UNRESTRICTED

Ada kunci API yang digunakan terlalu luas.

Kunci API yang tidak dibatasi tidak aman karena dapat diambil dari perangkat tempat kunci disimpan atau dapat dilihat secara publik, misalnya, dari dalam browser. Sesuai dengan prinsip hak istimewa terendah, konfigurasikan kunci API agar hanya memanggil API yang diperlukan oleh aplikasi. Untuk informasi selengkapnya, lihat Menerapkan pembatasan kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman API keys di Konsol Google Cloud.

    Buka Kunci API

  2. Untuk setiap kunci API:

    1. Di bagian API keys, di baris untuk setiap kunci API yang perlu Anda batasi APInya, tampilkan menu Actions dengan mengklik ikon .
    2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
    3. Di bagian API restrictions, pilih Restrict APIs. Menu drop-down Select APIs akan muncul.
    4. Pada menu drop-down Pilih API, pilih API mana yang akan diizinkan.
    5. Klik Save. Mungkin perlu waktu hingga lima menit agar setelan dapat diterapkan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

API key apps unrestricted

Nama kategori di API: API_KEY_APPS_UNRESTRICTED

Ada kunci API yang digunakan secara tidak terbatas, sehingga memungkinkan penggunaan oleh aplikasi yang tidak tepercaya.

Kunci API yang tidak dibatasi tidak aman karena dapat diambil di perangkat tempat kunci disimpan atau dapat dilihat secara publik, misalnya, dari dalam browser. Sesuai dengan prinsip hak istimewa terendah, batasi penggunaan kunci API untuk host, perujuk HTTP, dan aplikasi tepercaya. Untuk informasi selengkapnya, lihat Menerapkan pembatasan kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman API keys di Konsol Google Cloud.

    Buka Kunci API

  2. Untuk setiap kunci API:

    1. Di bagian API keys, di baris untuk setiap kunci API yang perlu Anda batasi aplikasinya, tampilkan menu Actions dengan mengklik ikon .
    2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
    3. Di halaman Edit API key, di bagian Application restrictions, pilih kategori pembatasan. Anda dapat menetapkan satu pembatasan aplikasi per kunci.
    4. Di kolom Add an item yang muncul saat Anda memilih batasan, klik Add an item untuk menambahkan batasan berdasarkan kebutuhan aplikasi Anda.
    5. Setelah selesai menambahkan item, klik Selesai.
    6. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

API key exists

Nama kategori di API: API_KEY_EXISTS

Sebuah project menggunakan kunci API, bukan autentikasi standar.

Kunci API kurang aman dibandingkan metode autentikasi lainnya karena string terenkripsi sederhana serta mudah ditemukan dan digunakan orang lain. Kunci tersebut dapat diambil di perangkat tempat kunci disimpan atau dapat dilihat secara publik, misalnya, dari dalam browser. Selain itu, kunci API tidak secara unik mengidentifikasi pengguna atau aplikasi yang membuat permintaan. Sebagai alternatif, Anda dapat menggunakan alur autentikasi standar, dengan akun layanan atau akun pengguna.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Pastikan aplikasi Anda dikonfigurasi dengan bentuk autentikasi alternatif.
  2. Buka halaman API credentials di Konsol Google Cloud.

    Buka kredensial API

  3. Di bagian API keys pada baris untuk setiap kunci API yang perlu dihapus, tampilkan menu Actions dengan mengklik ikon .

  4. Dari menu Tindakan, klik Hapus kunci API.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

API key not rotated

Nama kategori di API: API_KEY_NOT_ROTATED

Kunci API belum dirotasi selama lebih dari 90 hari.

Kunci API tidak memiliki tanggal habis masa berlaku, jadi jika ada yang dicuri, kunci tersebut dapat digunakan tanpa batas waktu kecuali jika pemilik project mencabut atau merotasi kunci. Pembuatan ulang kunci API sering kali akan mengurangi jumlah waktu penggunaan kunci API yang dicuri untuk mengakses data pada akun yang disusupi atau dihentikan. Rotasi kunci API setidaknya setiap 90 hari. Untuk informasi selengkapnya, lihat Mengamankan kunci API.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman API keys di Konsol Google Cloud.

    Buka Kunci API

  2. Untuk setiap kunci API:

    1. Di bagian API keys, di baris untuk setiap kunci API yang perlu Anda rotasikan, tampilkan menu Actions dengan mengklik ikon .
    2. Dari menu Actions, klik Edit API key. Halaman Edit API key akan terbuka.
    3. Di halaman Edit API key, jika tanggal di kolom Creation date lebih lama dari 90 hari, ganti kunci dengan mengklik Regenerate key di bagian atas halaman. Kunci pengganti baru dibuat.
    4. Klik Save.
    5. Untuk memastikan aplikasi Anda terus berfungsi tanpa gangguan, update aplikasi agar menggunakan kunci API baru. Kunci API lama berfungsi selama 24 jam sebelum dinonaktifkan secara permanen.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Audit config not monitored

Nama kategori di API: AUDIT_CONFIG_NOT_MONITORED

Metrik log dan notifikasi tidak dikonfigurasi untuk memantau perubahan konfigurasi audit.

Cloud Logging menghasilkan log Aktivitas Admin dan Akses Data yang memungkinkan analisis keamanan, pelacakan perubahan resource, dan audit kepatuhan. Dengan memantau perubahan konfigurasi audit, Anda memastikan bahwa semua aktivitas dalam project dapat diaudit kapan saja. Untuk informasi lebih lanjut, baca Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk mengatasi temuan ini, buat metrik, jika perlu, dan kebijakan pemberitahuan:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      protoPayload.methodName="SetIamPolicy"
      AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Audit logging disabled

Nama kategori di API: AUDIT_LOGGING_DISABLED

Temuan ini tidak tersedia untuk aktivasi level project.

Logging audit dinonaktifkan untuk satu atau beberapa layanan Google Cloud, atau satu atau beberapa akun utama dikecualikan dari logging audit akses data.

Aktifkan Cloud Logging untuk semua layanan guna melacak semua aktivitas admin, akses baca, dan akses tulis ke data pengguna. Bergantung pada kuantitas informasinya, biaya Cloud Logging dapat sangat besar. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Jika ada akun utama dikecualikan dari logging audit akses data pada konfigurasi logging audit akses data default atau konfigurasi logging untuk setiap layanan, hapus pengecualian tersebut.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Konfigurasi default log audit Akses Data di Konsol Google Cloud.

    Buka konfigurasi default

  2. Pada tab Jenis log, aktifkan logging audit akses data dalam konfigurasi default:

    1. Pilih Pembacaan Admin, Pembacaan Data, dan Penulisan Data.
    2. Klik Save.
  3. Pada tab Exempted principals, hapus semua pengguna yang dikecualikan dari konfigurasi default:

    1. Hapus setiap akun utama yang tercantum dengan mengklik Delete di samping setiap nama.
    2. Klik Save.
  4. Buka halaman Log Audit.

    Buka log audit

  5. Hapus semua akun utama yang dikecualikan dari konfigurasi log audit akses data setiap layanan.

    1. Di bagian Konfigurasi log audit akses data, klik layanan untuk setiap layanan yang menampilkan akun utama yang dikecualikan. Panel konfigurasi log audit akan terbuka untuk layanan.
    2. Pada tab Exempted principals, hapus semua akun utama yang dikecualikan dengan mengklik Delete di samping setiap nama.
    3. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Auto backup disabled

Nama kategori di API: AUTO_BACKUP_DISABLED

Database Cloud SQL tidak mengaktifkan pencadangan otomatis.

Untuk mencegah kebocoran data, aktifkan pencadangan otomatis untuk instance SQL Anda. Untuk informasi selengkapnya, lihat Membuat dan mengelola pencadangan on-demand dan otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Pencadangan instance SQL di Konsol Google Cloud.

    Buka cadangan instance SQL

  2. Di samping Setelan, klik Edit .

  3. Pilih kotak untuk Pencadangan otomatis.

  4. Di menu drop-down, pilih jangka waktu data Anda akan dicadangkan secara otomatis.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Auto repair disabled

Nama kategori di API: AUTO_REPAIR_DISABLED

Fitur perbaikan otomatis cluster Google Kubernetes Engine (GKE), yang menjaga node dalam status berjalan yang sehat, dinonaktifkan.

Jika diaktifkan, GKE akan melakukan pemeriksaan berkala pada status respons setiap node di cluster Anda. Jika health check node gagal berturut-turut dalam jangka waktu yang lama, GKE akan memulai proses perbaikan untuk node tersebut. Untuk mengetahui informasi selengkapnya, lihat Memperbaiki node secara otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik tab Nodes.

  3. Untuk setiap kumpulan node:

    1. Klik nama kumpulan node untuk membuka halaman detailnya.
    2. Klik Edit .
    3. Di bagian Pengelolaan, pilih Aktifkan perbaikan otomatis.
    4. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Auto upgrade disabled

Nama kategori di API: AUTO_UPGRADE_DISABLED

Fitur upgrade otomatis cluster GKE, yang mempertahankan cluster dan kumpulan node pada Kubernetes versi stabil terbaru, dinonaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Mengupgrade node secara otomatis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Di daftar cluster, klik nama cluster.

  3. Klik tab Nodes.

  4. Untuk setiap kumpulan node:

    1. Klik nama kumpulan node untuk membuka halaman detailnya.
    2. Klik Edit .
    3. Di bagian Pengelolaan, pilih Aktifkan upgrade otomatis.
    4. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

BigQuery table CMEK disabled

Nama kategori di API: BIGQUERY_TABLE_CMEK_DISABLED

Tabel BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol yang lebih besar atas akses ke data Anda. Untuk informasi selengkapnya, lihat Melindungi data dengan kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buat tabel yang dilindungi oleh Cloud Key Management Service.
  2. Salin tabel ke tabel baru yang mendukung CMEK.
  3. Hapus tabel asli.

Untuk menetapkan kunci CMEK default yang mengenkripsi semua tabel baru dalam set data, lihat Menetapkan kunci default set data.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Binary authorization disabled

Nama kategori di API: BINARY_AUTHORIZATION_DISABLED

Otorisasi Biner dinonaktifkan di cluster GKE.

Otorisasi Biner mencakup fitur opsional yang melindungi keamanan supply chain dengan hanya mengizinkan image container yang ditandatangani oleh otoritas tepercaya selama proses pengembangan untuk di-deploy di cluster. Dengan menerapkan deployment berbasis tanda tangan, Anda mendapatkan kontrol yang lebih ketat atas lingkungan container, sehingga memastikan hanya image terverifikasi yang diizinkan untuk di-deploy.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Di bagian Security, klik ikon edit () di baris Binary Authorization.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  3. Dalam dialog, pilih Enable Binary Authorization.

  4. Klik Simpan perubahan.

  5. Buka halaman penyiapan Otorisasi Biner.

    Buka Otorisasi Biner

  6. Pastikan kebijakan yang mewajibkan attestor dikonfigurasi dan aturan default project tidak dikonfigurasi ke Allow all image. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan GKE.

    Untuk memastikan bahwa image yang melanggar kebijakan dapat di-deploy dan pelanggaran dicatat ke Cloud Audit Logs, Anda dapat mengaktifkan mode uji coba.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Bucket CMEK disabled

Nama kategori di API: BUCKET_CMEK_DISABLED

Bucket tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Menetapkan CMEK default pada bucket memberi Anda lebih banyak kontrol atas akses ke data Anda. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan.

Untuk memperbaiki temuan ini, gunakan CMEK dengan bucket dengan mengikuti petunjuk Menggunakan kunci enkripsi yang dikelola pelanggan. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Bucket IAM not monitored

Nama kategori di API: BUCKET_IAM_NOT_MONITORED

Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan izin IAM Cloud Storage.

Memantau perubahan pada izin bucket Cloud Storage membantu Anda mengidentifikasi pengguna dengan hak istimewa berlebih atau aktivitas yang mencurigakan. Untuk informasi lebih lanjut, baca Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      resource.type=gcs_bucket
      AND protoPayload.methodName="storage.setIamPermissions"

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Bucket logging disabled

Nama kategori di API: BUCKET_LOGGING_DISABLED

Ada bucket penyimpanan tanpa logging diaktifkan.

Untuk membantu menyelidiki masalah keamanan dan memantau konsumsi penyimpanan, aktifkan log akses dan informasi penyimpanan untuk bucket Cloud Storage Anda. Log akses memberikan informasi untuk semua permintaan yang dibuat di bucket tertentu, dan log penyimpanan memberikan informasi tentang konsumsi penyimpanan bucket tersebut.

Untuk memperbaiki temuan ini, siapkan logging untuk bucket yang ditunjukkan oleh temuan Security Health Analytics dengan menyelesaikan panduan log penggunaan & log penyimpanan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Bucket policy only disabled

Nama kategori di API: BUCKET_POLICY_ONLY_DISABLED

Akses level bucket yang seragam, yang sebelumnya disebut Khusus Kebijakan Bucket, tidak dikonfigurasi.

Akses level bucket yang seragam menyederhanakan kontrol akses bucket dengan menonaktifkan izin level objek (ACL). Saat diaktifkan, hanya izin IAM level bucket yang memberikan akses ke bucket dan objek yang ada di dalamnya. Untuk mengetahui informasi selengkapnya, lihat Akses tingkat bucket seragam.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman browser Cloud Storage di Konsol Google Cloud.

    Buka browser Cloud Storage

  2. Pada daftar bucket, klik nama bucket yang diinginkan.

  3. Klik tab Configuration.

  4. Di bagian Izin, di baris untuk Kontrol akses, klik ikon edit ().

  5. Pada dialog, pilih Uniform.

  6. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloud Asset API disabled

Nama kategori di API: CLOUD_ASSET_API_DISABLED

Layanan Inventaris Aset Cloud tidak diaktifkan untuk project ini.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Library API di konsol Google Cloud.

    Buka API Library

  2. Telusuri Cloud Asset Inventory.

  3. Pilih hasil untuk layanan Cloud Asset API.

  4. Pastikan API Enabled ditampilkan.

Cluster logging disabled

Nama kategori di API: CLUSTER_LOGGING_DISABLED

Logging tidak diaktifkan untuk cluster GKE.

Untuk membantu menyelidiki masalah keamanan dan memantau penggunaan, aktifkan Cloud Logging di cluster Anda.

Bergantung pada kuantitas informasinya, biaya Cloud Logging dapat sangat besar. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Di menu drop-down Stackdriver Logging Lama atau Stackdriver Kubernetes Engine Monitoring, pilih Diaktifkan.

    Opsi ini tidak kompatibel. Pastikan Anda menggunakan Stackdriver Kubernetes Engine Monitoring saja, atau Stackdriver Logging Lama dengan Stackdriver Monitoring Lama.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cluster monitoring disabled

Nama kategori di API: CLUSTER_MONITORING_DISABLED

Pemantauan dinonaktifkan di cluster GKE.

Untuk membantu menyelidiki masalah keamanan dan memantau penggunaan, aktifkan Cloud Monitoring di cluster Anda.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Di menu drop-down Stackdriver Monitoring Lama atau Stackdriver Kubernetes Engine Monitoring, pilih Diaktifkan.

    Opsi ini tidak kompatibel. Pastikan Anda menggunakan Stackdriver Kubernetes Engine Monitoring saja, atau Stackdriver Monitoring Lama dengan Stackdriver Logging Lama.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cluster private Google access disabled

Nama kategori di API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Host cluster tidak dikonfigurasi untuk hanya menggunakan alamat IP internal pribadi guna mengakses Google API.

Akses Google Pribadi memungkinkan instance virtual machine (VM) dengan hanya alamat IP internal pribadi untuk menjangkau alamat IP publik API dan layanan Google. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses Pribadi Google.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Virtual Private Cloud networks di Konsol Google Cloud.

    Buka jaringan VPC

  2. Di daftar jaringan, klik nama jaringan yang diinginkan.

  3. Di halaman VPC network details, klik tab Subnets.

  4. Pada daftar subnet, klik nama subnet yang terkait dengan cluster Kubernetes dalam temuan tersebut.

  5. Di halaman Subnet details, klik Edit .

  6. Di bagian Akses Google Pribadi, pilih Aktif.

  7. Klik Save.

  8. Untuk menghapus IP publik (eksternal) dari instance VM yang satu-satunya traffic eksternal ke Google API, lihat Membatalkan penetapan alamat IP eksternal statis.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cluster secrets encryption disabled

Nama kategori di API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Enkripsi secret lapisan aplikasi dinonaktifkan di cluster GKE.

Enkripsi secret lapisan aplikasi memastikan rahasia GKE dienkripsi menggunakan kunci Cloud KMS. Fitur ini memberikan lapisan keamanan tambahan untuk data sensitif, seperti secret dan secret yang ditentukan pengguna yang diperlukan untuk operasi cluster, seperti kunci akun layanan, yang semuanya disimpan di etcd.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud KMS keys di Google Cloud Console.

    Buka kunci Cloud KMS

  2. Tinjau kunci aplikasi Anda atau buat kunci enkripsi database (DEK). Untuk mengetahui informasi selengkapnya, lihat Membuat kunci Cloud KMS.

  3. Buka halaman Cluster Kubernetes.

    Buka cluster Kubernetes

  4. Pilih cluster dalam temuan.

  5. Di bagian Security, di kolom Application-layer secrets encryption, klik Edit Application-layer Secrets Encryption.

  6. Centang kotak Enable Application-layer Secrets Encryption, lalu pilih DEK yang Anda buat.

  7. Klik Simpan Perubahan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cluster shielded nodes disabled

Nama kategori di API: CLUSTER_SHIELDED_NODES_DISABLED

Node GKE yang terlindungi tidak diaktifkan untuk sebuah cluster.

Tanpa Node GKE yang Terlindungi, penyerang dapat mengeksploitasi kerentanan dalam Pod untuk mengambil kredensial bootstrap dan meniru identitas node dalam cluster Anda. Kerentanan dapat memberi penyerang akses ke rahasia cluster.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pilih cluster dalam temuan.

  3. Di bagian Security, pada kolom Shielded GKE nodes, klik Edit Shielded GKE nodes.

  4. Centang kotak Enable Shielded GKE nodes.

  5. Klik Simpan Perubahan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Compute project wide SSH keys allowed

Nama kategori di API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Kunci SSH di seluruh project digunakan, sehingga semua instance dalam project dapat login.

Menggunakan kunci SSH di seluruh project akan mempermudah pengelolaan kunci SSH, tetapi jika disusupi, akan menimbulkan risiko keamanan yang dapat memengaruhi semua instance dalam project. Anda harus menggunakan kunci SSH khusus instance, yang membatasi permukaan serangan jika kunci SSH disusupi. Untuk mengetahui informasi selengkapnya, lihat Mengelola kunci SSH di metadata.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Di halaman VM instance details, klik Edit.

  4. Di bagian SSH Keys, pilih Block-wide SSH keys.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Compute Secure Boot disabled

Nama kategori di API: COMPUTE_SECURE_BOOT_DISABLED

Shielded VM tidak mengaktifkan Booting Aman.

Menggunakan Booting Aman membantu melindungi virtual machine Anda dari rootkit dan bootkit. Compute Engine tidak mengaktifkan Booting Aman secara default karena beberapa driver yang tidak ditandatangani dan software level rendah tidak kompatibel. Jika VM Anda tidak menggunakan software yang tidak kompatibel dan melakukan booting dengan mengaktifkan Booting Aman, Google merekomendasikan untuk menggunakan Booting Aman. Jika Anda menggunakan modul pihak ketiga dengan driver Nvidia, pastikan modul tersebut kompatibel dengan Booting Aman sebelum mengaktifkannya.

Untuk informasi selengkapnya, lihat Booting Aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Di halaman VM instance details, klik Stop.

  4. Setelah instance berhenti, klik Edit.

  5. Di bagian Shielded VM, pilih Turn on Secure Boot.

  6. Klik Save.

  7. Klik Start untuk memulai instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Compute serial ports enabled

Nama kategori di API: COMPUTE_SERIAL_PORTS_ENABLED

Port serial diaktifkan untuk sebuah instance, sehingga memungkinkan koneksi ke konsol serial instance.

Jika Anda mengaktifkan konsol serial interaktif pada suatu instance, klien dapat mencoba terhubung ke instance tersebut dari alamat IP mana pun. Oleh karena itu, dukungan konsol serial interaktif harus dinonaktifkan. Untuk mengetahui informasi selengkapnya, baca Mengaktifkan akses untuk project.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Di halaman VM instance details, klik Edit.

  4. Di bagian Akses jarak jauh, hapus centang pada Aktifkan sambungan ke port serial.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Confidential Computing disabled

Nama kategori di API: CONFIDENTIAL_COMPUTING_DISABLED

Instance Compute Engine tidak mengaktifkan Confidential Computing.

Confidential Computing menambahkan pilar ketiga ke dalam kisah enkripsi menyeluruh dengan mengenkripsi data saat digunakan. Dengan lingkungan eksekusi rahasia yang disediakan oleh Confidential Computing dan AMD Secure Encrypted Virtualization (SEV), Google Cloud menyimpan kode sensitif dan data lainnya yang dienkripsi dalam memori selama pemrosesan.

Confidential Computing hanya dapat diaktifkan jika instance telah dibuat. Oleh karena itu, Anda harus menghapus instance saat ini dan membuat instance baru.

Untuk mengetahui informasi selengkapnya, baca artikel Confidential VM dan Compute Engine.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Di halaman Detail instance VM, klik Delete.

  4. Buat Confidential VM menggunakan Konsol Google Cloud.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

COS not used

Nama kategori di API: COS_NOT_USED

VM Compute Engine tidak menggunakan Container-Optimized OS, yang dirancang untuk menjalankan container Docker di Google Cloud dengan aman.

Container-Optimized OS adalah OS yang direkomendasikan Google untuk menghosting dan menjalankan container di Google Cloud. Jejak OS-nya yang kecil meminimalkan eksposur keamanan, sementara update otomatis memperbaiki kerentanan keamanan secara tepat waktu. Untuk informasi selengkapnya, lihat Ringkasan Container-Optimized OS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pada daftar cluster, klik nama cluster dalam hasil temuan.

  3. Klik tab Nodes.

  4. Untuk setiap kumpulan node:

    1. Klik nama kumpulan node untuk membuka halaman detailnya.
    2. Klik Edit .
    3. Di bagian Node -> Jenis gambar, klik Ubah.
    4. Pilih Container-Optimized OS, lalu klik Change.
    5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Custom role not monitored

Nama kategori di API: CUSTOM_ROLE_NOT_MONITORED

Notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan peran khusus.

IAM menyediakan peran bawaan dan khusus yang memberikan akses ke resource Google Cloud tertentu. Dengan memantau aktivitas pembuatan, penghapusan, dan pembaruan peran, Anda dapat mengidentifikasi peran dengan hak istimewa berlebih pada tahap awal. Untuk informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      resource.type="iam_role"
      AND (protoPayload.methodName="google.iam.admin.v1.CreateRole"
      OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
      OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dataproc CMEK disabled

Nama kategori di API: DATAPROC_CMEK_DISABLED

Cluster Dataproc dibuat tanpa konfigurasi enkripsi CMEK. Dengan CMEK, kunci yang Anda buat dan kelola di Cloud Key Management Service menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Dataproc di konsol Google Cloud.

    Buka cluster Dataproc

  2. Pilih project Anda, lalu klik Create Cluster.

  3. Di bagian Manage security, klik Encryption dan pilih Customer-managed key.

  4. Pilih kunci yang dikelola pelanggan dari daftar.

    Jika tidak memiliki kunci yang dikelola pelanggan, Anda perlu membuatnya untuk digunakan. Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan.

  5. Pastikan kunci KMS yang dipilih memiliki peran Encrypter/Decrypter Cloud KMS CryptoKey yang ditetapkan ke akun layanan Cluster Dataproc ("serviceAccount:service-project_number@compute-system.iam.gserviceaccount.com").

  6. Setelah cluster dibuat, migrasikan semua beban kerja Anda dari cluster lama ke cluster baru.

  7. Buka cluster Dataproc dan pilih project Anda.

  8. Pilih cluster lama, lalu klik Hapus cluster.

  9. Ulangi semua langkah di atas untuk cluster Dataproc lain yang tersedia di project yang dipilih.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dataproc image outdated

Nama kategori di API: DATAPROC_IMAGE_OUTDATED

Cluster Dataproc dibuat menggunakan versi image Dataproc yang terpengaruh oleh kerentanan keamanan di utilitas Apache Log4j 2 (CVE-2021-44228 dan CVE-2021-45046).

Pendeteksi ini menemukan kerentanan dengan memeriksa apakah kolom softwareConfig.imageVersion di properti config dari Cluster memiliki salah satu versi yang terpengaruh berikut ini:

  • Versi gambar yang lebih lama dari 1.3.95.
  • Versi image subminor yang lebih lama dari 1.4.77, 1.5.53, dan 2.0.27.

Nomor versi image Dataproc kustom dapat diganti secara manual. Perhatikan skenario berikut:

  • Pengguna dapat memodifikasi versi image kustom yang terpengaruh agar tampak tidak terpengaruh. Dalam hal ini, detektor ini tidak menghasilkan temuan.
  • Pengguna dapat mengganti versi image kustom yang tidak terpengaruh dengan versi yang diketahui memiliki kerentanan. Dalam hal ini, detektor ini memancarkan temuan positif palsu. Untuk menyembunyikan temuan positif palsu ini, Anda dapat membisukan temuan tersebut.

Untuk memperbaiki temuan ini, buat ulang dan update cluster yang terpengaruh.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dataset CMEK disabled

Nama kategori di API: DATASET_CMEK_DISABLED

Set data BigQuery tidak dikonfigurasi untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) default.

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol yang lebih besar atas akses ke data Anda. Untuk informasi selengkapnya, lihat Melindungi data dengan kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda tidak dapat mengganti tabel antara enkripsi default dan enkripsi CMEK. Untuk menetapkan kunci CMEK default yang akan digunakan untuk mengenkripsi semua tabel baru dalam set data, ikuti petunjuk untuk Menetapkan kunci default set data.

Menyetel kunci default tidak akan mengenkripsi ulang tabel yang saat ini ada dalam set data dengan kunci baru. Untuk menggunakan CMEK bagi data yang ada, lakukan hal berikut:

  1. Buat set data baru.
  2. Tetapkan kunci CMEK default pada set data yang telah Anda buat.
  3. Untuk menyalin tabel ke set data yang mendukung CMEK, ikuti petunjuk untuk Menyalin tabel.
  4. Setelah berhasil menyalin data, hapus set data asli.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Default network

Nama kategori di API: DEFAULT_NETWORK

Jaringan default ada dalam project.

Jaringan default secara otomatis membuat aturan firewall dan konfigurasi jaringan yang mungkin tidak aman. Untuk mengetahui informasi selengkapnya, lihat Jaringan default.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Konsol Google Cloud.

    Buka VPC networks

  2. Dalam daftar jaringan, klik nama jaringan default.

  3. Di halaman Detail jaringan VPC, klik Hapus Jaringan VPC.

  4. Untuk membuat jaringan baru dengan aturan firewall kustom, lihat Membuat jaringan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Default service account used

Nama kategori di API: DEFAULT_SERVICE_ACCOUNT_USED

Instance Compute Engine dikonfigurasi untuk menggunakan akun layanan default.

Akun layanan Compute Engine default memiliki peran Editor pada project, yang memungkinkan akses baca dan tulis ke sebagian besar layanan Google Cloud. Untuk melindungi dari eskalasi akses dan akses tidak sah, jangan gunakan akun layanan Compute Engine default. Sebagai gantinya, buat akun layanan baru dan hanya tetapkan izin yang diperlukan oleh instance Anda. Baca Kontrol akses untuk mengetahui informasi tentang peran dan izin.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pilih instance yang terkait dengan temuan Security Health Analytics.

  3. Pada halaman Instance details yang dimuat, klik Stop.

  4. Setelah instance berhenti, klik Edit.

  5. Di bagian Akun Layanan, pilih akun layanan selain akun layanan Compute Engine default. Anda mungkin perlu membuat akun layanan baru terlebih dahulu. Baca Kontrol akses untuk mengetahui informasi tentang peran dan izin IAM.

  6. Klik Save. Konfigurasi baru akan muncul di halaman Instance details.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Disk CMEK disabled

Nama kategori di API: DISK_CMEK_DISABLED

Disk di VM ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS menggabungkan kunci yang digunakan Google Cloud untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda. Untuk informasi selengkapnya, lihat Melindungi Resource dengan Kunci Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Disk Compute Engine di Konsol Google Cloud.

    Buka disk Compute Engine

  2. Pada daftar disk, klik nama disk yang ditunjukkan dalam temuan.

  3. Di halaman Manage disk, klik Delete.

  4. Untuk membuat disk baru dengan CMEK diaktifkan, lihat Mengenkripsi persistent disk baru dengan kunci Anda sendiri. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Disk CSEK disabled

Nama kategori di API: DISK_CSEK_DISABLED

Disk di VM ini tidak dienkripsi dengan Kunci Enkripsi yang Disediakan Pelanggan (CSEK). Disk untuk VM penting harus dienkripsi dengan CSEK.

Jika Anda memberikan kunci enkripsi sendiri, Compute Engine akan menggunakan kunci Anda untuk melindungi kunci yang dibuat oleh Google dan digunakan untuk mengenkripsi dan mendekripsi data Anda. Untuk mengetahui informasi selengkapnya, lihat Kunci Enkripsi yang Disediakan Pelanggan. CSEK menimbulkan biaya tambahan terkait Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Menghapus dan membuat disk

Anda hanya dapat mengenkripsi persistent disk baru dengan kunci Anda sendiri. Anda tidak dapat mengenkripsi persistent disk yang ada dengan kunci Anda sendiri.

  1. Buka halaman Disk Compute Engine di Konsol Google Cloud.

    Buka disk Compute Engine

  2. Pada daftar disk, klik nama disk yang ditunjukkan dalam temuan.

  3. Di halaman Manage disk, klik Delete.

  4. Untuk membuat disk baru dengan CSEK yang diaktifkan, lihat Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan.

  5. Selesaikan langkah selanjutnya untuk mengaktifkan pendeteksi.

Mengaktifkan pendeteksi

  1. Buka halaman Assets Security Command Center di Konsol Google Cloud.

    Buka Aset

  2. Di bagian Resource type pada panel Quick filters, pilih compute.Disk.

    Jika Anda tidak melihat compute.Disk, klik View more, masukkan Disk di kolom penelusuran, lalu klik Apply.

    Panel Hasil diperbarui agar hanya menampilkan instance jenis resource compute.Disk.

  3. Di kolom Display name, centang kotak di samping nama disk yang ingin Anda gunakan dengan CSEK, lalu klik Set Security Marks.

  4. Pada dialog, klik Tambahkan Tanda.

  5. Di kolom key, masukkan enforce_customer_supplied_disk_encryption_keys, lalu di kolom value, masukkan true.

  6. Klik Save.

Pelajari setelan pemindaian dan aset yang didukung jenis temuan ini.

DNS logging disabled

Nama kategori di API: DNS_LOGGING_DISABLED

Pemantauan log Cloud DNS memberikan visibilitas ke nama DNS yang diminta oleh klien dalam jaringan VPC. Log ini dapat dipantau untuk menemukan nama domain anomali dan dievaluasi terhadap kecerdasan ancaman. Sebaiknya aktifkan logging DNS untuk jaringan VPC.

Bergantung pada kuantitas informasinya, biaya logging Cloud DNS dapat sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Harga untuk Kemampuan Observasi Google Cloud: Cloud Logging.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Google Cloud Console.

    Buka VPC networks

  2. Dalam daftar jaringan, klik nama jaringan VPC.

  3. Buat kebijakan server baru (jika tidak ada) atau edit kebijakan yang ada:

    • Jika jaringan tidak memiliki kebijakan server DNS, selesaikan langkah-langkah berikut:

      1. Klik Edit.
      2. Pada kolom DNS server policy, klik Create a new server policy.
      3. Masukkan nama untuk kebijakan server yang baru.
      4. Setel Log ke Aktif.
      5. Klik Save.
    • Jika jaringan memiliki kebijakan server DNS, selesaikan langkah-langkah berikut:

      1. Di kolom DNS server policy, klik nama kebijakan DNS.
      2. Klik Edit kebijakan.
      3. Setel Log ke Aktif.
      4. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

DNSSEC disabled

Nama kategori di API: DNSSEC_DISABLED

Domain Name System Security Extensions (DNSSEC) dinonaktifkan untuk zona Cloud DNS.

DNSSEC memvalidasi respons DNS dan memitigasi risiko, seperti pembajakan DNS dan serangan person-in-the-middle, dengan menandatangani data DNS secara kriptografis. Anda harus mengaktifkan DNSSEC. Untuk mengetahui informasi selengkapnya, lihat ringkasan DNS Security Extensions (DNSSEC).

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud DNS di Konsol Google Cloud.

    Buka jaringan Cloud DNS

  2. Temukan baris dengan zona DNS yang ditunjukkan dalam temuan.

  3. Klik setelan DNSSEC di baris, lalu di bagian DNSSEC, pilih On.

  4. Baca dialog yang muncul. Jika puas, klik Enable.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Egress deny rule not set

Nama kategori di API: EGRESS_DENY_RULE_NOT_SET

Aturan penolakan keluar tidak ditetapkan di firewall.

Firewall yang menolak semua traffic jaringan keluar akan mencegah koneksi jaringan keluar yang tidak diinginkan, kecuali koneksi tersebut yang diizinkan secara eksplisit oleh firewall lain. Untuk mengetahui informasi selengkapnya, lihat Kasus keluar.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Klik Create Firewall Rule.

  3. Beri nama firewall, dan berikan deskripsi jika perlu.

  4. Di bagian Direction of traffic, pilih Egress.

  5. Di bagian Tindakan saat kecocokan, pilih Tolak.

  6. Di menu drop-down Target, pilih Semua instance di jaringan.

  7. Di menu drop-down Destination filter, pilih IP ranges, lalu ketik 0.0.0.0/0 di kotak Destination IP ranges.

  8. Di bagian Protocols and ports, pilih Deny all.

  9. Klik Nonaktifkan Aturan, lalu di bagian Penegakan, pilih Diaktifkan.

  10. Klik Create.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Essential contacts not configured

Nama kategori di API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Organisasi Anda belum menetapkan orang atau kelompok untuk menerima notifikasi dari Google Cloud tentang peristiwa penting seperti serangan, kerentanan, dan insiden data dalam organisasi Google Cloud Anda. Sebaiknya, tetapkan satu atau beberapa orang atau grup di organisasi bisnis Anda sebagai kontak penting.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Kontak Penting di Konsol Google Cloud.

    Buka Kontak Penting

  2. Pastikan organisasi muncul di pemilih resource di bagian atas halaman. Pemilih resource memberi tahu Anda project, folder, atau organisasi yang saat ini Anda kelola kontaknya.

  3. Klik +Tambahkan kontak. Panel Tambahkan kontak akan terbuka.

  4. Di kolom Email dan Konfirmasi Email, masukkan alamat email kontak.

  5. Dari bagian Kategori notifikasi, pilih kategori notifikasi yang komunikasinya akan Anda terima oleh kontak. Pastikan alamat email yang benar telah dikonfigurasi untuk setiap kategori notifikasi berikut:

    1. Legal
    2. Keamanan
    3. Penangguhan
    4. Teknis
  6. Klik Save. Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Firewall not monitored

Nama kategori di API: FIREWALL_NOT_MONITORED

Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan Firewall Jaringan VPC.

Dengan memantau peristiwa pembuatan dan pembaruan aturan firewall, Anda akan mendapatkan insight tentang perubahan akses jaringan dan dapat membantu mendeteksi aktivitas yang mencurigakan dengan cepat. Untuk mengetahui informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      resource.type="gce_firewall_rule"
      AND (protoPayload.methodName:"compute.firewalls.insert"
      OR protoPayload.methodName:"compute.firewalls.patch"
      OR protoPayload.methodName:"compute.firewalls.delete")

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Firewall rule logging disabled

Nama kategori di API: FIREWALL_RULE_LOGGING_DISABLED

Firewall Rules Logging dinonaktifkan.

Dengan logging aturan firewall, Anda dapat mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Tindakan ini dapat berguna untuk mengaudit akses jaringan atau memberikan peringatan awal bahwa jaringan sedang digunakan dengan cara yang tidak disetujui. Biaya log bisa sangat signifikan. Untuk mengetahui informasi selengkapnya tentang Logging Aturan Firewall dan biayanya, lihat Menggunakan Logging Aturan Firewall.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Dalam daftar aturan firewall, klik nama aturan firewall yang diinginkan.

  3. Klik Edit.

  4. Di bagian Log, pilih Aktif.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Flow logs disabled

Nama kategori di API: FLOW_LOGS_DISABLED

Ada subnetwork VPC yang log alirannya dinonaktifkan.

Log Aliran VPC mencatat contoh alur jaringan yang dikirim dari dan diterima oleh instance VM. Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan secara real-time, dan pengoptimalan biaya. Untuk informasi lebih lanjut tentang log aliran dan biayanya, lihat Menggunakan Log Aliran VPC.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Google Cloud Console.

    Buka VPC networks

  2. Di daftar jaringan, klik nama jaringan yang diinginkan.

  3. Di halaman VPC network details, klik tab Subnets.

  4. Pada daftar subnet, klik nama subnet yang ditunjukkan dalam penemuan.

  5. Di halaman Subnet details, klik Edit.

  6. Di bagian Flow logs, pilih On.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Nama kategori di API: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dalam konfigurasi subnet di jaringan VPC, layanan VPC Flow Logs tidak aktif atau tidak dikonfigurasi sesuai dengan rekomendasi CIS Benchmark 1.3. Log Aliran VPC mencatat contoh alur jaringan yang dikirim dari dan diterima oleh instance VM yang dapat digunakan untuk mendeteksi ancaman.

Untuk informasi lebih lanjut tentang Log Aliran VPC dan biayanya, lihat Menggunakan Log Aliran VPC.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Google Cloud Console.

    Buka VPC networks

  2. Dalam daftar jaringan, klik nama jaringan.

  3. Di halaman VPC network details, klik tab Subnets.

  4. Pada daftar subnet, klik nama subnet yang ditunjukkan dalam penemuan.

  5. Di halaman Subnet details, klik Edit.

  6. Di bagian Flow logs, pilih On.

    1. Secara opsional, ubah konfigurasi log dengan mengklik tombol Configure logs untuk meluaskan tab. CIS Benchmarks merekomendasikan setelan berikut:
      1. Tetapkan Interval Agregasi ke 5 SEC.
      2. Pada kotak centang Additional columns, pilih opsi Include metadata.
      3. Tetapkan Frekuensi sampel ke 100%.
      4. Klik tombol SIMPAN.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Full API access

Nama kategori di API: FULL_API_ACCESS

Instance Compute Engine dikonfigurasi untuk menggunakan akun layanan default dengan akses penuh ke semua Google Cloud API.

Instance yang dikonfigurasi dengan cakupan akun layanan default, Izinkan akses penuh ke semua Cloud API, dapat mengizinkan pengguna untuk melakukan operasi atau panggilan API yang izin IAM-nya tidak mereka miliki. Untuk mengetahui informasi selengkapnya, lihat Akun layanan default Compute Engine.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Klik Stop jika instance saat ini dimulai.

  4. Setelah instance berhenti, klik Edit.

  5. Di bagian Akun layanan, di menu drop-down, pilih akun layanan default Compute Engine.

  6. Di bagian Access scope, pastikan Allow full access to all Cloud APIs tidak dipilih.

  7. Klik Save.

  8. Klik Start untuk memulai instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

HTTP load balancer

Nama kategori di API: HTTP_LOAD_BALANCER

Instance Compute Engine menggunakan load balancer yang dikonfigurasi untuk menggunakan proxy HTTP target, bukan proxy HTTPS target.

Untuk melindungi integritas data Anda dan mencegah penyusup merusak komunikasi Anda, konfigurasikan load balancer HTTP(S) untuk hanya mengizinkan traffic HTTPS. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Load Balancing HTTP(S) Eksternal.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Target proxy di Konsol Google Cloud.

    Buka Proxy target

  2. Pada daftar proxy target, klik nama proxy target dalam temuan.

  3. Klik link di bawah peta URL.

  4. Klik Edit.

  5. Klik Frontend configuration.

  6. Hapus semua IP Frontend dan konfigurasi port yang mengizinkan traffic HTTP, serta buat yang baru yang mengizinkan traffic HTTPS.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Instance OS login disabled

Nama kategori di API: INSTANCE_OS_LOGIN_DISABLED

Login OS dinonaktifkan pada instance Compute Engine ini.

Login OS mengaktifkan pengelolaan kunci SSH terpusat dengan IAM dan menonaktifkan konfigurasi kunci SSH berbasis metadata pada semua instance dalam sebuah project. Pelajari cara menyiapkan dan mengonfigurasi Login OS.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Pada halaman Instance details yang dimuat, klik Stop.

  4. Setelah instance berhenti, klik Edit.

  5. Di bagian Metadata kustom, pastikan item dengan kunci enable-oslogin memiliki nilai TRUE.

  6. Klik Save.

  7. Klik Start untuk memulai instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Integrity monitoring disabled

Nama kategori di API: INTEGRITY_MONITORING_DISABLED

Pemantauan integritas dinonaktifkan di cluster GKE.

Pemantauan integritas memungkinkan Anda memantau dan memverifikasi integritas booting runtime node terlindung menggunakan Monitoring. Hal ini memungkinkan Anda merespons kegagalan integritas dan mencegah node yang disusupi di-deploy ke cluster.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, node tidak dapat diupdate untuk mengaktifkan pemantauan integritas. Anda harus membuat kumpulan node baru dengan pemantauan integritas yang diaktifkan.

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik nama cluster dalam temuan.

  3. Klik Add Node Pool.

  4. Pada tab Security, pastikan Enable integrity monitoring diaktifkan.

  5. Klik Create.

  6. Untuk memigrasikan workload Anda dari node pool yang tidak sesuai ke kumpulan node yang baru, lihat Memigrasikan workload ke jenis mesin yang berbeda.

  7. Setelah beban kerja Anda dipindahkan, hapus kumpulan node asli yang tidak sesuai.

    1. Di halaman Cluster Kubernetes, di menu Node pool, klik nama node pool yang ingin dihapus.
    2. Klik Hapus node pool.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Intranode visibility disabled

Nama kategori di API: INTRANODE_VISIBILITY_DISABLED

Visibilitas intranode dinonaktifkan untuk cluster GKE.

Dengan mengaktifkan visibilitas intranode, traffic Pod-to-Pod intranode Anda akan terlihat oleh fabric jaringan. Dengan fitur ini, Anda dapat menggunakan logging alur VPC atau fitur VPC lainnya untuk memantau atau mengontrol traffic intranode. Untuk mendapatkan log, Anda harus mengaktifkan log aliran VPC pada subnetwork yang dipilih. Untuk mengetahui informasi selengkapnya, lihat Menggunakan log aliran VPC.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, node tidak dapat diupdate untuk mengaktifkan pemantauan integritas. Anda harus membuat kumpulan node baru dengan pemantauan integritas yang diaktifkan.

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Di bagian Networking, klik ikon edit () di baris Intranode visibility.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  3. Dalam dialog, pilih Enable Intranode visibility.

  4. Klik Simpan Perubahan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

IP alias disabled

Nama kategori di API: IP_ALIAS_DISABLED

Cluster GKE dibuat dengan rentang IP alias dinonaktifkan.

Saat Anda mengaktifkan rentang IP alias, cluster GKE mengalokasikan alamat IP dari blok CIDR yang diketahui, sehingga cluster Anda skalabel dan berinteraksi secara lebih baik dengan produk dan entity Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Ringkasan rentang IP alias.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda tidak dapat memigrasikan cluster yang ada untuk menggunakan IP alias. Untuk membuat cluster baru dengan IP alias yang diaktifkan, lakukan hal berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik Create.

  3. Dari panel navigasi, pada Cluster, klik Networking.

  4. Di bagian Opsi jaringan lanjutan, pilih Aktifkan perutean traffic VPC-native (menggunakan IP alias).

  5. Klik Create.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

IP forwarding enabled

Nama kategori di API: IP_FORWARDING_ENABLED

Penerusan IP diaktifkan pada instance Compute Engine.

Cegah kehilangan data atau pengungkapan informasi dengan menonaktifkan penerusan IP paket data untuk VM Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Dalam daftar instance, centang kotak di samping nama instance dalam temuan.

  3. Klik Delete.

  4. Pilih Create Instance untuk membuat instance baru guna menggantikan instance yang telah dihapus.

  5. Untuk memastikan penerusan IP dinonaktifkan, klik Management, disks, networking, SSH keys, lalu klik Networking.

  6. Di bagian Network interfaces, klik Edit.

  7. Di bagian IP forwarding, di menu drop-down, pastikan Off dipilih.

  8. Tentukan parameter instance lainnya, lalu klik Create. Untuk mengetahui informasi selengkapnya, baca Membuat dan memulai instance VM.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

KMS key not rotated

Nama kategori di API: KMS_KEY_NOT_ROTATED

Rotasi tidak dikonfigurasi pada kunci enkripsi Cloud KMS.

Memutar kunci enkripsi secara teratur memberikan perlindungan jika kunci disusupi dan membatasi jumlah pesan terenkripsi yang tersedia untuk analisis kripto versi kunci tertentu. Untuk mengetahui informasi selengkapnya, lihat Rotasi kunci.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud KMS keys di Google Cloud Console.

    Buka kunci Cloud KMS

  2. Klik nama key ring yang ditunjukkan dalam temuan.

  3. Klik nama kunci yang ditunjukkan dalam temuan.

  4. Klik Edit Rotation Period.

  5. Tetapkan periode rotasi ke maksimum 90 hari.

  6. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

KMS project has owner

Nama kategori di API: KMS_PROJECT_HAS_OWNER

Pengguna memiliki izin roles/Owner di project yang memiliki kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Halaman Go IAM

  2. Jika perlu, pilih proyek dalam temuan.

  3. Untuk setiap akun utama yang diberi peran Pemilik:

    1. Klik Edit.
    2. Di panel Edit izin, di samping peran Pemilik, klik Hapus.
    3. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

KMS public key

Nama kategori di API: KMS_PUBLIC_KEY

Kripto Kunci Cloud KMS atau Key Ring Cloud KMS bersifat publik dan dapat diakses oleh siapa saja di internet. Untuk informasi selengkapnya, lihat Menggunakan IAM dengan Cloud KMS.

Untuk memperbaiki temuan ini, jika terkait dengan Kunci Kripto:

  1. Buka halaman Cryptographic Keys di Konsol Google Cloud.

    Kunci Kriptografi

  2. Di bagian Name, pilih key ring yang berisi kunci kriptografis yang terkait dengan temuan Security Health Analytics.

  3. Di halaman Detail key ring yang dimuat, pilih kotak centang di samping kunci kriptografis.

  4. Jika Panel INFO tidak ditampilkan, klik tombol TAMPILKAN Panel INFO.

  5. Gunakan kotak filter sebelum Role / Principal guna menelusuri akun utama untuk allUsers dan allAuthenticatedUsers, lalu klik Delete untuk menghapus akses akun utama ini.

Untuk memperbaiki temuan ini, jika terkait dengan Key Ring:

  1. Buka halaman Cryptographic Keys di Konsol Google Cloud.

    Kunci Kriptografi

  2. Cari baris dengan key ring di temuan, lalu pilih kotak centang.

  3. Jika Panel INFO tidak ditampilkan, klik tombol TAMPILKAN Panel INFO.

  4. Gunakan kotak filter sebelum Role / Principal guna menelusuri akun utama untuk allUsers dan allAuthenticatedUsers, lalu klik Delete untuk menghapus akses akun utama ini.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

KMS role separation

Nama kategori di API: KMS_ROLE_SEPARATION

Temuan ini tidak tersedia untuk aktivasi level project.

Satu atau beberapa akun utama memiliki beberapa izin Cloud KMS yang ditetapkan. Sebaiknya tidak ada akun yang secara bersamaan memiliki Admin Cloud KMS beserta izin Cloud KMS lainnya. Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka IAM

  2. Untuk setiap akun utama yang tercantum dalam temuan, lakukan hal berikut:

    1. Periksa apakah peran diwarisi dari folder atau resource organisasi dengan melihat kolom Pewarisan. Jika kolom berisi link ke resource induk, klik link untuk membuka halaman IAM resource induk.
    2. Klik Edit di samping akun utama.
    3. Untuk menghapus izin, klik Hapus di samping Admin Cloud KMS. Jika Anda ingin menghapus semua izin untuk akun utama, klik Delete di samping semua izin lainnya.
  3. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Legacy authorization enabled

Nama kategori di API: LEGACY_AUTHORIZATION_ENABLED

Otorisasi Lama diaktifkan di cluster GKE.

Di Kubernetes, role-based access control (RBAC) memungkinkan Anda menentukan peran dengan aturan yang berisi sekumpulan izin, serta memberikan izin di tingkat cluster dan namespace. Fitur ini memberikan keamanan yang lebih baik dengan memastikan bahwa pengguna hanya memiliki akses ke resource tertentu. Pertimbangkan untuk menonaktifkan kontrol akses berbasis atribut (ABAC) lama.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Pada menu drop-down Otorisasi Legacy, pilih Nonaktifkan.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Legacy metadata enabled

Nama kategori di API: LEGACY_METADATA_ENABLED

Metadata lama diaktifkan di cluster GKE.

Server metadata instance Compute Engine mengekspos endpoint /0.1/ dan /v1beta1/ lama, yang tidak menerapkan header kueri metadata. Ini adalah fitur dalam /v1/ API yang mempersulit calon penyerang untuk mengambil metadata instance. Kecuali jika diperlukan, sebaiknya Anda menonaktifkan /0.1/ dan /v1beta1/ API lama ini.

Untuk informasi selengkapnya, lihat Menonaktifkan dan bertransisi dari API metadata lama.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Anda hanya dapat menonaktifkan API metadata lama saat membuat cluster baru atau saat menambahkan kumpulan node baru ke cluster yang ada. Untuk mengupdate cluster yang ada dan menonaktifkan API metadata lama, lihat Memigrasikan workload ke berbagai jenis mesin.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Legacy network

Nama kategori di API: LEGACY_NETWORK

Ada jaringan lama di sebuah project.

Jaringan lama tidak direkomendasikan karena banyak fitur keamanan baru Google Cloud yang tidak didukung di jaringan lama. Sebagai gantinya, gunakan jaringan VPC. Untuk informasi selengkapnya, lihat Jaringan lama.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Google Cloud Console.

    Buka VPC networks

  2. Untuk membuat jaringan non-lama baru, klik Buat Jaringan.

  3. Kembali ke halaman VPC networks.

  4. Di daftar jaringan, klik legacy_network.

  5. Di halaman Detail jaringan VPC, klik Hapus Jaringan VPC.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Load balancer logging disabled

Nama kategori di API: LOAD_BALANCER_LOGGING_DISABLED

Logging dinonaktifkan untuk layanan backend di load balancer.

Dengan mengaktifkan logging untuk load balancer, Anda dapat melihat traffic jaringan HTTP(S) untuk aplikasi web Anda. Untuk mengetahui informasi selengkapnya, lihat Load balancer.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud Load Balancing di Konsol Google Cloud.

    Buka Cloud Load Balancing

  2. Klik nama load balancer Anda.

  3. Klik Edit .

  4. Klik Backend configuration.

  5. Di halaman Backend configuration, klik .

  6. Di bagian Logging, pilih Enable logging lalu pilih frekuensi sampel terbaik untuk project Anda.

  7. Untuk menyelesaikan pengeditan layanan backend, klik Update.

  8. Untuk menyelesaikan pengeditan load balancer, klik Update.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Locked retention policy not set

Nama kategori di API: LOCKED_RETENTION_POLICY_NOT_SET

Kebijakan retensi yang terkunci tidak ditetapkan untuk log.

Kebijakan retensi yang terkunci mencegah log ditimpa dan bucket log tidak dihapus. Untuk mengetahui informasi selengkapnya, lihat Kunci Bucket.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Storage Browser di Konsol Google Cloud.

    Buka Browser Penyimpanan

  2. Pilih bucket yang tercantum dalam temuan Security Health Analytics.

  3. Di halaman Bucket details, klik tab Retention.

  4. Jika kebijakan retensi belum ditetapkan, klik Tetapkan Kebijakan Retensi.

  5. Masukkan periode retensi data.

  6. Klik Save. Kebijakan retensi ditampilkan di tab Retensi.

  7. Klik Kunci untuk memastikan periode retensi data tidak dipersingkat atau dihapus.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Log not exported

Nama kategori di API: LOG_NOT_EXPORTED

Resource tidak memiliki sink log yang sesuai dan telah dikonfigurasi.

Cloud Logging membantu Anda menemukan akar masalah dalam sistem dan aplikasi dengan cepat. Namun, sebagian besar log hanya disimpan selama 30 hari secara default. Ekspor salinan semua entri log untuk memperpanjang periode penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan ekspor log.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Router Log di Konsol Google Cloud.

    Buka Router Log

  2. Klik Create Sink.

  3. Untuk memastikan semua log diekspor, kosongkan filter penyertaan dan pengecualian.

  4. Klik Create Sink.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Master authorized networks disabled

Nama kategori di API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Control Plane Authorized Networks tidak diaktifkan di cluster GKE.

Control Plane Authorized Networks meningkatkan keamanan untuk cluster container Anda dengan memblokir alamat IP yang ditentukan agar tidak mengakses bidang kontrol cluster Anda. Untuk informasi selengkapnya, lihat Menambahkan jaringan yang diizinkan untuk akses bidang kontrol.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pilih cluster yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Di menu drop-down Control Plane Authorized Networks, pilih Enabled.

  5. Klik Add authorized network.

  6. Tentukan jaringan yang diizinkan yang ingin Anda gunakan.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

MFA not enforced

Nama kategori di API: MFA_NOT_ENFORCED

Temuan ini tidak tersedia untuk aktivasi level project.

Autentikasi multi-faktor, khususnya Verifikasi 2 Langkah (2SV), dinonaktifkan bagi beberapa pengguna di organisasi Anda.

Autentikasi multi-faktor digunakan untuk melindungi akun dari akses yang tidak sah dan merupakan alat terpenting untuk melindungi organisasi Anda dari kredensial login yang disusupi. Untuk mengetahui informasi selengkapnya, lihat Melindungi bisnis Anda dengan Verifikasi 2 Langkah.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman konsol Admin di Konsol Google Cloud.

    Buka konsol Admin

  2. Terapkan Verifikasi 2 Langkah untuk semua unit organisasi.

Sembunyikan temuan jenis ini

Untuk menyembunyikan temuan jenis ini, tentukan aturan mute yang otomatis menonaktifkan temuan jenis ini di masa mendatang. Untuk mengetahui informasi selengkapnya, lihat Menonaktifkan temuan di Security Command Center.

Meskipun bukan cara yang direkomendasikan untuk menyembunyikan temuan, Anda juga dapat menambahkan tanda keamanan khusus ke aset agar detektor Security Health Analytics tidak membuat temuan keamanan untuk aset tersebut.

  • Untuk mencegah temuan ini diaktifkan lagi, tambahkan tanda keamanan allow_mfa_not_enforced dengan nilai true ke aset.
  • Untuk mengabaikan potensi pelanggaran bagi unit organisasi tertentu, tambahkan tanda keamanan excluded_orgunits ke aset dengan daftar jalur unit organisasi yang dipisahkan koma di kolom value. Contohnya, excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Network not monitored

Nama kategori di API: NETWORK_NOT_MONITORED

Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

Untuk mendeteksi perubahan yang tidak benar atau tidak sah pada pengaturan jaringan Anda, pantau perubahan jaringan VPC. Untuk informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      resource.type="gce_network"
      AND (protoPayload.methodName:"compute.networks.insert"
      OR protoPayload.methodName:"compute.networks.patch"
      OR protoPayload.methodName:"compute.networks.delete"
      OR protoPayload.methodName:"compute.networks.removePeering"
      OR protoPayload.methodName:"compute.networks.addPeering")

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Network policy disabled

Nama kategori di API: NETWORK_POLICY_DISABLED

Kebijakan jaringan dinonaktifkan di cluster GKE.

Secara default, komunikasi pod to pod terbuka. Komunikasi terbuka memungkinkan pod terhubung langsung di seluruh node, dengan atau tanpa penafsiran alamat jaringan. Resource NetworkPolicy mirip dengan firewall level pod yang membatasi koneksi antar-pod, kecuali jika resource NetworkPolicy secara eksplisit mengizinkan koneksi. Pelajari cara menentukan kebijakan jaringan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik nama cluster yang tercantum dalam temuan Security Health Analytics.

  3. Di bagian Networking, di baris untuk Calico Kubernetes Network policy, klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Dalam dialog yang muncul, pilih Enable Calico Kubernetes network policy for control fields dan Enable Calico Kubernetes network policy for nodes.

  5. Klik Simpan Perubahan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Nodepool boot CMEK disabled

Nama kategori di API: NODEPOOL_BOOT_CMEK_DISABLED

Boot disk di kumpulan node ini tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan pengguna mengonfigurasi kunci enkripsi default untuk disk booting di kumpulan node.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Pada daftar cluster, klik nama cluster dalam hasil temuan.

  3. Klik tab Nodes.

  4. Untuk setiap kumpulan node default-pool, klik Delete .

  5. Saat diminta untuk mengonfirmasi, klik Hapus.

  6. Untuk membuat kumpulan node baru menggunakan CMEK, lihat Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK menimbulkan biaya tambahan terkait Cloud KMS.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Nodepool secure boot disabled

Nama kategori di API: NODEPOOL_SECURE_BOOT_DISABLED

Booting aman dinonaktifkan untuk cluster GKE.

Aktifkan Booting Aman untuk Node GKE yang Terlindungi untuk memverifikasi tanda tangan digital komponen booting node. Untuk informasi selengkapnya, lihat Booting Aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Setelah disediakan, kumpulan Node tidak dapat diupdate untuk mengaktifkan Booting Aman. Anda harus membuat kumpulan Node baru dengan mengaktifkan Booting Aman.

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik nama cluster dalam temuan.

  3. Klik Add Node Pool.

  4. Di menu Node pool, lakukan hal berikut:

    1. Klik nama kumpulan Node baru untuk meluaskan tab.
    2. Pilih Security, lalu, di bagian Shielded options, pilih Enable secure boot.
    3. Klik Create.
    4. Untuk memigrasikan workload Anda dari node pool yang tidak sesuai ke kumpulan node yang baru, lihat Memigrasikan workload ke jenis mesin yang berbeda.
    5. Setelah beban kerja Anda dipindahkan, hapus kumpulan node asli yang tidak sesuai.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Non org IAM member

Nama kategori di API: NON_ORG_IAM_MEMBER

Pengguna di luar organisasi atau project Anda memiliki izin IAM pada sebuah project atau organisasi. Pelajari izin IAM lebih lanjut.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka IAM

  2. Pilih kotak centang di samping pengguna di luar organisasi atau project Anda.

  3. Klik Hapus.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Object versioning disabled

Nama kategori di API: OBJECT_VERSIONING_DISABLED

Pembuatan versi objek tidak diaktifkan di bucket penyimpanan tempat sink dikonfigurasi.

Untuk mendukung pengambilan objek yang dihapus atau ditimpa, Cloud Storage menawarkan fitur Pembuatan Versi Objek. Aktifkan Pembuatan Versi Objek untuk melindungi data Cloud Storage Anda agar tidak ditimpa atau dihapus secara tidak sengaja. Pelajari cara Mengaktifkan Pembuatan Versi Objek.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, gunakan perintah gsutil versioning set on dengan nilai yang sesuai:

    gsutil versioning set on gs://finding.assetDisplayName

Ganti finding.assetDisplayName dengan nama bucket yang relevan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open Cassandra port

Nama kategori di API: OPEN_CASSANDRA_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Cassandra dapat mengekspos layanan Cassandra Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Cassandra adalah:

  • TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open ciscosecure websm port

Nama kategori di API: OPEN_CISCOSECURE_WEBSM_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port CiscoSecure/WebSM dapat mengekspos layanan CiscoSecure/WebSM Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan CiscoSecure/WebSM adalah:

  • TCP - 9090

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open directory services port

Nama kategori di API: OPEN_DIRECTORY_SERVICES_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Direktori dapat mengekspos layanan Direktori Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Direktori adalah:

  • TCP - 445
  • UDP - 445

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open DNS port

Nama kategori di API: OPEN_DNS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port DNS dapat mengekspos layanan DNS Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan DNS adalah:

  • TCP - 53
  • UDP - 53

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open Elasticsearch port

Nama kategori di API: OPEN_ELASTICSEARCH_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Elasticsearch dapat mengekspos layanan Elasticsearch Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Elasticsearch adalah:

  • TCP - 9200, 9300

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open firewall

Nama kategori di API: OPEN_FIREWALL

Aturan firewall yang mengizinkan koneksi dari semua alamat IP, seperti 0.0.0.0/0, atau dari semua port, dapat mengekspos resource ke serangan dari sumber yang tidak diinginkan. Aturan ini harus dihapus atau dicakup secara eksplisit ke port atau rentang IP sumber yang dimaksud. Misalnya, dalam aplikasi yang ditujukan untuk publik, pertimbangkan untuk membatasi port yang diizinkan pada port yang diperlukan untuk aplikasi, seperti 80 dan 443. Jika aplikasi Anda perlu mengizinkan koneksi dari semua alamat IP atau port, pertimbangkan untuk menambahkan aset ke daftar yang diizinkan. Pelajari lebih lanjut cara Memperbarui aturan firewall.

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall rules di Konsol Google Cloud.

    Buka Aturan firewall

  2. Klik aturan firewall yang tercantum dalam temuan Security Health Analytics, lalu klik Edit.

  3. Di bagian Source IP ranges, edit nilai IP untuk membatasi rentang IP yang diizinkan.

  4. Di bagian Protocols and ports, pilih Specified protocols and ports, pilih protokol yang diizinkan, dan masukkan port yang diizinkan.

  5. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open FTP port

Nama kategori di API: OPEN_FTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port FTP dapat mengekspos layanan FTP Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Porta layanan FTP adalah:

  • TCP - 21

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open group IAM member

Nama kategori di API: OPEN_GROUP_IAM_MEMBER

Satu atau beberapa akun utama yang memiliki akses ke organisasi, project, atau folder adalah akun Google Grup yang dapat digabungkan tanpa persetujuan.

Pelanggan Google Cloud dapat menggunakan Google Grup untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke koleksi pengguna. Administrator dapat memberikan peran dan izin ke Google Grup, lalu menambahkan anggota ke grup tertentu, bukan memberikan peran secara langsung kepada anggota. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.

Jika akun Google Grup terbuka digunakan sebagai akun utama dalam binding IAM, siapa pun dapat mewarisi peran terkait hanya dengan bergabung ke grup secara langsung atau tidak langsung (melalui subgrup). Sebaiknya mencabut peran grup terbuka atau membatasi akses ke grup tersebut.

Untuk memperbaiki temuan ini, lakukan salah satu prosedur berikut.

Menghapus grup dari kebijakan IAM

  1. Buka halaman IAM di Konsol Google Cloud.

    Menggunakan IAM

  2. Jika perlu, pilih project, folder, atau organisasi dalam temuan.

  3. Cabut peran setiap grup terbuka yang diidentifikasi dalam temuan.

Membatasi akses ke grup terbuka

  1. Login ke Google Grup.
  2. Perbarui setelan setiap grup terbuka, dan subgrupnya, untuk menentukan siapa yang dapat bergabung ke grup dan siapa yang harus menyetujuinya.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open HTTP port

Nama kategori di API: OPEN_HTTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port HTTP dapat mengekspos layanan HTTP Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan HTTP adalah:

  • TCP - 80

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open LDAP port

Nama kategori di API: OPEN_LDAP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port LDAP dapat mengekspos layanan LDAP Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan LDAP adalah:

  • TCP - 389, 636
  • UDP - 389

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open Memcached port

Nama kategori di API: OPEN_MEMCACHED_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Memcached dapat mengekspos layanan Memcached Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Memcached adalah:

  • TCP - 11211, 11214, 11215
  • UDP - 11211, 11214, 11215

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open MongoDB port

Nama kategori di API: OPEN_MONGODB_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port MongoDB dapat mengekspos layanan MongoDB Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan MongoDB adalah:

  • TCP - 27017, 27018, 27019

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open MySQL port

Nama kategori di API: OPEN_MYSQL_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port MySQL dapat mengekspos layanan MySQL Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan MySQL adalah:

  • TCP - 3306

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open NetBIOS port

Nama kategori di API: `OPEN_NETBIOS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port NetBIOS dapat mengekspos layanan NetBIOS Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan NetBIOS adalah:

  • TCP - 137, 138, 139
  • UDP - 137, 138, 139

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open OracleDB port

Nama kategori di API: OPEN_ORACLEDB_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port OracleDB dapat mengekspos layanan OracleDB Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan OracleDB adalah:

  • TCP - 1521, 2483, 2484
  • UDP - 2483, 2484

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open POP3 port

Nama kategori di API: OPEN_POP3_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port POP3 dapat mengekspos layanan POP3 Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan POP3 adalah:

  • TCP - 110

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open PostgreSQL port

Nama kategori di API: OPEN_POSTGRESQL_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port PostgreSQL dapat mengekspos layanan PostgreSQL Anda kepada penyerang. Untuk mengetahui informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan PostgreSQL adalah:

  • TCP - 5432
  • UDP - 5432

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open RDP port

Nama kategori di API: OPEN_RDP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port RDP dapat mengekspos layanan RDP Anda ke penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan RDP adalah:

  • TCP - 3389
  • UDP - 3389

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open Redis port

Nama kategori di API: OPEN_REDIS_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Redis dapat mengekspos layanan Redis Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Redis adalah:

  • TCP - 6379

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open SMTP port

Nama kategori di API: OPEN_SMTP_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port SMTP mungkin mengekspos layanan SMTP Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan SMTP adalah:

  • TCP - 25

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open SSH port

Nama kategori di API: OPEN_SSH_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port SSH dapat mengekspos layanan SSH Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan SSH adalah:

  • SCTP - 22
  • TCP - 22

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Open Telnet port

Nama kategori di API: OPEN_TELNET_PORT

Aturan firewall yang mengizinkan alamat IP apa pun untuk terhubung ke port Telnet dapat mengekspos layanan Telnet Anda kepada penyerang. Untuk informasi selengkapnya, lihat Ringkasan aturan firewall VPC.

Port layanan Telnet adalah:

  • TCP - 23

Temuan ini dibuat untuk aturan firewall yang rentan, meskipun jika Anda sengaja menonaktifkan aturan tersebut. Temuan aktif untuk aturan firewall yang dinonaktifkan akan memberi tahu Anda tentang konfigurasi yang tidak aman, yang akan mengizinkan traffic yang tidak diinginkan jika diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Firewall di Konsol Google Cloud.

    Buka Firewall

  2. Pada daftar aturan firewall, klik nama aturan firewall dalam temuan.

  3. Klik Edit.

  4. Di bagian Source IP ranges, hapus 0.0.0.0/0.

  5. Tambahkan alamat IP atau rentang IP spesifik yang ingin Anda hubungkan ke instance.

  6. Tambahkan protokol dan port tertentu yang ingin Anda buka di instance Anda.

  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Org policy Confidential VM policy

Nama kategori di API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Resource Compute Engine tidak mematuhi kebijakan organisasi constraints/compute.restrictNonConfidentialComputing. Untuk informasi selengkapnya tentang batasan kebijakan organisasi ini, lihat Menerapkan batasan kebijakan organisasi.

Organisasi Anda mewajibkan VM ini untuk mengaktifkan layanan Confidential VM. VM yang tidak mengaktifkan layanan ini tidak akan menggunakan enkripsi memori runtime, sehingga mengeksposnya ke serangan memori runtime.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pada daftar instance, klik nama instance dalam temuan tersebut.

  3. Jika VM tidak memerlukan layanan Confidential VM, pindahkan ke folder atau project baru.

  4. Jika VM memerlukan Confidential VM, klik Delete.

  5. Untuk membuat instance baru dengan Confidential VM yang diaktifkan, lihat Panduan Memulai: Membuat instance Confidential VM.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Org policy location restriction

Nama kategori di API: ORG_POLICY_LOCATION_RESTRICTION

Batasan Kebijakan Organisasi gcp.resourceLocations memungkinkan Anda membatasi pembuatan resource baru untuk Region Cloud yang Anda pilih. Untuk informasi selengkapnya, lihat Membatasi lokasi resource.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Detektor ORG_POLICY_LOCATION_RESTRICTION mencakup banyak jenis resource dan petunjuk perbaikan akan berbeda untuk setiap resource. Pendekatan umum untuk memperbaiki pelanggaran lokasi mencakup hal berikut:

  1. Menyalin, memindahkan, atau mencadangkan resource di luar region atau datanya ke resource yang berada di dalam region. Baca dokumentasi setiap layanan untuk mendapatkan petunjuk cara memindahkan resource.
  2. Hapus resource di luar region asli atau datanya.

Pendekatan ini tidak dapat dilakukan untuk semua jenis resource. Untuk panduan, lihat rekomendasi yang disesuaikan yang disediakan dalam temuan.

Pertimbangan lainnya

Saat memperbaiki temuan ini, pertimbangkan hal berikut.

Resource terkelola

Siklus proses resource terkadang dikelola dan dikontrol oleh resource lain. Misalnya, grup instance Compute Engine terkelola akan membuat dan menghancurkan instance Compute Engine sesuai dengan kebijakan penskalaan otomatis grup instance. Jika resource terkelola dan pengelolaan berada dalam cakupan penerapan lokasi, keduanya mungkin ditandai sebagai melanggar Kebijakan Organisasi. Perbaikan temuan untuk resource terkelola harus dilakukan pada mengelola resource guna memastikan stabilitas operasional.

Resource yang sedang digunakan

Resource tertentu digunakan oleh resource lain. Misalnya, disk Compute Engine yang terpasang ke instance Compute Engine yang sedang berjalan dianggap sedang digunakan oleh instance. Jika resource yang digunakan melanggar Kebijakan Organisasi lokasi, Anda perlu memastikan bahwa resource tersebut tidak digunakan sebelum mengatasi pelanggaran lokasi.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

OS login disabled

Nama kategori di API: OS_LOGIN_DISABLED

Login OS dinonaktifkan pada instance Compute Engine ini.

Login OS mengaktifkan pengelolaan kunci SSH terpusat dengan IAM dan menonaktifkan konfigurasi kunci SSH berbasis metadata pada semua instance dalam sebuah project. Pelajari cara menyiapkan dan mengonfigurasi Login OS.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Metadata di Konsol Google Cloud.

    Buka Metadata

  2. Klik Edit, lalu klik Tambahkan item.

  3. Tambahkan item dengan kunci enable-oslogin dan nilai TRUE.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Over privileged account

Nama kategori di API: OVER_PRIVILEGED_ACCOUNT

Node GKE menggunakan node layanan default Compute Engine, yang memiliki akses luas secara default dan mungkin memiliki hak istimewa berlebih untuk menjalankan cluster GKE Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Ikuti petunjuk untuk Menggunakan akun layanan Google dengan hak istimewa terendah.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Over privileged scopes

Nama kategori di API: OVER_PRIVILEGED_SCOPES

Akun layanan node memiliki cakupan akses yang luas.

Cakupan akses adalah metode lama untuk menetapkan izin bagi instance Anda. Untuk mengurangi kemungkinan eskalasi akses dalam serangan, buat dan gunakan akun layanan dengan hak istimewa minimal untuk menjalankan cluster GKE Anda.

Untuk memperbaiki temuan ini, ikuti petunjuk untuk Menggunakan akun layanan Google dengan hak istimewa terendah.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Over privileged service account user

Nama kategori di API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Pengguna memiliki peran iam.serviceAccountUser atau iam.serviceAccountTokenCreator di tingkat project, folder, atau organisasi, bukan untuk akun layanan tertentu.

Dengan memberikan peran tersebut kepada pengguna untuk sebuah project, folder, atau organisasi, pengguna akan memiliki akses ke semua akun layanan yang ada dan yang akan datang pada cakupan tersebut. Situasi ini dapat mengakibatkan eskalasi hak istimewa yang tidak diinginkan. Untuk mengetahui informasi selengkapnya, lihat Izin akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Halaman Go IAM

  2. Jika perlu, pilih project, folder, atau organisasi dalam temuan.

  3. Untuk setiap akun utama yang ditetapkan roles/iam.serviceAccountUser atau roles/iam.serviceAccountTokenCreator, lakukan hal berikut:

    1. Klik Edit.
    2. Di panel Edit izin, di samping peran, klik Hapus.
    3. Klik Save.
  4. Ikuti panduan ini untuk memberikan izin kepada setiap pengguna untuk meniru identitas satu akun layanan. Anda harus mengikuti panduan untuk setiap akun layanan yang ingin Anda izinkan untuk ditiru identitas pengguna yang dipilih.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Owner not monitored

Nama kategori di API: OWNER_NOT_MONITORED

Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau penetapan atau perubahan Kepemilikan Project.

Peran Owner IAM memiliki tingkat hak istimewa tertinggi pada sebuah project. Untuk mengamankan resource Anda, siapkan pemberitahuan yang akan dikirimkan saat pemilik baru ditambahkan atau dihapus. Untuk informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
      AND (ProjectOwnership OR projectOwnerInvitee)
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Pod security policy disabled

Nama kategori di API: POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy dinonaktifkan di cluster GKE.

PodSecurityPolicy adalah resource pengontrol penerimaan yang memvalidasi permintaan untuk membuat dan mengupdate pod di cluster. Cluster tidak akan menerima pod yang tidak memenuhi kondisi yang ditentukan dalam PodSecurityPolicy.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, tentukan dan beri otorisasi PodSecurityPolicies, serta aktifkan pengontrol PodSecurityPolicy. Untuk mengetahui petunjuknya, lihat Menggunakan PodSecurityPolicies.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Primitive roles used

Nama kategori di API: PRIMITIVE_ROLES_USED

Pengguna memiliki salah satu peran dasar IAM berikut: roles/owner, roles/editor, atau roles/viewer. Peran ini terlalu permisif dan tidak boleh digunakan. Sebaliknya, fungsi tersebut harus ditetapkan hanya per project.

Untuk informasi selengkapnya, lihat Memahami peran.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman kebijakan IAM di Konsol Google Cloud.

    Buka kebijakan IAM

  2. Untuk setiap pengguna yang diberi peran dasar, pertimbangkan untuk menggunakan peran yang lebih terperinci.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Private cluster disabled

Nama kategori di API: PRIVATE_CLUSTER_DISABLED

Cluster pribadi dinonaktifkan di cluster GKE.

Cluster pribadi mengizinkan node untuk hanya memiliki alamat IP pribadi. Fitur ini membatasi akses internet keluar untuk node. Jika node cluster tidak memiliki alamat IP publik, node cluster tidak dapat ditemukan atau diekspos ke internet publik. Anda masih dapat merutekan traffic ke sebuah node dengan menggunakan load balancer internal. Untuk mengetahui informasi selengkapnya, lihat Cluster pribadi.

Anda tidak dapat menjadikan cluster yang sudah ada bersifat pribadi. Untuk memperbaiki temuan ini, buat cluster pribadi baru:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik Buat Cluster.

  3. Di menu navigasi, pada bagian Cluster, pilih Networking.

  4. Pilih tombol pilihan untuk Cluster pribadi.

  5. Di bagian Advanced networking options, centang kotak Enable VPC-native traffic routing (menggunakan IP alias).

  6. Klik Create.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Private Google access disabled

Nama kategori di API: PRIVATE_GOOGLE_ACCESS_DISABLED

Ada subnet pribadi yang tidak memiliki akses ke API publik Google.

Akses Google Pribadi memungkinkan instance VM dengan hanya alamat IP internal (pribadi) untuk menjangkau alamat IP publik Google API dan layanan Google.

Untuk informasi selengkapnya, lihat Mengonfigurasi Akses Pribadi Google.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VPC networks di Google Cloud Console.

    Buka VPC networks

  2. Di daftar jaringan, klik nama jaringan yang diinginkan.

  3. Di halaman VPC network details, klik tab Subnets.

  4. Pada daftar subnet, klik nama subnet yang terkait dengan cluster Kubernetes dalam temuan tersebut.

  5. Di halaman Subnet details, klik Edit .

  6. Di bagian Akses Google Pribadi, pilih Aktif.

  7. Klik Save.

  8. Untuk menghapus IP publik (eksternal) dari instance VM yang satu-satunya traffic eksternal ke Google API, lihat Membatalkan penetapan alamat IP eksternal statis.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public bucket ACL

Nama kategori di API: PUBLIC_BUCKET_ACL

Bucket bersifat publik dan siapa saja di internet dapat mengaksesnya.

Untuk informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Storage Browser di Konsol Google Cloud.

    Buka Browser Penyimpanan

  2. Pilih bucket yang tercantum dalam temuan Security Health Analytics.

  3. Di halaman Bucket details, klik tab Permissions.

  4. Di samping Lihat menurut, klik Peran.

  5. Di kotak Filter, telusuri allUsers dan allAuthenticatedUsers.

  6. Klik Delete untuk menghapus semua izin IAM yang diberikan ke allUsers dan allAuthenticatedUsers.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public Compute image

Nama kategori di API: PUBLIC_COMPUTE_IMAGE

Image Compute Engine bersifat publik dan siapa saja di internet dapat mengaksesnya. allUsers mewakili siapa saja di internet dan allAuthenticatedUsers mewakili siapa saja yang diautentikasi dengan Akun Google. Keduanya juga tidak dibatasi hanya untuk pengguna dalam organisasi Anda.

Image Compute Engine mungkin berisi informasi sensitif seperti kunci enkripsi atau software berlisensi. Informasi sensitif tersebut tidak boleh diakses secara publik. Jika Anda ingin menjadikan image Compute Engine ini publik, pastikan gambar tersebut tidak berisi informasi sensitif.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman image Compute Engine di Konsol Google Cloud.

    Buka image Compute Engine

  2. Pilih kotak di samping gambar public-image, kemudian klik Show Info Panel.

  3. Di kotak Filter, telusuri akun utama untuk allUsers dan allAuthenticatedUsers.

  4. Luaskan peran yang ingin Anda hapus penggunanya.

  5. Klik Delete untuk menghapus pengguna dari peran tersebut.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public dataset

Nama kategori di API: PUBLIC_DATASET

{i>Dataset<i} BigQuery bersifat publik dan dapat diakses oleh siapa saja di internet. Akun utama IAM allUsers mewakili siapa saja di internet dan allAuthenticatedUsers mewakili siapa saja yang login ke layanan Google. Keduanya tidak dibatasi hanya pada pengguna dalam organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke set data.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Explorer BigQuery di Konsol Google Cloud.

    Buka Set Data BigQuery

  2. Pada daftar set data, klik nama set data yang diidentifikasi dalam temuan. Panel Dataset info akan terbuka.

  3. Di dekat bagian atas panel Info set data, klik BERBAGI.

  4. Di menu drop-down, klik Izin.

  5. Di panel Dataset Permissions, masukkan allUsers dan allAuthenticatedUsers, lalu hapus akses untuk akun utama ini.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public IP address

Nama kategori di API: PUBLIC_IP_ADDRESS

Instance Compute Engine memiliki alamat IP publik.

Untuk mengurangi permukaan serangan organisasi Anda, hindari menetapkan alamat IP publik ke VM Anda. Instance yang dihentikan mungkin masih ditandai dengan temuan IP Publik, misalnya, jika antarmuka jaringan dikonfigurasi untuk menetapkan IP publik efemeral saat memulai. Pastikan konfigurasi jaringan untuk instance yang dihentikan tidak menyertakan akses eksternal.

Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke instance VM dengan aman.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Dalam daftar instance, centang kotak di samping nama instance dalam temuan.

  3. Klik Edit.

  4. Untuk setiap antarmuka di bagian Network interfaces, klik Edit, lalu setel External IP ke None.

  5. Klik Done, lalu klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public log bucket

Nama kategori di API: PUBLIC_LOG_BUCKET

Temuan ini tidak tersedia untuk aktivasi level project.

Bucket penyimpanan bersifat publik dan digunakan sebagai sink log. Artinya, siapa pun di internet dapat mengakses log yang disimpan di bucket ini. allUsers mewakili siapa saja di internet, dan allAuthenticatedUsers mewakili siapa saja yang login ke layanan Google. Keduanya tidak dibatasi hanya pada pengguna dalam organisasi Anda.

Untuk informasi selengkapnya, lihat Ringkasan kontrol akses.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman browser Cloud Storage di Konsol Google Cloud.

    Buka browser Cloud Storage

  2. Pada daftar bucket, klik nama bucket yang ditunjukkan dalam temuan.

  3. Klik tab Izin.

  4. Hapus allUsers dan allAuthenticatedUsers dari daftar akun utama.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public SQL instance

Nama kategori di API: PUBLIC_SQL_INSTANCE

Instance SQL Anda memiliki 0.0.0.0/0 sebagai jaringan yang diizinkan. Hal ini berarti bahwa setiap klien IPv4 dapat melewati firewall jaringan dan melakukan upaya login ke instance Anda, termasuk klien yang mungkin tidak sengaja Anda izinkan. Klien masih memerlukan kredensial yang valid agar berhasil login ke instance Anda.

Untuk informasi selengkapnya, lihat Memberi otorisasi dengan jaringan yang diotorisasi.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di panel navigasi, klik Koneksi.

  5. Di bagian Jaringan yang diizinkan, hapus 0.0.0.0/0 dan tambahkan alamat IP atau rentang IP tertentu yang ingin Anda hubungkan ke instance.

  6. Klik Done, lalu klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Pubsub CMEK disabled

Nama kategori di API: PUBSUB_CMEK_DISABLED

Topik Pub/Sub tidak dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS menggabungkan kunci yang digunakan Google untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda.

Untuk memperbaiki temuan ini, hapus topik yang ada dan buat yang baru:

  1. Buka halaman Topics Pub/Sub di Konsol Google Cloud.

    Buka Topik

  2. Jika perlu, pilih project yang berisi topik Pub/Sub.

  3. Pilih kotak centang di samping topik yang tercantum dalam temuan, lalu klik Hapus.

  4. Untuk membuat topik Pub/Sub baru dengan CMEK diaktifkan, lihat Menggunakan kunci enkripsi yang dikelola pelanggan. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

  5. Publikasikan temuan atau data lainnya ke topik Pub/Sub yang mendukung CMEK.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Route not monitored

Nama kategori di API: ROUTE_NOT_MONITORED

Metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

Rute Google Cloud adalah tujuan dan hop yang menentukan jalur yang diambil traffic jaringan dari instance VM ke IP tujuan. Dengan memantau perubahan pada tabel rute, Anda dapat membantu memastikan bahwa semua traffic VPC mengalir melalui jalur yang diharapkan.

Untuk informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      resource.type="gce_route"
      AND (protoPayload.methodName:"compute.routes.delete"
      OR protoPayload.methodName:"compute.routes.insert")

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Redis role used on org

Nama kategori di API: REDIS_ROLE_USED_ON_ORG

Temuan ini tidak tersedia untuk aktivasi level project.

Peran Redis IAM ditetapkan di level organisasi atau folder.

Peran Redis IAM berikut harus ditetapkan hanya per project, bukan pada level organisasi atau folder:

  • roles/redis.admin
  • roles/redis.viewer
  • roles/redis.editor

Untuk mengetahui informasi selengkapnya, lihat Kontrol akses dan izin.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman kebijakan IAM di Konsol Google Cloud.

    Buka kebijakan IAM

  2. Hapus peran Redis IAM yang ditunjukkan dalam temuan dan tambahkan pada masing-masing project.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Release channel disabled

Nama kategori di API: RELEASE_CHANNEL_DISABLED

Cluster GKE tidak berlangganan saluran rilis.

Berlanggananlah ke saluran rilis untuk mengotomatiskan upgrade versi ke cluster GKE. Fitur ini juga mengurangi kerumitan pengelolaan versi untuk jumlah fitur dan tingkat stabilitas yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Saluran rilis.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Di bagian Cluster Basics, klik ikon edit () di baris Release channel.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  3. Dalam dialog yang muncul, pilih Saluran rilis, lalu pilih saluran rilis yang ingin Anda subscribe.

    Jika versi bidang kontrol cluster Anda tidak dapat diupgrade ke saluran rilis, saluran tersebut mungkin dinonaktifkan sebagai opsi.

  4. Klik Simpan Perubahan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

RSASHA1 for signing

Nama kategori di API: RSASHA1_FOR_SIGNING

RSASHA1 digunakan untuk penandatanganan kunci di zona Cloud DNS. Algoritma yang digunakan untuk penandatanganan kunci tidak boleh lemah.

Untuk memperbaiki temuan ini, ganti algoritma dengan yang direkomendasikan dengan mengikuti panduan Menggunakan opsi penandatanganan lanjutan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Service account key not rotated

Nama kategori di API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Temuan ini tidak tersedia untuk aktivasi level project.

Kunci akun layanan yang dikelola pengguna belum dirotasi selama lebih dari 90 hari.

Secara umum, kunci akun layanan yang dikelola pengguna harus dirotasi minimal setiap 90 hari untuk memastikan data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, disusupi, atau dicuri. Untuk mengetahui informasi selengkapnya, lihat Merotasi kunci akun layanan untuk mengurangi risiko keamanan yang disebabkan oleh kebocoran kunci.

Jika Anda membuat pasangan kunci publik/pribadi sendiri, menyimpan kunci pribadi dalam modul keamanan hardware (HSM), dan mengupload kunci publik ke Google, Anda mungkin tidak perlu merotasi kunci setiap 90 hari. Sebaliknya, Anda bisa merotasi kunci jika Anda yakin bahwa kunci itu mungkin telah disusupi.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Akun Layanan di konsol Google Cloud.

    Buka Akun Layanan

  2. Jika perlu, pilih proyek yang ditunjukkan dalam temuan.

  3. Dalam daftar akun layanan, temukan akun layanan yang tercantum dalam temuan, lalu klik Delete. Sebelum melanjutkan, pertimbangkan dampak penghapusan akun layanan terhadap resource produksi Anda.

  4. Buat kunci akun layanan baru untuk mengganti yang lama. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci akun layanan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Service account role separation

Nama kategori di API: SERVICE_ACCOUNT_ROLE_SEPARATION

Temuan ini tidak tersedia untuk aktivasi level project.

Satu atau beberapa akun utama di organisasi Anda memiliki beberapa izin akun layanan yang ditetapkan. Tidak ada akun yang harus memiliki Admin Akun Layanan secara bersamaan dengan izin akun layanan lainnya. Untuk mempelajari akun layanan dan peran yang tersedia bagi akun tersebut, lihat Akun layanan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka IAM

  2. Untuk setiap akun utama yang tercantum dalam temuan, lakukan hal berikut:

    1. Periksa apakah peran diwarisi dari folder atau resource organisasi dengan melihat kolom Pewarisan. Jika kolom berisi link ke resource induk, klik link untuk membuka halaman IAM resource induk.
    2. Klik Edit di samping akun utama.
    3. Untuk menghapus izin, klik Delete di samping Service Account Admin. Jika Anda ingin menghapus semua izin akun layanan, klik Delete di samping semua izin lainnya.
  3. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Shielded VM disabled

Nama kategori di API: SHIELDED_VM_DISABLED

Shielded VM dinonaktifkan di instance Compute Engine ini.

Shielded VM adalah virtual machine (VM) di Google Cloud yang telah melalui proses hardening oleh serangkaian kontrol keamanan yang membantu memberikan pertahanan dari rootkit dan bootkit. Shielded VM membantu memastikan bahwa boot loader dan firmware ditandatangani dan diverifikasi. Pelajari Shielded VM lebih lanjut.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman VM Instances di Konsol Google Cloud.

    Buka instance VM

  2. Pilih instance yang terkait dengan temuan Security Health Analytics.

  3. Pada halaman Instance details yang dimuat, klik Stop.

  4. Setelah instance berhenti, klik Edit.

  5. Di bagian Shielded VM, aktifkan Aktifkan vTPM, lalu Aktifkan Pemantauan Integritas untuk mengaktifkan Shielded VM.

  6. Secara opsional, jika Anda tidak menggunakan driver khusus atau yang tidak ditandatangani, aktifkan juga Booting Aman.

  7. Klik Save. Konfigurasi baru akan muncul di halaman Instance details.

  8. Klik Start untuk memulai instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL CMEK disabled

Nama kategori di API: SQL_CMEK_DISABLED

Instance database SQL tidak menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK).

Dengan CMEK, kunci yang Anda buat dan kelola di Cloud KMS menggabungkan kunci yang digunakan Google untuk mengenkripsi data Anda, sehingga Anda memiliki kontrol lebih besar atas akses ke data Anda. Untuk mengetahui informasi selengkapnya, lihat ringkasan CMEK untuk produk Anda: Cloud SQL untuk MySQL, Cloud SQL untuk PostgreSQL, atau Cloud SQL untuk SQL Server. CMEK menimbulkan biaya tambahan terkait Cloud KMS.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Delete.

  4. Untuk membuat instance baru dengan CMEK aktif, ikuti petunjuk untuk mengonfigurasi CMEK untuk produk Anda:

    1. Cloud SQL untuk MySQL
    2. Cloud SQL untuk PostgreSQL
    3. Cloud SQL untuk SQL Server

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL contained database authentication

Nama kategori di API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Instance database Cloud SQL untuk SQL Server tidak memiliki tanda database autentikasi database termuat yang disetel ke Nonaktif.

Flag autentikasi database lengkap mengontrol apakah Anda dapat membuat atau melampirkan database yang terdapat di dalam database ke Database Engine. Database yang ada di dalamnya mencakup semua setelan database dan metadata yang diperlukan untuk menentukan database dan tidak memiliki dependensi konfigurasi pada instance Database Engine tempat database diinstal.

Tidak direkomendasikan untuk mengaktifkan tanda ini karena hal berikut:

  • Pengguna dapat terhubung ke database tanpa autentikasi di level Database Engine.
  • Mengisolasi database dari Database Engine memungkinkan pemindahan database ke instance SQL Server lainnya.

Database yang tersimpan menghadapi ancaman unik yang harus dipahami dan dimitigasi oleh administrator SQL Server Database Engine. Sebagian besar ancaman dihasilkan dari proses autentikasi USER WITH PASSWORD, yang memindahkan batas autentikasi dari tingkat Database Engine ke tingkat database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database contained database authentication dengan nilai Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL cross DB ownership chaining

Nama kategori di API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Instance database Cloud SQL untuk SQL Server tidak memiliki tanda database rantai kepemilikan db lintas yang disetel ke Off.

Flag rantai kepemilikan lintas db memungkinkan Anda mengontrol rantai kepemilikan lintas database di level database atau mengizinkan rantai kepemilikan lintas database untuk semua pernyataan database.

Mengaktifkan flag ini tidak direkomendasikan kecuali jika semua database yang dihosting oleh instance SQL Server berpartisipasi dalam perantaian kepemilikan lintas-database dan Anda mengetahui implikasi keamanan dari setelan ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan tanda database rantai kepemilikan lintas db dengan nilai Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL external scripts enabled

Nama kategori di API: SQL_EXTERNAL_SCRIPTS_ENABLED

Instance database Cloud SQL untuk SQL Server tidak menyetel tanda database skrip eksternal yang diaktifkan ke Off.

Saat diaktifkan, setelan ini memungkinkan eksekusi skrip dengan ekstensi bahasa jarak jauh tertentu. Karena fitur ini dapat berpengaruh buruk pada keamanan sistem, sebaiknya nonaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database external script enabled dengan nilai Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL instance not monitored

Nama kategori di API: SQL_INSTANCE_NOT_MONITORED

Temuan ini tidak tersedia untuk aktivasi level project.

Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan konfigurasi instance Cloud SQL.

Kesalahan konfigurasi opsi instance SQL dapat menyebabkan risiko keamanan. Menonaktifkan opsi pencadangan otomatis dan ketersediaan tinggi dapat memengaruhi kelangsungan bisnis dan tidak membatasi jaringan yang diizinkan dapat meningkatkan eksposur ke jaringan yang tidak tepercaya. Memantau perubahan pada konfigurasi instance SQL membantu Anda mengurangi waktu yang diperlukan untuk mendeteksi dan memperbaiki kesalahan konfigurasi.

Untuk informasi selengkapnya, lihat Ringkasan metrik berbasis log.

Bergantung pada kuantitas informasinya, biaya Cloud Monitoring bisa sangat signifikan. Untuk memahami penggunaan layanan dan biayanya, lihat Pengoptimalan biaya untuk Kemampuan Observasi Google Cloud.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Membuat metrik

  1. Buka halaman Metrik berbasis log di konsol Google Cloud.

    Buka Metrik Berbasis Log

  2. Klik Create Metric.

  3. Di bagian Metric Type, pilih Counter.

  4. Di bagian Detail:

    1. Tetapkan Nama metrik log.
    2. Tambahkan deskripsi.
    3. Tetapkan Unit ke 1.
  5. Di bagian Filter selection, salin dan tempel teks berikut ke kotak Build filter, ganti teks yang ada, jika perlu:

      protoPayload.methodName="cloudsql.instances.update"
      OR protoPayload.methodName="cloudsql.instances.create"
      OR protoPayload.methodName="cloudsql.instances.delete"

  6. Klik Create Metric. Anda akan melihat konfirmasi.

Buat Kebijakan Pemberitahuan

  1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log-based Metrics:

    Buka Metrik Berbasis Log

  2. Di bagian User-defined metrics, pilih metrik yang Anda buat di bagian sebelumnya.
  3. Klik More , lalu klik Create alert from metric.

    Dialog New condition akan terbuka dengan opsi metrik dan transformasi data yang sudah diisi otomatis.

  4. Klik Next.
    1. Tinjau setelan yang telah diisi otomatis. Anda dapat mengubah Nilai minimum.
    2. Klik Nama kondisi, lalu masukkan nama untuk kondisi tersebut.
  5. Klik Next.
  6. Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Saluran notifikasi. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.

    Untuk mendapatkan notifikasi saat insiden dibuka dan ditutup, centang Beri tahu saat penutupan insiden. Secara default, notifikasi hanya dikirim saat insiden dibuka.

  7. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  8. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  9. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  10. Klik Create Policy.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL local infile

Nama kategori di API: SQL_LOCAL_INFILE

Instance database Cloud SQL untuk MySQL tidak memiliki tanda database local_infile yang ditetapkan ke Off. Karena masalah keamanan yang terkait dengan tanda local_infile, tanda ini harus dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database local_infile dengan nilai Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log checkpoints disabled

Nama kategori di API: SQL_LOG_CHECKPOINTS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_checkpoints yang ditetapkan ke On.

Mengaktifkan log_checkpoints akan menyebabkan checkpoint dan titik mulai ulang akan dicatat dalam log server. Beberapa statistik disertakan dalam pesan log, termasuk jumlah buffer yang ditulis dan waktu yang dihabiskan untuk menulisnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_checkpoints dengan nilai On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log connections disabled

Nama kategori di API: SQL_LOG_CONNECTIONS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_connections yang ditetapkan ke On.

Jika setelan log_connections diaktifkan, upaya koneksi ke server dicatat ke dalam log, bersama dengan keberhasilan penyelesaian autentikasi klien. Log dapat berguna untuk memecahkan masalah dan mengonfirmasi upaya koneksi yang tidak biasa ke server.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database log_connections dengan nilai On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log disconnections disabled

Nama kategori di API: SQL_LOG_DISCONNECTIONS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_disconnections yang ditetapkan ke On.

Mengaktifkan setelan log_disconnections akan membuat entri log di akhir setiap sesi. Log ini berguna untuk memecahkan masalah dan mengonfirmasi aktivitas yang tidak biasa sepanjang jangka waktu tertentu. Untuk informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_disconnections dengan nilai On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log duration disabled

Nama kategori di API: SQL_LOG_DURATION_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_duration yang ditetapkan ke On.

Jika log_duration diaktifkan, setelan ini akan menyebabkan waktu eksekusi dan durasi setiap pernyataan yang telah selesai dicatat ke dalam log. Memantau jumlah waktu yang diperlukan untuk mengeksekusi kueri dapat menjadi hal penting dalam mengidentifikasi kueri yang lambat dan memecahkan masalah database.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_duration ke On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log error verbosity

Nama kategori di API: SQL_LOG_ERROR_VERBOSITY

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_error_verbosity ke default atau verbose.

Flag log_error_verbosity mengontrol jumlah detail dalam pesan yang dicatat. Semakin panjang panjangnya, semakin banyak detail yang dicatat dalam pesan. Sebaiknya tetapkan tanda ini ke default atau panjang.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_error_verbosity ke default atau verbose.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log lock waits disabled

Nama kategori di API: SQL_LOG_LOCK_WAITS_DISABLED

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_lock_waits ke On.

Jika setelan log_lock_waits diaktifkan, entri log akan dibuat saat sesi tunggu memerlukan waktu lebih lama daripada waktu deadlock_timeout untuk mendapatkan kunci. Log berguna dalam menentukan apakah waktu tunggu kunci menyebabkan performa yang buruk.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database log_lock_waits dengan nilai On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log min duration statement enabled

Nama kategori di API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki flag database log_min_duration_statement yang ditetapkan ke -1.

Flag log_min_duration_statement menyebabkan pernyataan SQL yang berjalan lebih lama dari waktu yang ditentukan dicatat ke dalam log. Pertimbangkan untuk menonaktifkan setelan ini karena pernyataan SQL mungkin berisi informasi sensitif yang tidak boleh dicatat. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_min_duration_statement dengan nilai -1.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log min error statement

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_min_error_statement yang ditetapkan dengan tepat.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL untuk tingkat keparahan yang ditentukan atau yang lebih tinggi dicatat ke dalam log bersama pesan untuk pernyataan error. Semakin besar tingkat keparahannya, semakin sedikit pesan yang dicatat.

Jika log_min_error_statement tidak ditetapkan ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan error. Tingkat keparahan yang ditetapkan terlalu rendah dapat menambah jumlah pesan dan menyulitkan untuk menemukan error yang sebenarnya. Tingkat keparahan yang ditetapkan terlalu tinggi dapat menyebabkan pesan error untuk error yang sebenarnya tidak dicatat dalam log.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_min_error_statement dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
    • error
  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log min error statement severity

Nama kategori di API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_min_error_statement yang ditetapkan dengan tepat.

Flag log_min_error_statement mengontrol apakah pernyataan SQL yang menyebabkan kondisi error dicatat dalam log server. Pernyataan SQL untuk tingkat keparahan atau ketat yang ditentukan dicatat ke dalam log bersama pesan untuk pernyataan error. Makin ketat tingkat keparahannya, makin sedikit pesan yang dicatat.

Jika log_min_error_statement tidak ditetapkan ke nilai yang benar, pesan mungkin tidak diklasifikasikan sebagai pesan error. Tingkat keparahan yang ditetapkan terlalu rendah akan menambah jumlah pesan dan mempersulit untuk menemukan error yang sebenarnya. Tingkat keparahan yang terlalu tinggi (terlalu ketat) dapat menyebabkan pesan error untuk error yang sebenarnya tidak dicatat ke dalam log.

Sebaiknya setel tanda ini ke error atau lebih ketat.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_min_error_statement dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • error
    • log
    • fatal
    • panic
  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log min messages

Nama kategori di API: SQL_LOG_MIN_MESSAGES

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_min_messages yang ditetapkan ke peringatan minimum.

Flag log_min_messages mengontrol tingkat pesan mana yang dicatat dalam log server. Semakin tinggi tingkat keseriusannya, semakin sedikit pesan yang dicatat. Menetapkan batas yang terlalu rendah dapat mengakibatkan peningkatan ukuran dan panjang penyimpanan log, sehingga sulit untuk menemukan error yang sebenarnya.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database log_min_messages dengan salah satu nilai yang direkomendasikan berikut, sesuai dengan kebijakan logging organisasi Anda.

    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log executor stats enabled

Nama kategori di API: SQL_LOG_EXECUTOR_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_executor_stats ke Off.

Saat tanda log_executor_stats diaktifkan, statistik performa eksekutor akan disertakan dalam log PostgreSQL untuk setiap kueri. Setelan ini dapat berguna untuk pemecahan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan tanda database log_executor_stats ke Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log hostname enabled

Nama kategori di API: `SQL_LOG_HOSTNAME_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_hostname ke log_hostname.

Saat tanda log_hostname diaktifkan, nama host host yang terhubung akan dicatat ke dalam log. Secara default, pesan log koneksi hanya menampilkan alamat IP. Setelan ini dapat berguna untuk pemecahan masalah. Namun, hal ini dapat menimbulkan overhead pada performa server karena untuk setiap pernyataan yang dicatat ke dalam log, resolusi DNS diperlukan untuk mengonversi alamat IP menjadi nama host.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan tanda database log_nama host ke Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log parser stats enabled

Nama kategori di API: SQL_LOG_PARSER_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_parser_stats ke Off.

Jika tanda log_parser_stats diaktifkan, statistik performa parser akan disertakan dalam log PostgreSQL untuk setiap kueri. Hal ini dapat berguna untuk pemecahan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan tanda database log_parser_stats ke Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log planner stats enabled

Nama kategori di API: SQL_LOG_PLANNER_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_planner_stats ke Off.

Saat tanda log_planner_stats diaktifkan, metode pembuatan profil kasar untuk mencatat log statistik performa perencana PostgreSQL akan digunakan. Hal ini dapat berguna untuk pemecahan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database log_planner_stats ke Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log statement

Nama kategori di API: SQL_LOG_STATEMENT

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_statement yang ditetapkan ke ddl.

Nilai flag ini mengontrol pernyataan SQL mana yang dicatat. Pencatatan membantu memecahkan masalah operasional dan memungkinkan analisis forensik. Jika tanda ini tidak ditetapkan ke nilai yang benar, informasi yang relevan mungkin akan dilewati atau mungkin tersembunyi dalam terlalu banyak pesan. Nilai ddl (semua pernyataan definisi data) direkomendasikan kecuali jika diarahkan oleh kebijakan logging organisasi Anda.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_statement ke ddl.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log statement stats enabled

Nama kategori di API: SQL_LOG_STATEMENT_STATS_ENABLED

Instance database Cloud SQL untuk PostgreSQL tidak memiliki tanda database log_statement_stats yang ditetapkan ke Nonaktif.

Saat tanda log_statement_stats diaktifkan, statistik performa end-to-end akan disertakan dalam log PostgreSQL untuk setiap kueri. Setelan ini dapat berguna untuk pemecahan masalah, tetapi dapat meningkatkan jumlah log dan overhead performa secara signifikan.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan flag database log_statement_stats untuk Off.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL log temp files

Nama kategori di API: SQL_LOG_TEMP_FILES

Instance database Cloud SQL untuk PostgreSQL tidak menetapkan tanda database log_temp_files ke 0.

File sementara dapat dibuat untuk pengurutan, {i>hash<i}, dan hasil kueri sementara. Menetapkan tanda log_temp_files ke 0 akan menyebabkan semua informasi file sementara dicatat ke dalam log. Mencatat semua file sementara ke dalam log berguna untuk mengidentifikasi potensi masalah performa. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, tetapkan flag database log_temp_files dengan nilai 0.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL no root password

Nama kategori di API: SQL_NO_ROOT_PASSWORD

Instance database MySQL tidak memiliki sandi yang ditetapkan untuk akun root. Anda harus menambahkan sandi ke instance database MySQL. Untuk mendapatkan informasi selengkapnya, lihat Pengguna MySQL.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Di halaman Instance details yang dimuat, pilih tab Users.

  4. Di samping pengguna root, klik Lainnya , lalu pilih Ubah Sandi.

  5. Masukkan kata sandi baru yang lebih kuat, lalu klik Oke.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL public IP

Nama kategori di API: SQL_PUBLIC_IP

Database Cloud SQL memiliki alamat IP publik.

Untuk mengurangi permukaan serangan organisasi Anda, database Cloud SQL tidak boleh memiliki alamat IP publik. Alamat IP pribadi memberikan keamanan jaringan yang lebih baik dan latensi yang lebih rendah untuk aplikasi Anda.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Di menu sebelah kiri, klik Connections.

  4. Klik tab Networking dan hapus centang pada kotak Public IP.

  5. Jika instance belum dikonfigurasi untuk menggunakan IP pribadi, lihat Mengonfigurasi IP pribadi untuk instance yang ada.

  6. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL remote access enabled

Nama kategori di API: SQL_REMOTE_ACCESS_ENABLED

Instance database Cloud SQL untuk SQL Server tidak memiliki tanda database akses jarak jauh yang disetel ke Off.

Saat diaktifkan, setelan ini memberikan izin untuk menjalankan prosedur lokal yang tersimpan dari server jarak jauh atau prosedur yang disimpan dari jarak jauh dari server lokal. Fungsi ini dapat disalahgunakan untuk meluncurkan serangan Denial-of-Service (DoS) pada server jarak jauh dengan memindahkan pemrosesan kueri ke target. Untuk mencegah penyalahgunaan, sebaiknya nonaktifkan setelan ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Tanda, setel akses jarak jauh ke Nonaktif.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL skip show database disabled

Nama kategori di API: SQL_SKIP_SHOW_DATABASE_DISABLED

Instance database Cloud SQL untuk MySQL tidak memiliki tanda database skip_show_database yang disetel ke On.

Saat diaktifkan, tanda ini mencegah pengguna menggunakan pernyataan SHOW DATABASES jika mereka tidak memiliki hak istimewa SHOW DATABASES. Dengan setelan ini, pengguna tanpa izin eksplisit tidak dapat melihat database milik pengguna lain. Sebaiknya aktifkan tanda ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi flag database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flags, setel skip_show_database ke On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL trace flag 3625

Nama kategori di API: SQL_TRACE_FLAG_3625

Instance database Cloud SQL untuk SQL Server tidak memiliki tanda database 3625 (tanda pelacakan) yang ditetapkan ke Aktif.

Tanda ini membatasi jumlah informasi yang ditampilkan kepada pengguna yang bukan anggota peran server tetap sysadmin, dengan menyamarkan parameter beberapa pesan error menggunakan tanda bintang (******). Untuk membantu mencegah pengungkapan informasi sensitif, sebaiknya aktifkan tanda ini.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Flag database, tetapkan 3625 ke On.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL user connections configured

Nama kategori di API: SQL_USER_CONNECTIONS_CONFIGURED

Instance database Cloud SQL untuk SQL Server memiliki tanda database koneksi pengguna yang telah dikonfigurasi.

Opsi koneksi pengguna menentukan jumlah maksimum koneksi pengguna simultan yang diizinkan pada instance SQL Server. Karena merupakan opsi dinamis (mengonfigurasi sendiri), SQL Server menyesuaikan jumlah maksimum koneksi pengguna secara otomatis sesuai kebutuhan, hingga nilai maksimum yang diizinkan. Nilai defaultnya adalah 0, yang berarti maksimum 32.767 koneksi pengguna diizinkan. Karena alasan ini, sebaiknya jangan mengonfigurasi flag database koneksi pengguna.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, di samping user connection, klik Delete.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL user options configured

Nama kategori di API: SQL_USER_OPTIONS_CONFIGURED

Instance database Cloud SQL untuk SQL Server memiliki tanda database opsi pengguna yang telah dikonfigurasi.

Setelan ini menggantikan nilai default global opsi SET untuk semua pengguna. Karena pengguna dan aplikasi mungkin berasumsi bahwa opsi SET database default sedang digunakan, menyetel opsi pengguna dapat menyebabkan hasil yang tidak diharapkan. Karena alasan ini, sebaiknya jangan mengonfigurasi flag database opsi pengguna.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi tanda database.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

  4. Di bagian Database flag, di samping user options, klik Delete.

  5. Klik Save. Konfigurasi baru akan muncul di halaman Ringkasan instance.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SQL weak root password

Nama kategori di API: SQL_WEAK_ROOT_PASSWORD

Instance database MySQL memiliki set sandi lemah untuk akun root. Anda harus menetapkan sandi yang kuat untuk instance tersebut. Untuk mengetahui informasi selengkapnya, lihat Pengguna MySQL.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Di halaman Instance details yang dimuat, pilih tab Users.

  4. Di samping pengguna root, klik Lainnya , lalu pilih Ubah Sandi.

  5. Masukkan kata sandi baru yang lebih kuat, lalu klik Oke.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

SSL not enforced

Nama kategori di API: SSL_NOT_ENFORCED

Instance database Cloud SQL tidak memerlukan semua koneksi masuk untuk menggunakan SSL.

Untuk menghindari kebocoran data sensitif yang dikirim melalui komunikasi yang tidak terenkripsi, semua koneksi masuk ke instance database SQL Anda harus menggunakan SSL. Pelajari lebih lanjut tentang Mengonfigurasi SSL/TLS.

Untuk memperbaiki temuan ini, hanya izinkan koneksi SSL untuk instance SQL Anda:

  1. Buka halaman Instance Cloud SQL di Konsol Google Cloud.

    Buka Instance Cloud SQL

  2. Pilih instance yang tercantum dalam temuan Security Health Analytics.

  3. Pada tab Connections, klik Allow only SSL connection atau Wajibkan sertifikat klien tepercaya. Untuk informasi selengkapnya, lihat Menerapkan enkripsi SSL/TLS.

  4. Jika Anda memilih Wajibkan sertifikat klien tepercaya, buat sertifikat klien baru. Untuk informasi selengkapnya, lihat Membuat sertifikat klien baru.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Too many KMS users

Nama kategori di API: TOO_MANY_KMS_USERS

Batasi jumlah pengguna utama yang dapat menggunakan kunci kriptografis hingga tiga. Peran yang telah ditetapkan berikut memberikan izin untuk mengenkripsi, mendekripsi, atau menandatangani data menggunakan kunci kriptografis:

  • roles/owner
  • roles/cloudkms.cryptoKeyEncrypterDecrypter
  • roles/cloudkms.cryptoKeyEncrypter
  • roles/cloudkms.cryptoKeyDecrypter
  • roles/cloudkms.signer
  • roles/cloudkms.signerVerifier

Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud KMS keys di Google Cloud Console.

    Buka kunci Cloud KMS

  2. Klik nama key ring yang ditunjukkan dalam temuan.

  3. Klik nama kunci yang ditunjukkan dalam temuan.

  4. Pilih kotak di samping versi utama, lalu klik Show Info Panel.

  5. Kurangi jumlah akun utama yang memiliki izin untuk mengenkripsi, mendekripsi, atau menandatangani data menjadi tiga atau kurang. Untuk mencabut izin, klik Delete di samping setiap akun utama.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

User managed service account key

Nama kategori di API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Pengguna mengelola kunci akun layanan. Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus melakukan autentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan untuk operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

  1. Buka halaman Akun Layanan di konsol Google Cloud.

    Buka Akun Layanan

  2. Jika perlu, pilih proyek yang ditunjukkan dalam temuan.

  3. Menghapus kunci akun layanan yang dikelola pengguna yang ditunjukkan dalam temuan tersebut, jika tidak digunakan oleh aplikasi apa pun.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Weak SSL policy

Nama kategori di API: WEAK_SSL_POLICY

Instance Compute Engine memiliki kebijakan SSL yang lemah atau menggunakan kebijakan SSL default Google Cloud dengan TLS versi kurang dari 1.2.

Load balancer Proxy HTTPS dan SSL menggunakan kebijakan SSL untuk menentukan protokol dan cipher suite yang digunakan dalam koneksi TLS antara pengguna dan internet. Koneksi ini mengenkripsi data sensitif agar penyadap yang berbahaya tidak dapat mengaksesnya. Kebijakan SSL yang lemah memungkinkan klien yang menggunakan TLS versi yang sudah usang untuk terhubung dengan cipher suite atau protokol yang kurang aman. Untuk mengetahui daftar cipher suite yang direkomendasikan dan sudah tidak berlaku, buka halaman parameter TLS iana.org.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Langkah-langkah perbaikan untuk temuan ini berbeda-beda, bergantung pada apakah temuan ini dipicu oleh penggunaan kebijakan SSL Google Cloud default atau kebijakan SSL yang memungkinkan cipher suite yang lemah atau versi TLS minimum kurang dari 1.2. Ikuti prosedur di bawah yang sesuai dengan pemicu temuan.

Perbaikan kebijakan SSL Google Cloud default

  1. Buka halaman Target proxy di Konsol Google Cloud.

    Buka Proxy target

  2. Temukan proxy target yang ditunjukkan dalam aturan penerusan catatan dan temuan di kolom Sedang digunakan oleh.

  3. Untuk membuat kebijakan SSL baru, lihat Menggunakan kebijakan SSL. Kebijakan ini harus memiliki Versi TLS minimum 1.2 dan Profil Modern atau Dibatasi.

  4. Untuk menggunakan profil Kustom , pastikan cipher suite berikut dinonaktifkan:

    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  5. Terapkan kebijakan SSL ke setiap aturan penerusan yang sebelumnya Anda catat.

Perbaikan cipher suite yang lemah atau versi TLS level bawah memungkinkan perbaikan

  1. Di konsol Google Cloud, buka halaman Kebijakan SSL .

    Buka kebijakan SSL

  2. Temukan load balancer yang ditunjukkan di kolom Sedang digunakan oleh.

  3. Klik di bawah nama kebijakan.

  4. Klik Edit.

  5. Ubah Versi TLS minimum ke TLS 1.2 dan Profil ke Modern atau Dibatasi.

  6. Untuk menggunakan profil Kustom, pastikan cipher suite berikut dinonaktifkan:

    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  7. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Web UI enabled

Nama kategori di API: WEB_UI_ENABLED

UI web GKE (dasbor) diaktifkan.

Akun Layanan Kubernetes dengan hak istimewa mendukung antarmuka web Kubernetes. Jika disusupi, akun layanan dapat disalahgunakan. Jika Anda sudah menggunakan Google Cloud Console, antarmuka web Kubernetes memperluas permukaan serangan Anda secara tidak perlu. Pelajari cara Menonaktifkan antarmuka web Kubernetes.

Untuk memperbaiki temuan ini, nonaktifkan antarmuka web Kubernetes:

  1. Buka halaman Cluster Kubernetes di Google Cloud Console.

    Buka cluster Kubernetes

  2. Klik nama cluster yang tercantum dalam temuan Security Health Analytics.

  3. Klik Edit.

    Jika konfigurasi cluster baru saja diubah, tombol edit mungkin dinonaktifkan. Jika Anda tidak dapat mengedit setelan cluster, tunggu beberapa menit lalu coba lagi.

  4. Klik Add-on. Bagian ini akan meluas untuk menampilkan add-on yang tersedia.

  5. Di menu drop-down Dasbor Kubernetes, pilih Nonaktif.

  6. Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Workload Identity disabled

Nama kategori di API: WORKLOAD_IDENTITY_DISABLED

Workload Identity dinonaktifkan di cluster GKE.

Workload Identity adalah cara yang direkomendasikan untuk mengakses layanan Google Cloud dari dalam GKE karena menawarkan properti keamanan dan pengelolaan yang lebih baik. Mengaktifkannya akan melindungi beberapa metadata sistem yang berpotensi sensitif dari workload pengguna yang berjalan di cluster Anda. Pelajari Penyembunyian metadata.

Untuk memperbaiki temuan ini, ikuti panduan untuk Mengaktifkan Workload Identity pada cluster.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Memperbaiki kesalahan konfigurasi AWS

AWS Cloud Shell Full Access Restricted

Nama kategori di API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

AWS CloudShell adalah cara mudah untuk menjalankan perintah CLI terhadap layanan AWS. Kebijakan IAM terkelola ('AWSCloudShellFullAccess') memberikan akses penuh ke CloudShell, yang memungkinkan kemampuan mengupload dan mendownload file antara sistem lokal pengguna dan lingkungan CloudShell. Di dalam lingkungan CloudShell, pengguna memiliki izin sudo dan dapat mengakses internet. Jadi, Anda dapat menginstal software transfer file (misalnya) dan memindahkan data dari CloudShell ke server internet eksternal.

Rekomendasi: Pastikan akses ke AWSCloudShellFullAccess dibatasi

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Access Keys Rotated Every 90 Days or Less

Nama kategori di API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari AWS Command Line Interface (AWS CLI), Tools for Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk setiap layanan AWS. Sebaiknya semua kunci akses dirotasi secara berkala.

Rekomendasi: Pastikan kunci akses dirotasi setiap 90 hari atau kurang

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Buka Konsol Pengelolaan (https://console.aws.amazon.com/iam)
  2. Klik Users
  3. Klik Security Credentials
  4. Sebagai Administrator
    • Klik Make Inactive untuk kunci yang belum dirotasi dalam 90 Hari
  5. Sebagai Pengguna IAM
    • Klik Make Inactive atau Delete untuk kunci yang belum dirotasi atau digunakan dalam 90 Hari
  6. Klik Create Access Key
  7. Memperbarui panggilan terprogram dengan kredensial Kunci Akses baru

AWS CLI

  1. Selagi kunci akses pertama masih aktif, buat kunci akses kedua, yang aktif secara default. Jalankan perintah berikut:
aws iam create-access-key

Pada tahap ini, pengguna memiliki dua kunci akses aktif.

  1. Update semua aplikasi dan alat agar menggunakan kunci akses baru.
  2. Gunakan perintah berikut untuk mengetahui apakah kunci akses pertama masih digunakan:
aws iam get-access-key-last-used
  1. Salah satu pendekatannya adalah menunggu beberapa hari, lalu memeriksa setiap penggunaan kunci akses lama sebelum melanjutkan.

Meskipun langkah 3 menunjukkan bahwa kunci lama tidak digunakan, sebaiknya Anda tidak segera menghapus kunci akses pertama. Sebagai gantinya, ubah status kunci akses pertama menjadi Tidak aktif menggunakan perintah ini:

aws iam update-access-key
  1. Hanya gunakan kunci akses baru untuk mengonfirmasi bahwa aplikasi Anda berfungsi. Untuk saat ini, aplikasi dan alat apa pun yang masih menggunakan kunci akses asli akan berhenti berfungsi karena tidak lagi memiliki akses ke resource AWS. Jika menemukan aplikasi atau alat semacam itu, Anda dapat mengalihkan statusnya kembali ke Aktif untuk mengaktifkan kembali kunci akses pertama. Kemudian kembali ke Langkah 2 dan perbarui aplikasi ini untuk menggunakan kunci baru.

  2. Setelah Anda menunggu beberapa waktu untuk memastikan bahwa semua aplikasi dan alat telah diupdate, Anda dapat menghapus kunci akses pertama dengan perintah ini:

aws iam delete-access-key

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

All Expired Ssl Tls Certificates Stored Aws Iam Removed

Nama kategori di API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Untuk mengaktifkan koneksi HTTPS ke situs atau aplikasi di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan men-deploy sertifikat server. Gunakan IAM sebagai pengelola sertifikat hanya jika Anda harus mendukung koneksi HTTPS di region yang tidak didukung oleh ACM. IAM mengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi yang dienkripsi di penyimpanan sertifikat SSL IAM. IAM mendukung deployment sertifikat server di semua region, tetapi Anda harus mendapatkan sertifikat dari penyedia eksternal untuk digunakan dengan AWS. Anda tidak dapat mengupload sertifikat ACM ke IAM. Selain itu, Anda tidak dapat mengelola sertifikat dari Konsol IAM.

Rekomendasi: Pastikan semua sertifikat SSL/TLS yang masa berlakunya habis dan disimpan di IAM AWS dihapus

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Menghapus sertifikat yang habis masa berlakunya melalui Konsol Pengelolaan AWS saat ini tidak didukung. Untuk menghapus sertifikat SSL/TLS yang disimpan di IAM melalui AWS API, gunakan Antarmuka Command Line (CLI).

AWS CLI

Untuk menghapus Sertifikat yang Habis Masa Berlakunya, jalankan perintah berikut dengan mengganti CERTIFICATE_NAME dengan nama sertifikat yang akan dihapus:

aws iam delete-server-certificate --server-certificate-name <CERTIFICATE_NAME>

Jika berhasil, perintah sebelumnya tidak akan menampilkan output apa pun.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Autoscaling Group Elb Healthcheck Required

Nama kategori di API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Tindakan ini memeriksa apakah grup Penskalaan Otomatis Anda yang terkait dengan load balancer menggunakan health check Elastic Load Balancing.

Hal ini memastikan bahwa grup dapat menentukan kondisi instance berdasarkan pengujian tambahan yang diberikan oleh load balancer. Menggunakan health check Elastic Load Balancing dapat membantu mendukung ketersediaan aplikasi yang menggunakan grup Auto Scaling EC2.

Rekomendasi: Memeriksa apakah semua grup penskalaan otomatis yang dikaitkan dengan load balancer menggunakan health check

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Untuk mengaktifkan health check Elastic Load Balancing

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, pada bagian Auto Scaling, pilih Auto Scaling Groups.
  3. Centang kotak untuk grup Anda.
  4. Pilih Edit.
  5. Di bagian Health check, pilih ELB untuk jenis Health check.
  6. Untuk Masa tenggang Health check, masukkan 300.
  7. Di bagian bawah halaman, pilih Perbarui.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan load balancer dengan grup Penskalaan Otomatis, lihat Panduan Pengguna Penskalaan Otomatis AWS.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Auto Minor Version Upgrade Feature Enabled Rds Instances

Nama kategori di API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Pastikan instance database RDS mengaktifkan tanda Auto Minor Version Upgrade untuk menerima upgrade mesin minor secara otomatis selama masa pemeliharaan yang ditentukan. Jadi, instance RDS bisa mendapatkan fitur baru, perbaikan bug, dan patch keamanan untuk mesin database-nya.

Rekomendasi: Pastikan fitur Upgrade Versi Minor Otomatis Diaktifkan untuk Instance RDS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Masuk ke konsol pengelolaan AWS dan navigasi ke dasbor RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi kiri, klik Databases.
  3. Pilih instance RDS yang ingin diperbarui.
  4. Klik tombol Modify yang terletak di sisi kanan atas.
  5. Pada halaman Modify DB Instance: <instance identifier>, di bagian Maintenance, pilih Auto minor version upgrade klik tombol pilihan Yes.
  6. Di bagian bawah halaman, klik Continue, centang Terapkan Segera untuk menerapkan perubahan dengan segera, atau pilih Apply during the next scheduled maintenance window untuk menghindari periode nonaktif.
  7. Tinjau perubahannya dan klik Modify DB Instance. Status instance akan berubah dari tersedia, diubah, dan kembali tersedia. Setelah fitur ini diaktifkan, status Auto Minor Version Upgrade akan berubah menjadi Yes.

AWS CLI

  1. Jalankan perintah describe-db-instances untuk menampilkan daftar semua nama instance database RDS, yang tersedia di region AWS yang dipilih:
aws rds describe-db-instances --region <regionName> --query 'DBInstances[*].DBInstanceIdentifier'
  1. Output perintah akan menampilkan setiap ID instance database.
  2. Jalankan perintah modify-db-instance untuk mengubah konfigurasi instance RDS yang dipilih. Perintah ini akan segera menerapkan perubahan. Hapus --apply-immediately untuk menerapkan perubahan selama masa pemeliharaan terjadwal berikutnya dan menghindari periode nonaktif:
aws rds modify-db-instance --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --auto-minor-version-upgrade --apply-immediately
  1. Output perintah akan mengungkapkan metadata konfigurasi baru untuk instance RDS dan memeriksa nilai parameter AutoMinorVersionUpgrade.
  2. Jalankan perintah describe-db-instances untuk memeriksa apakah fitur Auto Minor Version Upgrade telah berhasil diaktifkan:
aws rds describe-db-instances --region <regionName> --db-instance-identifier <dbInstanceIdentifier> --query 'DBInstances[*].AutoMinorVersionUpgrade'
  1. Output perintah akan menampilkan status fitur saat ini yang disetel ke true, fiturnya adalah enabled, dan upgrade mesin minor akan diterapkan ke instance RDS yang dipilih.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Aws Config Enabled All Regions

Nama kategori di API: AWS_CONFIG_ENABLED_ALL_REGIONS

AWS Config adalah layanan web yang melakukan pengelolaan konfigurasi resource AWS yang didukung dalam akun Anda serta mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (resource AWS), hubungan antara item konfigurasi (resource AWS), setiap perubahan konfigurasi antar-resource. Sebaiknya AWS Config diaktifkan di semua region.

Rekomendasi: Pastikan AWS Config diaktifkan di semua region

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Pilih region yang ingin Anda fokuskan di kanan atas konsol
  2. Layanan Klik
  3. Klik Config
  4. Jika Perekam konfigurasi diaktifkan di region ini, Anda harus membuka halaman Settings dari menu navigasi di sebelah kiri. Jika Perekam konfigurasi belum diaktifkan di region ini, Anda harus memilih "Mulai".
  5. Pilih "Rekam semua resource yang didukung di region ini"
  6. Memilih untuk menyertakan resource global (resource IAM)
  7. Tentukan bucket S3 di akun yang sama atau di akun AWS terkelola lainnya
  8. Buat Topik SNS dari akun AWS yang sama atau akun AWS terkelola lainnya

AWS CLI

  1. Pastikan ada bucket S3, topik SNS, dan peran IAM yang sesuai sesuai dengan prasyarat Layanan AWS Config.
  2. Jalankan perintah ini untuk membuat perekam konfigurasi baru:
aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=arn:aws:iam::012345678912:role/myConfigRole --recording-group allSupported=true,includeGlobalResourceTypes=true
  1. Buat file konfigurasi saluran pengiriman secara lokal yang menentukan atribut saluran, yang diisi dari prasyarat yang disiapkan sebelumnya:
{
 "name": "default",
 "s3BucketName": "my-config-bucket",
 "snsTopicARN": "arn:aws:sns:us-east-1:012345678912:my-config-notice",
 "configSnapshotDeliveryProperties": {
 "deliveryFrequency": "Twelve_Hours"
 }
}
  1. Jalankan perintah ini untuk membuat saluran penayangan baru, dengan merujuk ke file konfigurasi JSON yang dibuat di langkah sebelumnya:
aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json
  1. Mulai perekam konfigurasi dengan menjalankan perintah berikut:
aws configservice start-configuration-recorder --configuration-recorder-name default

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Aws Security Hub Enabled

Nama kategori di API: AWS_SECURITY_HUB_ENABLED

Security Hub mengumpulkan data keamanan dari seluruh akun, layanan, dan produk partner pihak ketiga yang didukung AWS, serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Jika diaktifkan, Security Hub akan mulai menggunakan, menggabungkan, mengatur, dan memprioritaskan temuan dari layanan AWS yang telah Anda aktifkan, seperti Amazon GuardDuty, Amazon Inspector, dan Amazon Macie. Anda juga dapat mengaktifkan integrasi dengan produk keamanan partner AWS.

Rekomendasi: Pastikan Hub Keamanan AWS diaktifkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Gunakan kredensial identitas IAM untuk login ke konsol Hub Keamanan.
  2. Saat Anda membuka konsol Security Hub untuk pertama kalinya, pilih Aktifkan AWS Security Hub.
  3. Di halaman sambutan, Standar keamanan mencantumkan standar keamanan yang didukung Hub Keamanan.
  4. Pilih Aktifkan Hub Keamanan.

AWS CLI

  1. Jalankan perintah enable-security-hub. Untuk mengaktifkan standar default, sertakan --enable-default-standards. aws securityhub enable-security-hub --enable-default-standards

  2. Untuk mengaktifkan hub keamanan tanpa standar default, sertakan --no-enable-default-standards. aws securityhub enable-security-hub --no-enable-default-standards

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloudtrail Logs Encrypted Rest Using Kms Cmks

Nama kategori di API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

AWS CloudTrail adalah layanan web yang mencatat panggilan AWS API untuk akun dan menyediakan log tersebut bagi pengguna serta resource sesuai dengan kebijakan IAM. AWS Key Management Service (KMS) adalah layanan terkelola yang membantu membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data akun, dan menggunakan Hardware Security Modules (HSM) untuk melindungi keamanan kunci enkripsi. Log CloudTrail dapat dikonfigurasi untuk memanfaatkan enkripsi sisi server (SSE) dan kunci master yang dibuat pelanggan (CMK) KMS guna melindungi log CloudTrail lebih lanjut. Sebaiknya CloudTrail dikonfigurasi untuk menggunakan SSE-KMS.

Rekomendasi: Pastikan log CloudTrail dienkripsi dalam penyimpanan menggunakan CMK KMS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke AWS Management Console dan buka konsol CloudTrail di https://console.aws.amazon.com/cloudtrail
  2. Di panel navigasi kiri, pilih Trails .
  3. Klik Jejak
  4. Di bawah bagian S3, klik tombol edit (ikon pensil)
  5. Klik Advanced.
  6. Pilih CMK yang ada dari menu drop-down KMS key Id
    • Catatan: Pastikan CMK berada di region yang sama dengan bucket S3
    • Catatan: Anda harus menerapkan kebijakan Kunci KMS pada CMK yang dipilih agar CloudTrail sebagai layanan dapat mengenkripsi dan mendekripsi file log menggunakan CMK yang disediakan. Langkah-langkah diberikan di sini untuk mengedit kebijakan Kunci CMK yang dipilih
  7. Klik Save.
  8. Anda akan melihat pesan notifikasi yang menyatakan bahwa Anda harus memiliki izin dekripsi pada kunci KMS yang ditentukan untuk mendekripsi file log.
  9. Klik Yes.

AWS CLI

aws cloudtrail update-trail --name <trail_name> --kms-id <cloudtrail_kms_key>
aws kms put-key-policy --key-id <cloudtrail_kms_key> --policy <cloudtrail_kms_key_policy>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloudtrail Log File Validation Enabled

Nama kategori di API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Validasi file log CloudTrail membuat file ringkasan yang ditandatangani secara digital yang berisi hash dari setiap log yang ditulis CloudTrail ke S3. File ringkasan ini dapat digunakan untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan log. Sebaiknya validasi file diaktifkan di semua CloudTrail.

Rekomendasi: Pastikan validasi file log CloudTrail diaktifkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS dan buka konsol IAM di https://console.aws.amazon.com/cloudtrail
  2. Klik Trails di panel navigasi kiri
  3. Klik pada jalur target
  4. Dalam bagian General details, klik edit
  5. Di bagian Advanced settings
  6. Centang kotak aktifkan di bagian Log file validation
  7. Klik Save changes.

AWS CLI

aws cloudtrail update-trail --name <trail_name> --enable-log-file-validation

Perhatikan bahwa validasi log secara berkala menggunakan ringkasan ini dapat dilakukan dengan menjalankan perintah berikut:

aws cloudtrail validate-logs --trail-arn <trail_arn> --start-time <start_time> --end-time <end_time>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloudtrail Trails Integrated Cloudwatch Logs

Nama kategori di API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

AWS CloudTrail adalah layanan web yang merekam panggilan AWS API yang dilakukan di akun AWS tertentu. Informasi yang direkam mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang ditampilkan oleh layanan AWS. CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log, sehingga file log disimpan dengan tahan lama. Selain merekam log CloudTrail dalam bucket S3 yang ditentukan untuk analisis jangka panjang, analisis real time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jalur yang diaktifkan di semua region dalam sebuah akun, CloudTrail mengirimkan file log dari semua region tersebut ke grup log CloudWatch Logs. Sebaiknya log CloudTrail dikirim ke Log CloudWatch.

Rekomendasi: Pastikan jalur CloudTrail terintegrasi dengan CloudWatch Logs

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke konsol CloudTrail di https://console.aws.amazon.com/cloudtrail/
  2. Pilih Trail yang perlu diupdate.
  3. Scroll ke bawah ke bagian CloudWatch Logs
  4. Klik Edit.
  5. Di bawah CloudWatch Logs, klik kotak Enabled
  6. Di bagian Log Group, pilih grup log baru atau yang sudah ada
  7. Edit Log group name agar cocok dengan CloudTrail atau pilih Grup CloudWatch yang ada.
  8. Di bagian IAM Role, pilih baru atau pilih yang sudah ada.
  9. Edit Role name agar cocok dengan CloudTrail atau pilih Peran IAM yang ada.
  10. Klik `Simpan perubahan.

AWS CLI

aws cloudtrail update-trail --name <trail_name> --cloudwatch-logs-log-group-arn <cloudtrail_log_group_arn> --cloudwatch-logs-role-arn <cloudtrail_cloudwatchLogs_role_arn>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloudwatch Alarm Action Check

Nama kategori di API: CLOUDWATCH_ALARM_ACTION_CHECK

Tindakan ini akan memeriksa apakah Amazon Cloudwatch memiliki tindakan yang ditetapkan saat alarm bertransisi antara status 'OK', 'ALARM', dan 'INSUFFICIENT_DATA'.

Mengonfigurasi tindakan untuk status ALARM di alarm Amazon CloudWatch sangat penting untuk memicu respons langsung saat metrik yang dipantau melanggar batas. Hal ini memastikan penyelesaian masalah yang cepat, mengurangi periode nonaktif, dan memungkinkan perbaikan otomatis, menjaga kondisi sistem, dan mencegah pemadaman layanan.

Alarm memiliki minimal satu tindakan. Alarm memiliki setidaknya satu tindakan ketika alarm bertransisi ke status 'INSUFFICIENT_DATA' dari status lainnya. (Opsional) Alarm memiliki minimal satu tindakan saat alarm bertransisi ke status 'OK' dari status lainnya.

Rekomendasi: Memeriksa apakah alarm CloudWatch memiliki setidaknya satu tindakan alarm, satu tindakan INSUFFICIENT_DATA, atau satu tindakan OK yang diaktifkan.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Guna mengonfigurasi tindakan ALARM untuk alarm Amazon CloudWatch, lakukan hal berikut.

  1. Buka konsol Amazon CloudWatch di https://console.aws.amazon.com/cloudwatch/.
  2. Di panel navigasi, di bagian 'Alarms', pilih 'All alarm'.
  3. Pilih alarm Amazon CloudWatch yang ingin diubah, pilih 'Actions' dan pilih 'Edit'.
  4. Dari sebelah kiri, pilih 'Langkah 2 - tindakan Konfigurasi opsional'
  5. Untuk 'Pemicu status alarm', pilih opsi 'Dalam alarm' untuk menyiapkan tindakan berbasis ALARM.
  6. Untuk mengirimkan notifikasi ke topik SNS yang baru dibuat, pilih 'Buat topik baru'.
  7. Di kotak 'Buat topik baru...', tentukan nama topik SNS yang unik.
  8. Di kotak 'Email endpoint yang akan menerima notifikasi...', tentukan satu atau beberapa alamat email.
  9. Kemudian pilih 'Create Topic' untuk membuat Amazon SNS Topic yang diperlukan.
  10. Di kanan bawah, pilih 'Berikutnya', 'Berikutnya', lalu pilih 'Update alarm' untuk menerapkan perubahan.
  11. Buka program email Anda dan dalam email dari AWS Notifications, klik link untuk mengonfirmasi langganan Anda ke topik SNS yang dipermasalahkan.
  12. Ulangi langkah 4 sampai 11 dan selama langkah 5, dengan memilih 'Oke' dan 'Data tidak mencukupi' untuk 'Pemicu status alarm' guna menyiapkan tindakan untuk kedua status tersebut.
  13. Ulangi proses tersebut untuk semua alarm CloudWatch lainnya dalam region AWS yang sama.
  14. Ulangi proses tersebut untuk semua alarm CloudWatch lainnya di semua region AWS lainnya.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Cloudwatch Log Group Encrypted

Nama kategori di API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Pemeriksaan ini memastikan log CloudWatch dikonfigurasi dengan KMS.

Data grup log selalu dienkripsi di Log CloudWatch. Secara default, CloudWatch Logs menggunakan enkripsi sisi server untuk data log dalam penyimpanan. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service untuk enkripsi ini. Jika Anda melakukannya, enkripsi dilakukan menggunakan kunci AWS KMS. Enkripsi menggunakan AWS KMS diaktifkan di level grup log dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log maupun setelah grup log tersebut ada.

Rekomendasi: Pastikan semua grup log di Log Amazon CloudWatch dienkripsi dengan KMS

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

CloudTrail CloudWatch Logs Enabled

Nama kategori di API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Kontrol ini memeriksa apakah jalur CloudTrail dikonfigurasi untuk mengirim log ke CloudWatch Logs. Kontrol gagal jika properti CloudWatchLogsLogGroupArn jalur kosong.

CloudTrail merekam panggilan API AWS yang dilakukan di akun tertentu. Informasi yang dicatat mencakup hal berikut:

  • Identitas pemanggil API
  • Waktu panggilan API
  • Alamat IP sumber pemanggil API
  • Parameter permintaan
  • Elemen respons yang ditampilkan oleh layanan AWS

CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat mengambil log CloudTrail di bucket S3 yang ditentukan untuk analisis jangka panjang. Untuk melakukan analisis secara real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs.

Untuk jalur yang diaktifkan di semua Region dalam sebuah akun, CloudTrail mengirimkan file log dari semua Region tersebut ke grup log CloudWatch Logs.

Hub Keamanan merekomendasikan agar Anda mengirim log CloudTrail ke CloudWatch Logs. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan aktivitas akun dicatat, dipantau, dan diwaspadai dengan tepat. Anda dapat menggunakan CloudWatch Logs untuk menyiapkannya dengan layanan AWS Anda. Rekomendasi ini tidak menghalangi penggunaan solusi lain.

Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi logging aktivitas real-time dan historis berdasarkan pengguna, API, resource, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk menyetel alarm dan notifikasi untuk aktivitas akun anomali atau sensitivitas.

Rekomendasi: Memeriksa apakah semua jalur CloudTrail dikonfigurasi untuk mengirim log ke AWS CloudWatch

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

No AWS Credentials in CodeBuild Project Environment Variables

Nama kategori di API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Tindakan ini akan memeriksa apakah project berisi variabel lingkungan AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY.

Kredensial autentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak boleh disimpan dalam bentuk teks yang jelas, karena dapat menyebabkan eksposur data yang tidak diinginkan dan akses tanpa izin.

Rekomendasi: Pastikan semua project yang berisi variabel env AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak dalam teks biasa

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Codebuild Project Source Repo Url Check

Nama kategori di API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Tindakan ini memeriksa apakah URL repositori sumber Bitbucket project AWS CodeBuild berisi token akses pribadi atau nama pengguna dan sandi. Kontrol akan gagal jika URL repositori sumber Bitbucket berisi token akses pribadi atau nama pengguna dan sandi.

Kredensial login tidak boleh disimpan atau ditransmisikan dalam teks yang jelas atau muncul di URL repositori sumber. Daripada menggunakan token akses pribadi atau kredensial login, Anda harus mengakses penyedia sumber di CodeBuild, dan mengubah URL repositori sumber agar hanya berisi jalur ke lokasi repositori Bitbucket. Menggunakan token akses pribadi atau kredensial login dapat menyebabkan eksposur data yang tidak diinginkan atau akses yang tidak sah.

Rekomendasi: Pastikan semua project yang menggunakan github atau bitbucket sebagai sumbernya menggunakan oauth

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Credentials Unused 45 Days Greater Disabled

Nama kategori di API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Pengguna AWS IAM dapat mengakses resource AWS menggunakan berbagai jenis kredensial, seperti sandi atau kunci akses. Sebaiknya semua kredensial yang tidak digunakan dalam 45 hari atau lebih akan dinonaktifkan atau dihapus.

Rekomendasi: Pastikan kredensial yang tidak digunakan selama 45 hari atau lebih dinonaktifkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Lakukan tindakan berikut untuk mengelola Sandi yang Tidak Digunakan (akses konsol pengguna IAM)

  1. Login ke Konsol Pengelolaan AWS:
  2. Klik Services.
  3. Klik IAM.
  4. Klik Users
  5. Klik Security Credentials
  6. Pilih pengguna yang Console last sign-in-nya lebih besar dari 45 hari
  7. Klik Security credentials.
  8. Di bagian Sign-in credentials, Console password klik Manage
  9. Di bagian Akses Konsol, pilih Disable 10.Klik Apply

Lakukan tindakan berikut untuk menonaktifkan Kunci Akses:

  1. Login ke Konsol Pengelolaan AWS:
  2. Klik Services.
  3. Klik IAM.
  4. Klik Users
  5. Klik Security Credentials
  6. Pilih kunci akses yang sudah lebih dari 45 hari dan telah digunakan, serta
    • Klik Make Inactive
  7. Pilih kunci akses yang sudah lebih dari 45 hari dan belum digunakan, serta
    • Klik X untuk Delete

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Default Security Group Vpc Restricts All Traffic

Nama kategori di API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

VPC dilengkapi dengan grup keamanan default yang setelan awalnya menolak semua traffic masuk, mengizinkan semua traffic keluar, dan mengizinkan semua traffic antar-instance yang ditetapkan ke grup keamanan. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instance akan otomatis ditetapkan ke grup keamanan default ini. Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk/keluar ke resource AWS. Sebaiknya grup keamanan default membatasi semua traffic.

VPC default di setiap region harus mengupdate grup keamanan default-nya untuk mematuhi kebijakan. Setiap VPC yang baru dibuat akan otomatis berisi grup keamanan default yang memerlukan perbaikan untuk mematuhi rekomendasi ini.

CATATAN: Saat menerapkan rekomendasi ini, logging aliran VPC sangat berharga dalam menentukan akses port dengan hak istimewa terendah yang diperlukan sistem agar berfungsi dengan baik karena dapat mencatat semua penerimaan dan penolakan paket yang terjadi dalam grup keamanan saat ini. Hal ini secara dramatis mengurangi hambatan utama pada rekayasa dengan hak istimewa terendah, yaitu menemukan port minimum yang diperlukan oleh sistem di lingkungan sekitar. Meskipun rekomendasi logging aliran VPC dalam benchmark ini tidak diadopsi sebagai tindakan keamanan permanen, rekomendasi ini harus digunakan selama periode penemuan dan rekayasa untuk grup keamanan dengan hak istimewa paling rendah.

Rekomendasi: Pastikan grup keamanan default di setiap VPC membatasi semua traffic

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dms Replication Not Public

Nama kategori di API: DMS_REPLICATION_NOT_PUBLIC

Memeriksa apakah instance replikasi AWS DMS bersifat publik. Untuk melakukannya, metode ini memeriksa nilai kolom PubliclyAccessible.

Instance replikasi pribadi memiliki alamat IP pribadi yang tidak dapat Anda akses di luar jaringan replikasi. Instance replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama. Jaringan juga harus terhubung ke VPC instance replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Untuk mempelajari lebih lanjut instance replikasi publik dan pribadi, lihat Instance replikasi publik dan pribadi di Panduan Pengguna AWS Database Migration Service.

Anda juga harus memastikan bahwa akses ke konfigurasi instance AWS DMS dibatasi hanya untuk pengguna yang diotorisasi. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah setelan dan resource AWS DMS.

Rekomendasi: Memeriksa apakah instance replikasi AWS Database Migration Service bersifat publik

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Do Setup Access Keys During Initial User Setup All Iam Users Console

Nama kategori di API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Secara default, konsol AWS tidak akan memilih kotak centang saat membuat pengguna IAM baru. Saat membuat kredensial Pengguna IAM, Anda harus menentukan jenis akses yang diperlukan.

Akses terprogram: Pengguna IAM mungkin perlu melakukan panggilan API, menggunakan AWS CLI, atau menggunakan Tools for Windows PowerShell. Jika demikian, buat kunci akses (ID kunci akses dan kunci akses rahasia) untuk pengguna tersebut.

Akses AWS Management Console: Jika pengguna perlu mengakses AWS Management Console, buat sandi untuk pengguna.

Rekomendasi: Jangan siapkan kunci akses selama penyiapan pengguna awal untuk semua pengguna IAM yang memiliki sandi konsol

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS:
  2. Klik Services.
  3. Klik IAM.
  4. Klik Users
  5. Klik Security Credentials
  6. Sebagai Administrator
    • Klik X (Delete) untuk kunci yang dibuat bersamaan dengan profil pengguna, tetapi belum digunakan.
  7. Sebagai Pengguna IAM
    • Klik X (Delete) untuk kunci yang dibuat bersamaan dengan profil pengguna, tetapi belum digunakan.

AWS CLI

aws iam delete-access-key --access-key-id <access-key-id-listed> --user-name <users-name>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dynamodb Autoscaling Enabled

Nama kategori di API: DYNAMODB_AUTOSCALING_ENABLED

Tindakan ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulisnya sesuai kebutuhan. Kontrol ini akan diteruskan jika tabel menggunakan mode kapasitas on demand atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Menskalakan kapasitas dengan permintaan akan menghindari pengecualian throttling, yang membantu mempertahankan ketersediaan aplikasi Anda.

Tabel DynamoDB dalam mode kapasitas on demand hanya dibatasi oleh kuota tabel default throughput DynamoDB. Untuk meningkatkan kuota ini, Anda dapat mengajukan tiket dukungan melalui Dukungan AWS.

Tabel DynamoDB dalam mode yang disediakan dengan penskalaan otomatis menyesuaikan kapasitas throughput yang disediakan secara dinamis sebagai respons terhadap pola traffic. Untuk informasi tambahan tentang throttling permintaan DynamoDB, lihat Meminta throttling dan burst kapasitas dalam Panduan Developer Amazon DynamoDB.

Rekomendasi: Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dynamodb In Backup Plan

Nama kategori di API: DYNAMODB_IN_BACKUP_PLAN

Kontrol ini mengevaluasi apakah tabel DynamoDB dicakup oleh rencana cadangan. Kontrol akan gagal jika tabel DynamoDB tidak tercakup oleh rencana cadangan. Kontrol ini hanya mengevaluasi tabel DynamoDB yang berada dalam status AKTIF.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Menyertakan tabel DynamoDB dalam rencana cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

Rekomendasi: Tabel DinamoDB harus dicakup oleh rencana cadangan

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dynamodb Pitr Enabled

Nama kategori di API: DYNAMODB_PITR_ENABLED

Pemulihan Point In Time (PITR) adalah salah satu mekanisme yang tersedia untuk mencadangkan tabel DynamoDB.

Cadangan waktu tertentu disimpan selama 35 hari. Jika persyaratan Anda adalah retensi yang lebih lama, lihat Menyiapkan pencadangan terjadwal untuk Amazon DynamoDB menggunakan AWS Backup dalam Dokumentasi AWS.

Rekomendasi: Pastikan pemulihan point-in-time (PITR) telah diaktifkan untuk semua tabel AWS DynamoDB

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk menetapkan PITR tabel DynamoDB, tetapkan blok point_in_time_recovery:

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  point_in_time_recovery {
    enabled = true
  }
}

Konsol AWS

Untuk mengaktifkan pemulihan point-in-time DynamoDB untuk tabel yang ada

  1. Buka konsol DynamoDB di https://console.aws.amazon.com/dynamodb/.
  2. Pilih tabel yang ingin Anda kerjakan, lalu pilih Pencadangan.
  3. Di bagian Pemulihan Point-in-time, di bawah Status, pilih Aktifkan.
  4. Pilih Aktifkan lagi untuk mengonfirmasi perubahan.

AWS CLI

aws dynamodb update-continuous-backups \
  --table-name "GameScoresOnDemand" \
  --point-in-time-recovery-specification "PointInTimeRecoveryEnabled=true"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Dynamodb Table Encrypted Kms

Nama kategori di API: DYNAMODB_TABLE_ENCRYPTED_KMS

Memeriksa apakah semua tabel DynamoDB dienkripsi dengan kunci KMS yang dikelola pelanggan (non-default).

Rekomendasi: Pastikan semua tabel DynamoDB dienkripsi dengan AWS Key Management Service (KMS)

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, buat Kunci AWS KMS dan gunakan untuk mengenkripsi resource DynamoDB yang melanggar.

resource "aws_kms_key" "dynamodb_encryption" {
  description         = "Used for DynamoDB encryption configuration"
  enable_key_rotation = true
}

resource "aws_dynamodb_table" "example" {
  # ... other configuration ...
  server_side_encryption {
    enabled     = true
    kms_key_arn = aws_kms_key.dynamodb_encryption.arn
  }
}

Konsol AWS

Dengan asumsi bahwa ada kunci AWS KMS yang tersedia untuk mengenkripsi DynamoDB.

Untuk mengubah enkripsi tabel DynamoDB menjadi kunci KMS yang dikelola dan dimiliki pelanggan.

  1. Buka konsol DynamoDB di https://console.aws.amazon.com/dynamodb/.
  2. Pilih tabel yang ingin Anda gunakan, lalu pilih Setelan tambahan.
  3. Di bagian Enkripsi, pilih Kelola enkripsi.
  4. Untuk Enkripsi dalam penyimpanan, pilih Disimpan di akun Anda, serta dimiliki dan dikelola oleh Anda.
  5. Pilih Kunci AWS untuk digunakan. Simpan perubahan.

AWS CLI

aws dynamodb update-table \
  --table-name <value> \
  --sse-specification "Enabled=true,SSEType=KMS,KMSMasterKeyId=<kms_key_arn>"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ebs Optimized Instance

Nama kategori di API: EBS_OPTIMIZED_INSTANCE

Memeriksa apakah pengoptimalan EBS diaktifkan untuk instance EC2 yang dapat dioptimalkan EBS

Rekomendasi: Pastikan pengoptimalan EBS telah diaktifkan untuk semua instance yang mendukung pengoptimalan EBS

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ebs Snapshot Public Restorable Check

Nama kategori di API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol akan gagal jika snapshot Amazon EBS dapat dipulihkan oleh siapa pun.

Snapshot EBS digunakan untuk mencadangkan data tentang volume EBS Anda ke Amazon S3 pada waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status volume EBS sebelumnya. Membagikan snapshot kepada publik sangatlah jarang. Biasanya keputusan untuk membagikan {i>snapshot<i} secara publik dibuat secara keliru atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua pembagian tersebut dilakukan secara terencana dan disengaja.

Rekomendasi: Ringkasan Amazon EBS tidak boleh dapat dipulihkan secara publik

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Untuk memperbaiki masalah ini, perbarui snapshot EBS Anda menjadi pribadi, bukan publik.

Untuk membuat snapshot EBS publik menjadi pribadi:

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, di bagian Elastic Block Store, pilih menu Snapshots, lalu pilih snapshot publik Anda.
  3. Dari Tindakan, pilih Ubah izin.
  4. Pilih Pribadi.
  5. (Opsional) Tambahkan nomor akun AWS dari akun yang diizinkan untuk membagikan snapshot Anda, lalu pilih Add Permission.
  6. Pilih Simpan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ebs Volume Encryption Enabled All Regions

Nama kategori di API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Elastic Compute Cloud (EC2) mendukung enkripsi dalam penyimpanan saat menggunakan layanan Elastic Block Store (EBS). Meskipun dinonaktifkan secara default, memaksa enkripsi pada pembuatan volume EBS didukung.

Rekomendasi: Pastikan Enkripsi Volume EBS Diaktifkan di semua Region

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Masuk ke Konsol Pengelolaan AWS dan buka konsol Amazon EC2 menggunakan https://console.aws.amazon.com/ec2/
  2. Di bagian Account attributes, klik EBS encryption.
  3. Klik Manage.
  4. Klik kotak centang Enable.
  5. Klik Update EBS encryption.
  6. Ulangi untuk setiap region yang memerlukan perubahan.

Catatan: Enkripsi volume EBS dikonfigurasi per region.

AWS CLI

  1. Jalankan aws --region <region> ec2 enable-ebs-encryption-by-default
  2. Pastikan "EbsEncryptionByDefault": true ditampilkan.
  3. Ulangi setiap region yang memerlukan perubahan.

Catatan: Enkripsi volume EBS dikonfigurasi per region.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Instances In Vpc

Nama kategori di API: EC2_INSTANCES_IN_VPC

Amazon VPC menyediakan lebih banyak fungsionalitas keamanan daripada EC2 Classic. Sebaiknya semua node dimiliki oleh Amazon VPC.

Rekomendasi: Pastikan semua instance dimiliki oleh VPC

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Jika memiliki Instance Klasik EC2 yang ditentukan di Terraform, Anda dapat memodifikasi resource untuk menjadi bagian dari VPC. Migrasi ini akan bergantung pada arsitektur yang paling sesuai dengan kebutuhan Anda. Berikut adalah contoh Terraform sederhana yang mengilustrasikan EC2 yang diekspos secara publik di VPC.

  resource "aws_vpc" "example_vpc" {
    cidr_block = "10.0.0.0/16"
  }

  resource "aws_subnet" "example_public_subnet" {
    vpc_id            = aws_vpc.example_vpc.id
    cidr_block        = "10.0.1.0/24"
    availability_zone = "1a"
  }

  resource "aws_internet_gateway" "example_igw" {
    vpc_id = aws_vpc.example_vpc.id
  }

  resource "aws_key_pair" "example_key" {
    key_name   = "web-instance-key"
    public_key = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD3F6tyPEFEzV0LX3X8BsXdMsQz1x2cEikKDEY0aIj41qgxMCP/iteneqXSIFZBp5vizPvaoIR3Um9xK7PGoW8giupGn+EPuxIA4cDM4vzOqOkiMPhz5XK0whEjkVzTo4+S0puvDZuwIsdiW9mxhJc7tgBNL0cYlWSYVkz4G/fslNfRPW5mYAM49f4fhtxPb5ok4Q2Lg9dPKVHO/Bgeu5woMc7RY0p1ej6D4CKFE6lymSDJpW0YHX/wqE9+cfEauh7xZcG0q9t2ta6F6fmX0agvpFyZo8aFbXeUBr7osSCJNgvavWbM/06niWrOvYX2xwWdhXmXSrbX8ZbabVohBK41 email@example.com"
  }

  resource "aws_security_group" "web_sg" {
    name   = "http and ssh"
    vpc_id = aws_vpc.some_custom_vpc.id

    ingress {
      from_port   = 80
      to_port     = 80
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    ingress {
      from_port   = 22
      to_port     = 22
      protocol    = "tcp"
      cidr_blocks = ["0.0.0.0/0"]
    }

    egress {
      from_port   = 0
      to_port     = 0
      protocol    = -1
      cidr_blocks = ["0.0.0.0/0"]
    }
  }

  resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    key_name               = aws_key_pair.example_key.name
    monitoring             = true
    subnet_id              = aws_subnet.example_public_subnet.id
    vpc_security_group_ids = [aws_security_group.web_sg.id]
    metadata_options {
      http_tokens = "required"
    }
  }

Konsol AWS

Untuk memigrasikan EC2 Klasik ke VPC, lihat Bermigrasi dari EC2-Klasik ke VPC

AWS CLI

Contoh AWS CLI ini menggambarkan infrastruktur yang sama yang ditentukan dengan Terraform. Ini adalah contoh sederhana dari instance EC2 yang diekspos secara publik di VPC

Membuat VPC

  aws ec2 create-vpc \
  --cidr-block 10.0.0.0/16

Buat Subnet Publik

  aws ec2 create-subnet \
  --availability-zone 1a \
  --cidr-block 10.0.1.0/24 \
  --vpc-id <id_from_create-vpc_command>

Buat Internet Gateway

  aws ec2 create-internet-gateway

Memasang Gateway Internet ke VPC

  aws ec2 attach-internet-gateway \
  --internet-gateway-id <id_from_create-internet-gateway_command> \
  --vpc-id <id_from_create-vpc_command>

Buat Pasangan Kunci - Tindakan ini akan menyimpan kunci pribadi Anda di /.ssh/web-instance-key.pem

  aws ec2 create-key-pair \
  --key-name web-instance-key \
  --query "KeyMaterial" \
  --output text > ~/.ssh/web-instance-key.pem && \
  chmod 400 ~/.ssh/web-instance-key.pem

Buat Grup Keamanan

  aws ec2 create-security-group \
  --group-name "http and ssh" \
  --vpc-id <id_from_create-vpc_command>

Membuat Aturan Grup Keamanan - Untuk akses yang lebih terbatas, tentukan CIDR yang lebih terbatas untuk SSH pada port 22

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 80 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-ingress \
  --group-id <id_from_create-security-group_command>
  --protocol tcp \
  --port 22 \
  --cidr 0.0.0.0/0

  aws ec2 authorize-security-group-egress \
  --group-id <id_from_create-security-group_command>
  --protocol -1 \
  --port 0 \
  --cidr 0.0.0.0/0

Membuat Instance EC2

  aws ec2 run-instances \
  --image-id <ami_id> \
  --instance-type <instance_flavor> \
  --metadata-options "HttpEndpoint=enabled,HttpTokens=required" \
  --monitoring true \
  --key-name web-instance-key \
  --subnet-id <id_from_create-subnet_command> \
  --security-group-ids <id_from_create-security-group_command>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Instance No Public Ip

Nama kategori di API: EC2_INSTANCE_NO_PUBLIC_IP

Instance EC2 yang memiliki alamat IP publik lebih berisiko disusupi. Sebaiknya instance EC2 tidak dikonfigurasi dengan alamat IP publik.

Rekomendasi: Pastikan tidak ada instance yang memiliki IP publik

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Gunakan argumen associate_public_ip_address = false dengan resource aws_instance untuk memastikan instance EC2 disediakan tanpa alamat IP publik


resource "aws_instance" "no_public_ip" {
  ...
  associate_public_ip_address = false
}

Konsol AWS

Secara default, subnet nondefault menetapkan atribut pengalamatan publik IPv4 ke salah (false), dan subnet default menyetel atribut ini ke benar (true). Pengecualiannya adalah subnet nondefault yang dibuat oleh wizard instance peluncuran Amazon EC2 — wizard menyetel atribut ke benar (true). Anda dapat mengubah atribut ini menggunakan konsol Amazon VPC.

Untuk mengubah perilaku pengalamatan IPv4 publik subnet Anda

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.
  2. Di panel navigasi, pilih Subnet.
  3. Pilih subnet Anda, lalu pilih Actions, Edit subnet settings.
  4. Kotak centang Enable auto-assign public IPv4 address, jika dipilih, akan meminta alamat IPv4 publik untuk semua instance yang diluncurkan ke subnet yang dipilih. Centang atau hapus centang pada kotak sesuai kebutuhan, lalu pilih Simpan.

AWS CLI

Perintah berikut menjalankan Instance EC2 dalam subnet default tanpa mengaitkan alamat IP publik ke instance tersebut.

aws ec2 run-instances \
--image-id <ami_id> \
--instance-type <instance_flavor> \
--no-associate-public-ip-address \
--key-name MyKeyPair

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Managedinstance Association Compliance Status Check

Nama kategori di API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Atribusi Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola. Konfigurasi menentukan status yang ingin Anda pertahankan pada instance Anda. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan pada instance Anda, atau port tertentu harus ditutup. Instance EC2 yang memiliki pengaitan dengan AWS Systems Manager berada di bawah pengelolaan Systems Manager yang memudahkan penerapan patch, memperbaiki kesalahan konfigurasi, dan merespons peristiwa keamanan.

Rekomendasi: Periksa status kepatuhan asosiasi pengelola sistem AWS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Contoh berikut menunjukkan cara membuat instance EC2 sederhana, Dokumen AWS Systems Manager (SSM) dan pengaitan antara SSM dan instance EC2. Dokumen yang didukung memiliki jenis Command dan Policy.

resource "aws_instance" "web" {
  ami           = "<iam_id>"
  instance_type = "<instance_flavor>"
}

resource "aws_ssm_document" "check_ip" {
  name          = "check-ip-config"
  document_type = "Command"

  content = <<DOC
  {
    "schemaVersion": "1.2",
    "description": "Check ip configuration of a Linux instance.",
    "parameters": {

    },
    "runtimeConfig": {
      "aws:runShellScript": {
        "properties": [
          {
            "id": "0.aws:runShellScript",
            "runCommand": ["ifconfig"]
          }
        ]
      }
    }
  }
DOC
}

resource "aws_ssm_association" "check_ip_association" {
  name = aws_ssm_document.check_ip.name

  targets {
    key    = "InstanceIds"
    values = [aws_instance.web.id]
  }
}

Konsol AWS

Untuk informasi tentang cara mengonfigurasi pengaitan dengan AWS Systems Manager menggunakan konsol, lihat Membuat Pengaitan dalam dokumentasi AWS Systems Manager.

AWS CLI

Membuat Dokumen SSM

aws ssm create-document \
--name <document_name> \
--content  file://path/to-file/document.json \
--document-type "Command"

Membuat Pengaitan SSM

aws ssm create-association \
--name <association_name> \
--targets "Key=InstanceIds,Values=<instance-id-1>,<instance-id-2>"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Managedinstance Patch Compliance Status Check

Nama kategori di API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Kontrol ini memeriksa apakah status kepatuhan asosiasi AWS Systems Manager adalah COMPLIANT atau NON_COMPLIANT setelah pengaitan dijalankan pada instance. Kontrol akan gagal jika status kepatuhan pengaitan adalah NON_COMPLIANT.

Atribusi Pengelola Status adalah konfigurasi yang ditetapkan ke instance terkelola. Konfigurasi menentukan status yang ingin Anda pertahankan pada instance Anda. Misalnya, pengaitan dapat menentukan bahwa software antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup.

Setelah Anda membuat satu atau beberapa pengaitan State Manager, informasi status kepatuhan akan langsung tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap perintah AWS CLI atau tindakan Systems Manager API yang sesuai. Untuk pengaitan, Kepatuhan Konfigurasi akan menampilkan status kepatuhan (Patuh atau Tidak mematuhi). Kategori ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti Kritis atau Sedang.

Untuk mempelajari lebih lanjut kepatuhan atribusi State Manager, lihat Tentang kepatuhan atribusi State Manager di Panduan Pengguna AWS Systems Manager.

Rekomendasi: Periksa status kepatuhan patch AWS Systems Manager

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Metadata Service Allows Imdsv2

Nama kategori di API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Saat mengaktifkan Layanan Metadata pada instance AWS EC2, pengguna memiliki opsi untuk menggunakan Instance Metadata Service Version 1 (IMDSv1; metode permintaan/respons) atau Instance Metadata Service Version 2 (IMDSv2; metode yang berorientasi pada sesi).

Rekomendasi: Pastikan Layanan Metadata EC2 hanya mengizinkan IMDSv2

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Ec2 Volume Inuse Check

Nama kategori di API: EC2_VOLUME_INUSE_CHECK

Mengidentifikasi dan menghapus volume Elastic Block Store (EBS) yang tidak terpasang (tidak digunakan) di akun AWS Anda untuk menurunkan biaya tagihan AWS bulanan Anda. Menghapus volume EBS yang tidak digunakan juga akan mengurangi risiko data rahasia/sensitif keluar dari premis Anda. Selain itu, kontrol ini juga memeriksa apakah instance EC2 diarsipkan dan dikonfigurasi untuk menghapus volume saat penghentian.

Secara default, instance EC2 dikonfigurasi untuk menghapus data dalam volume EBS yang terkait dengan instance, dan untuk menghapus volume EBS root instance. Namun, volume EBS non-root yang ditambahkan ke instance, saat peluncuran atau selama eksekusi, akan dipertahankan setelah penghentian secara default.

Rekomendasi: Periksa apakah volume EBS terpasang ke instance EC2 dan dikonfigurasi untuk penghapusan saat penghentian instance

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk mencegah skenario ini menggunakan Terraform, buat instance EC2 dengan blok EBS tersemat. Hal ini memastikan bahwa setiap blok EBS yang terkait dengan instance (bukan hanya root) akan dihapus pada saat penghentian instance dengan menetapkan atribut ebs_block_device.delete_on_termination secara default ke true.

resource "aws_instance" "web" {
    ami                    = <ami_id>
    instance_type          = <instance_flavor>
    ebs_block_device {
      delete_on_termination = true # Default
      device_name           = "/dev/sdh"
    }

Konsol AWS

Untuk menghapus volume EBS menggunakan konsol

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, pilih Volumes.
  3. Pilih volume yang akan dihapus, lalu pilih Tindakan, Hapus volume.
  4. Catatan: Jika opsi Hapus volume berwarna abu-abu, volume akan dipasang ke instance. Anda harus melepaskan volume dari instance sebelum dapat menghapusnya.
  5. Di kotak dialog konfirmasi, pilih Delete.

AWS CLI

Contoh perintah ini menghapus volume yang tersedia dengan ID volume vol-049df61146c4d7901. Jika perintah berhasil, tidak ada output yang ditampilkan.

aws ec2 delete-volume --volume-id vol-049df61146c4d7901

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Efs Encrypted Check

Nama kategori di API: EFS_ENCRYPTED_CHECK

Amazon EFS mendukung dua bentuk enkripsi untuk sistem file, enkripsi data dalam pengiriman dan enkripsi dalam penyimpanan. Tindakan ini memastikan bahwa semua sistem file EFS dikonfigurasi dengan enkripsi dalam penyimpanan di semua region yang diaktifkan dalam akun.

Rekomendasi: Periksa apakah EFS dikonfigurasi untuk mengenkripsi data file menggunakan KMS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Cuplikan kode berikut dapat digunakan untuk membuat EFS terenkripsi KMS (Catatan: Atribut kms_key_id bersifat opsional, dan kunci akan dibuat jika tidak ada ID kunci km yang diteruskan)

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-kms-encrypted-efs"
  encrypted      = true
  kms_key_id     = "arn:aws:kms:us-west-2:12344375555:key/16393ebd-3348-483f-b162-99b6648azz23"

  tags = {
    Name = "MyProduct"
  }
}

Konsol AWS

Untuk mengonfigurasi EFS dengan enkripsi menggunakan konsol AWS, lihat Mengenkripsi sistem file dalam penyimpanan menggunakan konsol.

AWS CLI

Penting untuk diperhatikan bahwa meskipun membuat EFS dari konsol secara default mengaktifkan enkripsi dalam penyimpanan, hal ini tidak berlaku untuk EFS yang dibuat menggunakan CLI, API, atau SDK. Contoh berikut memungkinkan Anda membuat sistem file terenkripsi di infrastruktur Anda.

aws efs create-file-system \
--backup \
--encrypted \
--region us-east-1 \

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Efs In Backup Plan

Nama kategori di API: EFS_IN_BACKUP_PLAN

Praktik terbaik Amazon merekomendasikan untuk mengonfigurasi cadangan untuk Sistem File Elastic (EFS). Tindakan ini akan memeriksa pencadangan yang diaktifkan pada semua EFS di setiap region yang diaktifkan dalam akun AWS Anda.

Rekomendasi: Periksa apakah sistem file EFS disertakan dalam paket AWS Backup

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Gunakan resource aws_efs_backup_policy untuk mengonfigurasi kebijakan pencadangan untuk sistem file EFS.

resource "aws_efs_file_system" "encrypted-efs" {
  creation_token = "my-encrypted-efs"
  encrypted      = true

  tags = merge({
    Name = "${local.resource_prefix.value}-efs"
    }, {
    git_file             = "terraform/aws/efs.tf"
    git_org              = "your_git_org"
    git_repo             = "your_git_repo"
  })
}

resource "aws_efs_backup_policy" "policy" {
  file_system_id = aws_efs_file_system.encrypted-efs.id

  backup_policy {
    status = "ENABLED"
  }
}

Konsol AWS

Ada dua opsi untuk mencadangkan EFS: layanan AWS Backup dan solusi pencadangan EFS-to-EFS. Untuk memperbaiki EFS yang tidak dicadangkan menggunakan konsol, lihat:

  1. Menggunakan Pencadangan AWS untuk mencadangkan dan memulihkan sistem file Amazon EFS
  2. Pencadangan EFS-ke-EFS

AWS CLI

Ada beberapa opsi untuk membuat sistem file EFS yang sesuai dengan menggunakan CLI:

  1. Buat EFS dengan pencadangan otomatis diaktifkan (default untuk penyimpanan One Zone dan kondisional untuk ketersediaan pencadangan di Region AWS)
  2. Buat EFS dan tempatkan kebijakan cadangan

Namun, dengan asumsi perbaikan tersebut perlu terjadi di EFS yang ada, opsi terbaik adalah membuat kebijakan cadangan dan mengaitkannya ke EFS yang tidak mematuhi kebijakan. Anda memerlukan satu perintah untuk setiap EFS di infrastruktur Anda.

arr=( $(aws efs describe-file-systems | jq -r '.FileSystems[].FileSystemId') )
for efs in "${arr[@]}"
do
  aws efs put-backup-policy \
  --file-system-id "${efs}" \
  --backup-policy "Status=ENABLED"
done

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Elb Acm Certificate Required

Nama kategori di API: ELB_ACM_CERTIFICATE_REQUIRED

Memeriksa apakah Load Balancer Klasik menggunakan sertifikat HTTPS/SSL yang disediakan oleh AWS Certificate Manager (ACM). Kontrol akan gagal jika Load Balancer Klasik yang dikonfigurasi dengan pemroses HTTPS/SSL tidak menggunakan sertifikat yang disediakan oleh ACM.

Untuk membuat sertifikat, Anda dapat menggunakan ACM atau alat yang mendukung protokol SSL dan TLS, seperti OpenSSL. Hub Keamanan merekomendasikan agar Anda menggunakan ACM untuk membuat atau mengimpor sertifikat untuk load balancer.

ACM terintegrasi dengan Load Balancer Klasik sehingga Anda dapat men-deploy sertifikat di load balancer. Anda juga harus memperpanjang sertifikat ini secara otomatis.

Rekomendasi: Pastikan semua Load Balancer Klasik menggunakan sertifikat SSL yang disediakan oleh AWS Certificate Manager

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Elb Deletion Protection Enabled

Nama kategori di API: ELB_DELETION_PROTECTION_ENABLED

Memeriksa apakah Load Balancer Aplikasi telah mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan tidak dikonfigurasi.

Aktifkan perlindungan penghapusan untuk melindungi Load Balancer Aplikasi Anda dari penghapusan.

Rekomendasi: Perlindungan penghapusan Load Balancer Aplikasi harus diaktifkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Agar load balancer tidak dihapus secara tidak sengaja, Anda dapat mengaktifkan perlindungan penghapusan. Secara default, perlindungan penghapusan dinonaktifkan untuk load balancer Anda.

Jika mengaktifkan perlindungan penghapusan untuk load balancer, Anda harus menonaktifkan perlindungan penghapusan sebelum dapat menghapus load balancer.

Untuk mengaktifkan perlindungan penghapusan dari konsol.

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, di bagian LOAD BALANCING, pilih Load Balancer.
  3. Pilih load balancer.
  4. Pada tab Deskripsi, pilih Edit atribut.
  5. Di halaman Edit load balancer attribute, pilih Enable for Delete Protection, lalu pilih Save.
  6. Pilih Simpan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Elb Logging Enabled

Nama kategori di API: ELB_LOGGING_ENABLED

Tindakan ini akan memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik telah mengaktifkan logging. Kontrol gagal jika access_logs.s3.enabled bernilai false.

Elastic Load Balancing menyediakan log akses yang merekam informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola traffic dan memecahkan masalah.

Untuk mempelajari lebih lanjut, baca artikel Mengakses log untuk Load Balancer Klasik di Panduan Pengguna untuk Load Balancer Klasik.

Rekomendasi: Periksa apakah load balancer klasik dan aplikasi telah mengaktifkan logging

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Untuk memperbaiki masalah ini, perbarui load balancer untuk mengaktifkan logging.

Untuk mengaktifkan log akses

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, pilih Load balancers.
  3. Pilih Load Balancer Aplikasi atau Load Balancer Klasik.
  4. Dari Tindakan, pilih Edit atribut.
  5. Di bagian Akses log, pilih Aktifkan.
  6. Masukkan lokasi S3 Anda. Lokasi ini dapat sudah ada atau dapat dibuat untuk Anda. Jika Anda tidak menentukan awalan, log akses akan disimpan di root bucket S3.
  7. Pilih Simpan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Elb Tls Https Listeners Only

Nama kategori di API: ELB_TLS_HTTPS_LISTENERS_ONLY

Pemeriksaan ini memastikan semua Load Balancer Klasik dikonfigurasi untuk menggunakan komunikasi yang aman.

Pemroses adalah proses yang memeriksa permintaan koneksi. Otorisasi ini dikonfigurasi dengan protokol dan port untuk koneksi front-end (klien ke load balancer) dan protokol serta port untuk koneksi back-end (load balancer ke instance). Untuk mengetahui informasi tentang port, protokol, dan konfigurasi pemroses yang didukung oleh Load Balancing Elastic, lihat Pemroses untuk Load Balancer Klasik Anda.

Rekomendasi: Pastikan semua Load Balancer Klasik dikonfigurasi dengan pemroses SSL atau HTTPS

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Encrypted Volumes

Nama kategori di API: ENCRYPTED_VOLUMES

Memeriksa apakah volume EBS yang berada dalam status terpasang telah dienkripsi. Agar lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, volume tersebut tidak tunduk pada pemeriksaan ini.

Untuk lapisan keamanan tambahan pada data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS dalam penyimpanan. Enkripsi Amazon EBS menawarkan solusi enkripsi yang mudah untuk resource EBS yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur pengelolaan kunci Anda sendiri. Layanan ini menggunakan kunci KMS saat membuat volume dan snapshot terenkripsi.

Untuk mempelajari lebih lanjut enkripsi Amazon EBS, lihat enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instance Linux.

Rekomendasi: Volume Amazon EBS yang disertakan harus dienkripsi dalam penyimpanan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Tidak ada cara langsung untuk mengenkripsi volume atau snapshot yang tidak dienkripsi. Anda hanya dapat mengenkripsi volume atau snapshot baru saat membuatnya.

Jika Anda mengaktifkan enkripsi secara default, Amazon EBS akan mengenkripsi volume atau snapshot baru yang dihasilkan menggunakan kunci default Anda untuk enkripsi Amazon EBS. Meskipun tidak mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat membuat snapshot atau volume satu per satu. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk enkripsi Amazon EBS dan memilih kunci simetris yang dikelola pelanggan.

Untuk informasi selengkapnya, lihat Membuat volume Amazon EBS dan Menyalin snapshot Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instance Linux.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Encryption At Rest Enabled Rds Instances

Nama kategori di API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Instance DB terenkripsi Amazon RDS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data di server yang menghosting instance Amazon RDS DB Anda. Setelah data Anda dienkripsi, Amazon RDS akan menangani autentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal terhadap performa.

Rekomendasi: Pastikan enkripsi dalam penyimpanan diaktifkan untuk Instance RDS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Masuk ke Konsol Pengelolaan AWS dan buka dasbor RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi kiri, klik Databases
  3. Pilih instance Database yang perlu dienkripsi.
  4. Klik tombol Actions yang terletak di kanan atas, lalu pilih Take Snapshot.
  5. Di halaman Take Snapshot, masukkan nama database yang ingin Anda ambil snapshotnya di kolom Snapshot Name, lalu klik Take Snapshot.
  6. Pilih snapshot yang baru dibuat, lalu klik tombol Action yang terletak di kanan atas, lalu pilih Copy snapshot dari menu Action.
  7. Di halaman Make Copy of DB Snapshot, lakukan hal berikut:
  • Di kolom ID Snapshot DB Baru, masukkan nama untuk new snapshot.
  • Periksa Copy Tags, Snapshot baru harus memiliki tag yang sama dengan snapshot sumber.
  • Pilih Yes dari daftar dropdown Enable Encryption untuk mengaktifkan enkripsi, Anda dapat memilih untuk menggunakan kunci enkripsi default AWS atau kunci kustom dari daftar dropdown Kunci Master.
  1. Klik Copy Snapshot untuk membuat salinan terenkripsi dari snapshot instance yang dipilih.
  2. Pilih Snapshot Encrypted Copy yang baru lalu klik tombol Action yang terletak di kanan atas, lalu pilih tombol Restore Snapshot dari menu Action. Tindakan ini akan memulihkan snapshot terenkripsi ke instance database baru.
  3. Pada halaman Restore DB Instance, masukkan nama unik untuk instance database baru di kolom ID Instance DB.
  4. Tinjau detail konfigurasi instance, lalu klik Restore DB Instance.
  5. Saat proses penyediaan instance baru selesai, konfigurasi aplikasi dapat diperbarui agar merujuk ke endpoint instance database Terenkripsi yang baru. Setelah endpoint database diubah di tingkat aplikasi, instance yang tidak dienkripsi dapat dihapus.

AWS CLI

  1. Jalankan perintah describe-db-instances untuk mencantumkan semua nama database RDS yang tersedia di region AWS yang dipilih. Output perintah akan menampilkan ID instance database. aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'
  2. Jalankan perintah create-db-snapshot untuk membuat snapshot bagi instance database yang dipilih. Output perintah akan menampilkan new snapshot dengan nama Nama Snapshot DB. aws rds create-db-snapshot --region <region-name> --db-snapshot-identifier <DB-Snapshot-Name> --db-instance-identifier <DB-Name>
  3. Sekarang, jalankan perintah list-aliases untuk menampilkan alias kunci KMS yang tersedia di region tertentu. Output perintah akan menampilkan setiap key alias currently available. Untuk proses aktivasi enkripsi RDS kami, cari ID kunci KMS default AWS. aws kms list-aliases --region <region-name>
  4. Jalankan perintah copy-db-snapshot menggunakan ID kunci KMS default untuk instance RDS yang ditampilkan sebelumnya guna membuat salinan terenkripsi snapshot instance database. Output perintah akan menampilkan encrypted instance snapshot configuration. aws rds copy-db-snapshot --region <region-name> --source-db-snapshot-identifier <DB-Snapshot-Name> --target-db-snapshot-identifier <DB-Snapshot-Name-Encrypted> --copy-tags --kms-key-id <KMS-ID-For-RDS>
  5. Jalankan perintah restore-db-instance-from-db-snapshot untuk memulihkan snapshot terenkripsi yang dibuat pada langkah sebelumnya ke instance database baru. Jika berhasil, output perintah akan menampilkan konfigurasi instance database terenkripsi baru. aws rds restore-db-instance-from-db-snapshot --region <region-name> --db-instance-identifier <DB-Name-Encrypted> --db-snapshot-identifier <DB-Snapshot-Name-Encrypted>
  6. Jalankan perintah describe-db-instances untuk menampilkan daftar semua nama database RDS, yang tersedia di region AWS yang dipilih. Output akan menampilkan nama ID instance database Pilih nama database terenkripsi yang baru saja kita buat DB-Name-Encrypted. aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'
  7. Jalankan lagi perintah describe-db-instances menggunakan ID instance RDS yang ditampilkan sebelumnya, untuk menentukan apakah instance database yang dipilih dienkripsi atau tidak, Output perintah harus menampilkan status enkripsi True. aws rds describe-db-instances --region <region-name> --db-instance-identifier <DB-Name-Encrypted> --query 'DBInstances[*].StorageEncrypted'

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Encryption Enabled Efs File Systems

Nama kategori di API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Data EFS harus dienkripsi saat dalam penyimpanan menggunakan AWS KMS (Key Management Service).

Rekomendasi: Pastikan enkripsi diaktifkan untuk sistem file EFS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS dan Buka dasbor Elastic File System (EFS).
  2. Pilih File Systems dari panel navigasi kiri.
  3. Klik tombol Create File System dari menu atas dasbor untuk memulai proses penyiapan sistem file.
  4. Di halaman konfigurasi Configure file system access, lakukan tindakan berikut.
  5. Pilih VPC yang tepat dari daftar dropdown VPC.
  6. Di bagian Create mount targets, pilih kotak centang untuk semua Availability Zone (AZ) dalam VPC yang dipilih. Ini akan menjadi target pemasangan Anda.
  7. Klik Next step untuk melanjutkan.

  8. Lakukan tindakan berikut di halaman Configure optional settings.

  9. Buat tags untuk mendeskripsikan sistem file baru Anda.

  10. Pilih performance mode berdasarkan persyaratan Anda.

  11. Centang kotak Enable encryption lalu pilih aws/elasticfilesystem dari daftar dropdown kunci master Pilih KMS guna mengaktifkan enkripsi untuk sistem file baru menggunakan kunci master default yang disediakan dan dikelola oleh AWS KMS.

  12. Klik Next step untuk melanjutkan.

  13. Tinjau detail konfigurasi sistem file di halaman review and create, lalu klik Create File System untuk membuat sistem file AWS EFS baru Anda.

  14. Salin data dari sistem file EFS lama yang tidak dienkripsi ke sistem file terenkripsi yang baru dibuat.

  15. Hapus sistem file yang tidak dienkripsi segera setelah migrasi data ke sistem file terenkripsi yang baru dibuat selesai.

  16. Ubah region AWS dari menu navigasi dan ulangi seluruh proses untuk region aws lainnya.

Dari CLI: 1. Jalankan perintah explain-file-systems untuk menjelaskan informasi konfigurasi yang tersedia bagi sistem file yang dipilih (tidak dienkripsi) (lihat bagian Audit untuk mengidentifikasi resource yang tepat):

aws efs describe-file-systems --region <region> --file-system-id <file-system-id from audit section step 2 output>
  1. Output perintah akan menampilkan informasi konfigurasi yang diminta.
  2. Untuk menyediakan sistem file AWS EFS yang baru, Anda harus membuat universally unique identifier (UUID) untuk membuat token yang diperlukan oleh perintah create-file-system. Untuk membuat token yang diperlukan, Anda dapat menggunakan UUID yang dibuat secara acak dari "https://www.uuidgenerator.net".
  3. Jalankan perintah create-file-system menggunakan token unik yang dibuat pada langkah sebelumnya. aws efs create-file-system --region <region> --creation-token <Token (randomly generated UUID from step 3)> --performance-mode generalPurpose --encrypted
  4. Output perintah akan menampilkan metadata konfigurasi sistem file baru.
  5. Jalankan perintah create-mount-target menggunakan ID sistem file EFS yang baru dibuat dan ditampilkan di langkah sebelumnya sebagai ID dan ID Zona Ketersediaan (AZ) yang akan mewakili target pemasangan:
aws efs create-mount-target --region <region> --file-system-id <file-system-id> --subnet-id <subnet-id>
  1. Output perintah akan menampilkan metadata target pemasangan yang baru.
  2. Sekarang Anda dapat memasang sistem file dari instance EC2.
  3. Salin data dari sistem file EFS lama yang tidak dienkripsi ke sistem file terenkripsi yang baru dibuat.
  4. Hapus sistem file yang tidak dienkripsi segera setelah migrasi data ke sistem file terenkripsi yang baru dibuat selesai. aws efs delete-file-system --region <region> --file-system-id <unencrypted-file-system-id>
  5. Ubah region AWS dengan memperbarui --region dan ulangi seluruh proses untuk region aws lainnya.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam Password Policy

Nama kategori di API: IAM_PASSWORD_POLICY

AWS memungkinkan kebijakan sandi kustom di akun AWS Anda untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk sandi pengguna IAM Anda. Jika Anda tidak menetapkan kebijakan sandi kustom, sandi pengguna IAM harus memenuhi kebijakan sandi AWS default. Praktik terbaik keamanan AWS merekomendasikan persyaratan kompleksitas sandi berikut:

  • Wajibkan setidaknya satu karakter huruf besar dalam sandi.
  • Wajibkan setidaknya satu karakter huruf kecil dalam sandi.
  • Wajibkan setidaknya satu simbol dalam sandi.
  • Wajibkan setidaknya satu angka dalam sandi.
  • Wajibkan panjang kata sandi minimal 14 karakter.
  • Wajibkan setidaknya 24 sandi sebelum mengizinkan penggunaan ulang.
  • Wajibkan setidaknya 90 sebelum kedaluwarsa sandi

Kontrol ini memeriksa semua persyaratan kebijakan sandi yang ditentukan.

Rekomendasi: Memeriksa apakah kebijakan sandi akun untuk pengguna IAM memenuhi persyaratan yang ditentukan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_iam_account_password_policy" "strict" {
  allow_users_to_change_password = true
  require_uppercase_characters   = true
  require_lowercase_characters   = true
  require_symbols                = true
  require_numbers                = true
  minimum_password_length        = 14
  password_reuse_prevention      = 24
  max_password_age               = 90
}

Konsol AWS

Untuk membuat kebijakan sandi khusus

  1. Masuk ke Konsol Pengelolaan dan buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, pilih Setelan akun.
  3. Di bagian Kebijakan sandi, pilih Ubah kebijakan sandi.
  4. Pilih opsi yang ingin Anda terapkan ke kebijakan sandi, lalu pilih Simpan perubahan.

Untuk mengubah kebijakan sandi kustom

  1. Masuk ke Konsol Pengelolaan dan buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, pilih Setelan akun.
  3. Di bagian Kebijakan sandi, pilih Ubah.
  4. Pilih opsi yang ingin Anda terapkan ke kebijakan sandi, lalu pilih Simpan perubahan.

AWS CLI

aws iam update-account-password-policy \
--allow-users-to-change-password \
--require-uppercase-characters \
--require-lowercase-characters \
--require-symbols \
--require-numbers \
--minimum-password-length 14 \
--password-reuse-prevention 24 \
--max-password-age 90

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam Password Policy Prevents Password Reuse

Nama kategori di API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Kebijakan sandi IAM dapat mencegah penggunaan ulang sandi tertentu oleh pengguna yang sama. Sebaiknya gunakan kebijakan sandi untuk mencegah penggunaan ulang sandi.

Rekomendasi: Pastikan kebijakan sandi IAM mencegah penggunaan ulang sandi

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol AWS (dengan izin yang sesuai untuk Melihat Setelan Akun Pengelolaan Akses Identitas)
  2. Buka Layanan IAM di Konsol AWS
  3. Klik Setelan Akun di Panel Kiri
  4. Centang "Cegah penggunaan ulang sandi"
  5. Setel "Jumlah sandi yang akan diingat" disetel ke 24

AWS CLI

 aws iam update-account-password-policy --password-reuse-prevention 24

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam Password Policy Requires Minimum Length 14 Greater

Nama kategori di API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Kebijakan {i>password<i}, sebagian, digunakan untuk menegakkan persyaratan kompleksitas {i>password<i}. Kebijakan sandi IAM dapat digunakan untuk memastikan panjang sandi setidaknya ditetapkan. Kebijakan sandi sebaiknya memerlukan panjang sandi minimal 14.

Rekomendasi: Pastikan kebijakan sandi IAM mewajibkan panjang minimum 14 karakter atau lebih

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol AWS (dengan izin yang sesuai untuk Melihat Setelan Akun Pengelolaan Akses Identitas)
  2. Buka Layanan IAM di Konsol AWS
  3. Klik Setelan Akun di Panel Kiri
  4. Setel "Panjang sandi minimum" ke 14 atau lebih tinggi.
  5. Klik "Terapkan kebijakan sandi"

AWS CLI

 aws iam update-account-password-policy --minimum-password-length 14

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam Policies Allow Full Administrative Privileges Attached

Nama kategori di API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Kebijakan IAM adalah cara yang digunakan untuk memberikan hak istimewa kepada pengguna, grup, atau peran. Saran keamanan ini direkomendasikan dan dianggap sebagai saran keamanan standar untuk memberikan hak istimewa terendah, yaitu hanya memberikan izin yang diperlukan untuk melakukan tugas. Menentukan tindakan yang perlu dilakukan pengguna, lalu buat kebijakan untuk mereka yang memungkinkan pengguna hanya melakukan tugas tersebut, bukan mengizinkan hak istimewa administratif penuh.

Rekomendasi: Pastikan kebijakan IAM yang mengizinkan hak istimewa administratif ":" penuh tidak dilampirkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Lakukan tindakan berikut untuk melepaskan kebijakan yang memiliki hak istimewa administratif penuh:

  1. Login ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, klik Kebijakan, lalu telusuri nama kebijakan yang ditemukan di langkah audit.
  3. Pilih kebijakan yang perlu dihapus.
  4. Di menu tindakan kebijakan, pilih Detach pertama
  5. Pilih semua Pengguna, Grup, Peran yang melampirkan kebijakan ini
  6. Klik Detach Policy.
  7. Di menu tindakan kebijakan, pilih Detach

AWS CLI

Lakukan tindakan berikut untuk melepaskan kebijakan yang memiliki hak istimewa administratif penuh seperti yang terdapat pada langkah audit:

  1. Mencantumkan semua pengguna, grup, dan peran IAM yang dilampirkan pada kebijakan terkelola yang ditentukan.
 aws iam list-entities-for-policy --policy-arn <policy_arn>
  1. Lepaskan kebijakan dari semua Pengguna IAM:
 aws iam detach-user-policy --user-name <iam_user> --policy-arn <policy_arn>
  1. Lepaskan kebijakan dari semua Grup IAM:
 aws iam detach-group-policy --group-name <iam_group> --policy-arn <policy_arn>
  1. Lepaskan kebijakan dari semua Peran IAM:
 aws iam detach-role-policy --role-name <iam_role> --policy-arn <policy_arn>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam Users Receive Permissions Groups

Nama kategori di API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Pengguna IAM diberi akses ke layanan, fungsi, dan data melalui kebijakan IAM. Ada empat cara untuk menentukan kebijakan bagi pengguna: 1) Mengedit kebijakan pengguna secara langsung, alias inline, atau kebijakan pengguna; 2) melampirkan kebijakan secara langsung ke pengguna; 3) menambahkan pengguna ke grup IAM yang memiliki kebijakan terlampir; 4) menambahkan pengguna ke grup IAM yang memiliki kebijakan inline.

Hanya penerapan ketiga yang direkomendasikan.

Rekomendasi: Pastikan Pengguna IAM Menerima Izin Hanya Melalui Grup

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam User Group Membership Check

Nama kategori di API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Pengguna IAM harus selalu menjadi bagian dari grup IAM untuk mematuhi praktik terbaik keamanan IAM.

Dengan menambahkan pengguna ke grup, kebijakan dapat diterapkan di antara jenis pengguna.

Rekomendasi: Memeriksa apakah pengguna IAM adalah anggota dari setidaknya satu grup IAM

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_iam_user" "example" {
  name = "test-iam-user"
  path = "/users/dev/"
}

resource "aws_iam_group" "example" {
  name = "Developers"
  path = "/users/dev/"
}

resource "aws_iam_user_group_membership" "example" {
  user   = aws_iam_user.example.name
  groups = [aws_iam_group.example.name]
}

Konsol AWS

Saat Anda menggunakan Konsol Pengelolaan AWS untuk menghapus pengguna IAM, IAM akan otomatis menghapus informasi berikut untuk Anda:

  1. Pengguna
  2. Semua keanggotaan grup pengguna—yaitu, pengguna dihapus dari grup pengguna IAM tempat pengguna tersebut menjadi anggota
  3. Sandi apa pun yang terkait dengan pengguna
  4. Semua kunci akses milik pengguna
  5. Semua kebijakan inline yang disematkan pada pengguna (kebijakan yang diterapkan ke pengguna melalui izin grup pengguna tidak akan terpengaruh)

Untuk menghapus pengguna IAM:

  1. Masuk ke Konsol Pengelolaan dan buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, pilih Users, kemudian centang kotak di samping nama pengguna yang ingin dihapus.
  3. Di bagian atas halaman, pilih Hapus.
  4. Di kotak dialog konfirmasi, masukkan nama pengguna di kolom input teks untuk mengonfirmasi penghapusan pengguna.
  5. Pilih Hapus.

Untuk menambahkan pengguna ke grup pengguna IAM:

  1. Masuk ke Konsol Pengelolaan dan buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi, pilih User groups, lalu pilih nama grup.
  3. Pilih tab {i>Users<i} dan pilih {i>Add users<i}. Centang kotak di samping pengguna yang ingin ditambahkan.
  4. Pilih Tambahkan pengguna.

AWS CLI

Tidak seperti Amazon Web Services Management Console, saat menghapus pengguna secara terprogram, Anda harus menghapus item yang dilampirkan ke pengguna secara manual, atau penghapusan akan gagal.

Sebelum mencoba menghapus pengguna, hapus item berikut:

  1. Sandi ( DeleteLoginProfile )
  2. Kunci akses ( DeleteAccessKey )
  3. Menandatangani sertifikat ( Delete SigningCertificate )
  4. Kunci publik SSH ( DeleteSSHPublicKey )
  5. Kredensial Git ( DeleteServiceSpecificCredential )
  6. Perangkat autentikasi multi-faktor (MFA) ( DisableMFADevice , DeleteVirtualMFADevice )
  7. Kebijakan sebaris ( DeleteUserPolicy )
  8. Kebijakan terkelola terlampir ( DetachUserPolicy )
  9. Keanggotaan grup ( RemoveUserFromGroup )

Untuk menghapus pengguna, setelah menghapus semua item yang dilampirkan ke pengguna:

aws iam delete-user \
  --user-name "test-user"

Untuk menambahkan pengguna IAM ke grup IAM:

aws iam add-user-to-group \
  --group-name "test-group"
  --user-name "test-user"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam User Mfa Enabled

Nama kategori di API: IAM_USER_MFA_ENABLED

Autentikasi multi-faktor (MFA) adalah praktik terbaik yang menambahkan lapisan perlindungan tambahan selain nama dan sandi pengguna. Dengan MFA, saat pengguna login ke AWS Management Console, mereka diwajibkan untuk memberikan kode autentikasi sensitif waktu, yang disediakan oleh perangkat virtual atau fisik yang terdaftar.

Rekomendasi: Periksa apakah pengguna IAM AWS telah mengaktifkan autentikasi multi-faktor (MFA)

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Terkait Terraform, ada beberapa opsi untuk memperbaiki tidak adanya perangkat MFA. Anda mungkin sudah memiliki struktur yang masuk akal untuk mengatur pengguna ke dalam grup dan kebijakan yang ketat.

Contoh berikut menunjukkan cara:

  1. Membuat pengguna.
  2. Buat profil login pengguna dengan kunci Publik PGP.
  3. Buat kebijakan grup dan grup yang memungkinkan pengelolaan profil IAM secara mandiri.
  4. Melampirkan pengguna ke grup.
  5. Membuat perangkat MFA Virtual untuk pengguna.
  6. Berikan kode QR output dan sandi kepada setiap pengguna.
variable "users" {
  type = set(string)
  default = [
    "test@example.com",
    "test2@example.com"
  ]
}

resource "aws_iam_user" "test_users" {
  for_each = toset(var.users)
  name     = each.key
}

resource "aws_iam_user_login_profile" "test_users_profile" {
  for_each                = var.users
  user                    = each.key
  # Key pair created using GnuPG, this is the public key
  pgp_key = file("path/to/gpg_pub_key_base64.pem")
  password_reset_required = true
  lifecycle {
    ignore_changes = [
      password_length,
      password_reset_required,
      pgp_key,
    ]
  }
}

resource "aws_iam_virtual_mfa_device" "test_mfa" {
  for_each                = toset(var.users)
  virtual_mfa_device_name = each.key
}

resource "aws_iam_group" "enforce_mfa_group" {
  name = "EnforceMFAGroup"
}

resource "aws_iam_group_membership" "enforce_mfa_group_membership" {
  name  = "EnforceMFAGroupMembership"
  group = aws_iam_group.enforce_mfa_group.name
  users = [for k in aws_iam_user.test_users : k.name]
}

resource "aws_iam_group_policy" "enforce_mfa_policy" {
  name   = "EnforceMFAGroupPolicy"
  group  = aws_iam_group.enforce_mfa_group.id
  policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "AllowViewAccountInfo",
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:ListVirtualMFADevices"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowManageOwnPasswords",
        "Effect": "Allow",
        "Action": [
            "iam:ChangePassword",
            "iam:GetUser"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnAccessKeys",
        "Effect": "Allow",
        "Action": [
            "iam:CreateAccessKey",
            "iam:DeleteAccessKey",
            "iam:ListAccessKeys",
            "iam:UpdateAccessKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSigningCertificates",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSigningCertificate",
            "iam:ListSigningCertificates",
            "iam:UpdateSigningCertificate",
            "iam:UploadSigningCertificate"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnSSHPublicKeys",
        "Effect": "Allow",
        "Action": [
            "iam:DeleteSSHPublicKey",
            "iam:GetSSHPublicKey",
            "iam:ListSSHPublicKeys",
            "iam:UpdateSSHPublicKey",
            "iam:UploadSSHPublicKey"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnGitCredentials",
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceSpecificCredential",
            "iam:DeleteServiceSpecificCredential",
            "iam:ListServiceSpecificCredentials",
            "iam:ResetServiceSpecificCredential",
            "iam:UpdateServiceSpecificCredential"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnVirtualMFADevice",
        "Effect": "Allow",
        "Action": [
            "iam:CreateVirtualMFADevice",
            "iam:DeleteVirtualMFADevice"
        ],
        "Resource": "arn:aws:iam::*:mfa/$${aws:username}"
    },
    {
        "Sid": "AllowManageOwnUserMFA",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice",
            "iam:EnableMFADevice",
            "iam:ListMFADevices",
            "iam:ResyncMFADevice"
        ],
        "Resource": "arn:aws:iam::*:user/$${aws:username}"
    },
    {
        "Sid": "DenyAllExceptListedIfNoMFA",
        "Effect": "Deny",
        "NotAction": [
            "iam:CreateVirtualMFADevice",
            "iam:EnableMFADevice",
            "iam:GetUser",
            "iam:ListMFADevices",
            "iam:ListVirtualMFADevices",
            "iam:ResyncMFADevice",
            "sts:GetSessionToken"
        ],
        "Resource": "*",
        "Condition": {
            "BoolIfExists": {
                "aws:MultiFactorAuthPresent": "false"
            }
        }
    }
  ]
}
POLICY
}

output "user_password_map" {
  # Outputs a map in the format {"test@example.com": <PGPEncryptedPassword>, "test2@example.com": <PGPEncryptedPassword>}
  value = { for k, v in aws_iam_user_login_profile.test_users_profile : k => v.password }
}

output "user_qr_map" {
  # Outputs a map in the format {"test@example.com": <QRCode>, "test2@example.com": <QRCode>}
  value = { for k, v in aws_iam_virtual_mfa_device.test_mfa : k => v.qr_code_png }
}

Konsol AWS

Untuk mengaktifkan MFA bagi akun pengguna dengan akses konsol AWS, lihat Mengaktifkan perangkat (konsol) autentikasi multi-faktor virtual (MFA) dalam dokumentasi AWS.

**

AWS CLI

Membuat perangkat MFA

aws iam create-virtual-mfa-device \
  --virtual-mfa-device-name "test@example.com" \
  --outfile ./QRCode.png \
  --bootstrap-method QRCodePNG

Aktifkan perangkat MFA untuk pengguna yang ada

aws iam enable-mfa-device \
  --user-name "test@example.com" \
  --serial-number "arn:aws:iam::123456976749:mfa/test@example.com" \
  --authentication-code1 123456 \
  --authentication-code2 654321

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Iam User Unused Credentials Check

Nama kategori di API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Tindakan ini akan memeriksa apakah ada sandi IAM atau kunci akses aktif yang tidak digunakan dalam 90 hari terakhir.

Praktik terbaik merekomendasikan agar Anda menghapus, menonaktifkan, atau merotasi semua kredensial yang tidak digunakan selama 90 hari atau lebih. Tindakan ini akan mengurangi periode peluang penggunaan kredensial yang terkait dengan akun yang disusupi atau diabaikan.

Rekomendasi: Memeriksa apakah semua pengguna IAM AWS memiliki sandi atau kunci akses aktif yang belum digunakan dalam hari maxCredentialUsageAge (default 90)

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk menghapus Kunci Akses yang masa berlakunya telah berakhir yang dibuat melalui Terraform, hapus resource aws_iam_access_key dari modul Anda dan terapkan perubahannya.

Untuk mereset sandi login pengguna IAM, gunakan -replace saat menjalankan terraform apply.

Menganggap profil login pengguna berikut

resource "aws_iam_user" "example" {
  name          = "test@example.com"
  path          = "/users/"
  force_destroy = true
}

resource "aws_iam_user_login_profile" "example" {
  user    = aws_iam_user.example.name
  pgp_key = "keybase:some_person_that_exists"
}

Jalankan perintah berikut untuk mereset sandi profil login pengguna

terraform apply -replace="aws_iam_user_login_profile.example"

Konsol AWS

Untuk menonaktifkan kredensial akun yang tidak aktif:

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Pilih Pengguna.
  3. Pilih nama pengguna yang memiliki kredensial yang sudah lebih dari 90 hari/terakhir digunakan.
  4. Pilih Kredensial keamanan.
  5. Untuk setiap kredensial login dan kunci akses yang belum digunakan dalam setidaknya 90 hari, pilih Nonaktifkan.

Untuk mewajibkan sandi baru dari pengguna konsol pada login berikutnya:

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Pilih Pengguna.
  3. Pilih nama pengguna yang memiliki kredensial yang sudah lebih dari 90 hari/terakhir digunakan.
  4. Pilih Kredensial keamanan.
  5. Di bagian Kredensial login dan sandi konsol, pilih Kelola.
  6. Tetapkan sandi baru (dibuat secara otomatis atau kustom).
  7. Centang kotak Wajibkan reset sandi.
  8. Pilih Terapkan.

AWS CLI

Untuk menonaktifkan Kunci Akses

aws iam update-access-key \
  --access-key-id <value> \
  --status "Inactive"

Untuk menghapus Kunci Akses

aws iam delete-access-key \
  --access-key-id <value>

Untuk mereset sandi profil login pengguna

aws iam update-login-profile \
  --user-name "test@example.com" \
  --password <temporary_password> \
  --password-reset-required

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Kms Cmk Not Scheduled For Deletion

Nama kategori di API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol akan gagal jika kunci KMS dijadwalkan untuk dihapus.

Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi dalam kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. Jika data penting telah dienkripsi berdasarkan kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data tersebut atau mengenkripsi ulang data dengan kunci KMS baru, kecuali jika Anda sengaja melakukan penghapusan kriptografi.

Ketika kunci KMS dijadwalkan untuk dihapus, periode tunggu wajib akan diterapkan agar waktu tunggu dapat membalikkan penghapusan, jika dijadwalkan secara keliru. Masa tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi hanya 7 hari saat kunci KMS dijadwalkan untuk dihapus. Selama periode tunggu, penghapusan terjadwal dapat dibatalkan dan kunci KMS tidak akan dihapus.

Untuk informasi tambahan terkait penghapusan kunci KMS, lihat Menghapus kunci KMS di Panduan Developer AWS Key Management Service.

Rekomendasi: Pastikan semua CMK tidak dijadwalkan untuk dihapus

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Lambda Concurrency Check

Nama kategori di API: LAMBDA_CONCURRENCY_CHECK

Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan batas eksekusi serentak tingkat fungsi.

Rekomendasi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan batas eksekusi serentak tingkat fungsi

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Lambda Dlq Check

Nama kategori di API: LAMBDA_DLQ_CHECK

Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean yang dihentikan pengirimannya. Aturannya adalah NON_COMPLIANT jika fungsi Lambda tidak dikonfigurasi dengan antrean yang dihentikan pengirimannya.

Rekomendasi: Memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean huruf yang mati

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Lambda Function Public Access Prohibited

Nama kategori di API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Praktik terbaik AWS merekomendasikan agar fungsi Lambda tidak diekspos secara publik. Kebijakan ini memeriksa semua fungsi Lambda yang di-deploy di semua region yang diaktifkan dalam akun Anda dan akan gagal jika dikonfigurasi untuk mengizinkan akses publik.

Rekomendasi: Periksa apakah kebijakan yang melekat pada fungsi Lambda melarang akses publik

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Contoh berikut memberikan contoh penggunaan Terraform untuk menyediakan peran IAM yang membatasi akses ke fungsi Lambda dan melampirkan peran tersebut ke fungsi Lambda

resource "aws_iam_role" "iam_for_lambda" {
  name = "iam_for_lambda"

  assume_role_policy = <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
EOF
}

resource "aws_lambda_function" "test_lambda" {
  filename      = "lambda_function_payload.zip"
  function_name = "lambda_function_name"
  role          = aws_iam_role.iam_for_lambda.arn
  handler       = "index.test"

  source_code_hash = filebase64sha256("lambda_function_payload.zip")

  runtime = "nodejs12.x"

}

Konsol AWS

Jika fungsi Lambda gagal dalam kontrol ini, hal ini akan menunjukkan bahwa pernyataan kebijakan berbasis resource untuk fungsi Lambda memungkinkan akses publik.

Untuk memperbaiki masalah ini, Anda harus memperbarui kebijakan untuk menghapus izin atau menambahkan kondisi AWS:SourceAccount. Anda hanya dapat memperbarui kebijakan berbasis resource dari Lambda API.

Petunjuk berikut menggunakan konsol untuk meninjau kebijakan dan Antarmuka Command Line AWS untuk menghapus izin.

Untuk melihat kebijakan berbasis resource untuk fungsi Lambda

  1. Buka konsol AWS Lambda di https://console.aws.amazon.com/lambda/.
  2. Di panel navigasi, pilih Functions.
  3. Pilih fungsi.
  4. Pilih Izin. Kebijakan berbasis resource menunjukkan izin yang diterapkan saat akun atau layanan AWS lain mencoba mengakses fungsi tersebut.
  5. Periksa kebijakan berbasis resource.
  6. Identifikasi pernyataan kebijakan yang memiliki nilai kolom Utama yang menjadikan kebijakan tersebut bersifat publik. Misalnya, mengizinkan "*" atau { "AWS": "*" }.

Anda tidak dapat mengedit kebijakan dari konsol. Untuk menghapus izin dari fungsi, Anda menggunakan perintah hapus izin dari AWS CLI.

Catat nilai ID pernyataan (Sid) untuk pernyataan yang ingin Anda hapus.

AWS CLI

Untuk menggunakan CLI guna menghapus izin dari fungsi Lambda, berikan perintah remove-permission sebagai berikut.

aws lambda remove-permission \
--function-name <value> \
--statement-id <value>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Lambda Inside Vpc

Nama kategori di API: LAMBDA_INSIDE_VPC

Memeriksa apakah fungsi Lambda berada di VPC atau tidak. Anda mungkin melihat temuan yang gagal untuk resource Lambda@Edge.

Laporan ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik.

Rekomendasi: Periksa apakah fungsi Lambda ada di dalam VPC

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Untuk mengonfigurasi fungsi agar terhubung ke subnet pribadi di virtual private cloud (VPC) di akun Anda:

  1. Buka konsol AWS Lambda di https://console.aws.amazon.com/lambda/.
  2. Buka Fungsi, lalu pilih fungsi Lambda.
  3. Scroll ke Jaringan, lalu pilih VPC dengan persyaratan konektivitas dari fungsi tersebut.
  4. Untuk menjalankan fungsi dalam mode ketersediaan tinggi, Security Hub merekomendasikan agar Anda memilih minimal dua subnet.
  5. Pilih minimal satu grup keamanan yang memiliki persyaratan konektivitas fungsi tersebut.
  6. Pilih Simpan.

Untuk mengetahui informasi selengkapnya, lihat bagian tentang mengonfigurasi fungsi Lambda untuk mengakses resource dalam VPC di Panduan Developer AWS Lambda.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Mfa Delete Enabled S3 Buckets

Nama kategori di API: MFA_DELETE_ENABLED_S3_BUCKETS

Setelah MFA Delete diaktifkan di bucket S3 yang sensitif dan diklasifikasikan, pengguna harus memiliki dua bentuk autentikasi.

Rekomendasi: Pastikan Penghapusan MFA diaktifkan di bucket S3

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Mfa Enabled Root User Account

Nama kategori di API: MFA_ENABLED_ROOT_USER_ACCOUNT

Akun pengguna 'root' adalah pengguna dengan hak istimewa yang paling tinggi dalam akun AWS. Autentikasi Multi-faktor (MFA) menambahkan lapisan perlindungan ekstra selain nama pengguna dan sandi. Dengan mengaktifkan MFA, saat pengguna login ke situs AWS, mereka akan diminta memasukkan nama pengguna dan sandi serta kode autentikasi dari perangkat MFA AWS mereka.

Catatan: Saat MFA virtual digunakan untuk akun 'root', sebaiknya perangkat yang digunakan BUKAN perangkat pribadi, melainkan perangkat seluler khusus (tablet atau ponsel) yang dikelola agar tetap terisi daya dan diamankan terpisah dari perangkat pribadi mana pun. ("MFA virtual non-pribadi") Hal ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, tukar tambah perangkat, atau jika orang yang memiliki perangkat tersebut tidak lagi dipekerjakan di perusahaan.

Rekomendasi: Pastikan MFA diaktifkan untuk akun pengguna 'root'

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Multi Factor Authentication Mfa Enabled All Iam Users Console

Nama kategori di API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Autentikasi Multi-Faktor (MFA) menambahkan lapisan jaminan autentikasi ekstra di luar kredensial tradisional. Dengan mengaktifkan MFA, saat pengguna login ke Konsol AWS, mereka akan diminta untuk memasukkan nama pengguna dan sandi, serta kode autentikasi dari token MFA fisik atau virtual. Sebaiknya MFA diaktifkan untuk semua akun yang memiliki sandi konsol.

Rekomendasi: Pastikan autentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki sandi konsol

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke AWS Management Console dan buka konsol IAM di 'https://console.aws.amazon.com/iam/'
  2. Di panel kiri, pilih Users.
  3. Dalam daftar User Name, pilih nama pengguna MFA yang dimaksud.
  4. Pilih tab Security Credentials, lalu pilih Manage MFA Device.
  5. Di Manage MFA Device wizard, pilih perangkat Virtual MFA, lalu pilih Continue.

    IAM membuat dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk grafik kode QR. Gambar ini merupakan representasi dari 'kunci konfigurasi rahasia' yang tersedia untuk entri manual di perangkat yang tidak mendukung kode QR.

  6. Buka aplikasi MFA virtual Anda. (Untuk daftar aplikasi yang dapat Anda gunakan untuk menghosting perangkat MFA virtual, lihat Aplikasi MFA Virtual di https://aws.amazon.com/iam/details/mfa/#Virtual_MFA_Applications). Jika aplikasi MFA virtual mendukung beberapa akun (beberapa perangkat MFA virtual), pilih opsi untuk membuat akun baru (perangkat MFA virtual baru).

  7. Tentukan apakah aplikasi MFA mendukung kode QR, lalu lakukan salah satu hal berikut:

    • Gunakan aplikasi untuk memindai kode QR. Misalnya, Anda dapat memilih ikon kamera atau opsi yang mirip dengan Pindai kode, lalu menggunakan kamera perangkat untuk memindai kode.
    • Di wizard Manage MFA Device, pilih Show secret key for manual configuration, lalu ketik kunci konfigurasi rahasia ke dalam aplikasi MFA Anda.

    Setelah selesai, perangkat MFA virtual mulai membuat sandi sekali pakai.

  8. Di Manage MFA Device wizard, di MFA Code 1 box, ketik one-time password yang saat ini muncul di perangkat MFA virtual. Tunggu hingga 30 detik sampai perangkat membuat sandi sekali pakai yang baru. Kemudian, ketik one-time password kedua ke dalam MFA Code 2 box.

  9. Klik Assign MFA.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

Nama kategori di API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Fungsi Network Access Control List (NACL) menyediakan pemfilteran stateless dari traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada NACL yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1)

Rekomendasi: Pastikan tidak ada ACL Jaringan yang memungkinkan traffic masuk dari 0.0.0.0/0 ke port administrasi server jarak jauh

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Lakukan tindakan berikut:

  1. Login ke AWS Management Console di https://console.aws.amazon.com/vpc/home
  2. Di panel kiri, klik Network ACLs
  3. Untuk setiap ACL jaringan yang akan diperbaiki, lakukan hal berikut:
    • Pilih ACL jaringan
    • Klik tab Inbound Rules
    • Klik Edit inbound rules.
    • A) memperbarui kolom Sumber ke rentang selain 0.0.0.0/0, atau, B) Klik Delete untuk menghapus aturan masuk yang melanggar
    • Klik Save.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

No Root User Account Access Key Exists

Nama kategori di API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Akun pengguna 'root' adalah pengguna dengan hak istimewa yang paling tinggi dalam akun AWS. Kunci Akses AWS memberikan akses terprogram ke akun AWS tertentu. Sebaiknya semua kunci akses yang terkait dengan akun pengguna 'root' dihapus.

Rekomendasi: Pastikan tidak ada kunci akses akun pengguna 'root'

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS sebagai 'root', lalu buka konsol IAM di https://console.aws.amazon.com/iam/.
  2. Klik <root_account> di kanan atas, lalu pilih My Security Credentials dari menu drop-down.
  3. Di layar pop-up, klik Continue to Security Credentials.
  4. Klik Access Keys (Access Key ID dan Secret Access Key).
  5. Di bawah kolom Status (jika ada Kunci yang aktif).
  6. Klik Delete (Catatan: Kunci yang dihapus tidak dapat dipulihkan).

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

Nama kategori di API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389, menggunakan protokol TDP (6), UDP (17), atau ALL (-1)

Rekomendasi: Pastikan tidak ada grup keamanan yang mengizinkan traffic masuk dari 0.0.0.0/0 ke port administrasi server jarak jauh

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

No Security Groups Allow Ingress 0 Remote Server Administration

Nama kategori di API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Sebaiknya tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP ke port 3389.

Rekomendasi: Pastikan tidak ada grup keamanan yang mengizinkan traffic masuk dari ::/0 ke port administrasi server jarak jauh

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

One Active Access Key Available Any Single Iam User

Nama kategori di API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Kunci akses adalah kredensial jangka panjang untuk pengguna IAM atau pengguna 'root' akun AWS. Anda dapat menggunakan kunci akses untuk menandatangani permintaan terprogram ke AWS CLI atau AWS API (secara langsung atau menggunakan AWS SDK)

Rekomendasi: Pastikan hanya ada satu kunci akses aktif yang tersedia untuk satu pengguna IAM

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS dan buka dasbor IAM di https://console.aws.amazon.com/iam/.
  2. Di panel navigasi kiri, pilih Users.
  3. Klik nama pengguna IAM yang ingin Anda periksa.
  4. Di halaman konfigurasi pengguna IAM, pilih tab Security Credentials.
  5. Di bagian Access Keys, pilih satu kunci akses yang berusia kurang dari 90 hari. Kunci ini harus menjadi satu-satunya kunci aktif yang digunakan oleh pengguna IAM ini untuk mengakses resource AWS secara terprogram. Uji aplikasi Anda untuk memastikan kunci akses yang dipilih berfungsi.
  6. Di bagian Access Keys yang sama, identifikasi kunci akses non-operasional Anda (selain yang dipilih) dan nonaktifkan dengan mengklik link Make Inactive.
  7. Jika Anda menerima kotak konfirmasi Change Key Status, klik Deactivate untuk menonaktifkan kunci yang dipilih.
  8. Ulangi langkah 3 – 7 untuk setiap pengguna IAM di akun AWS Anda.

AWS CLI

  1. Dengan menggunakan informasi kunci akses dan pengguna IAM yang disediakan di Audit CLI, pilih satu kunci akses yang berusia kurang dari 90 hari. Kunci ini harus menjadi satu-satunya kunci aktif yang digunakan oleh pengguna IAM ini untuk mengakses resource AWS secara terprogram. Uji aplikasi Anda untuk memastikan kunci akses yang dipilih berfungsi.

  2. Jalankan perintah update-access-key di bawah menggunakan nama pengguna IAM dan ID kunci akses non-operasional untuk menonaktifkan kunci yang tidak diperlukan. Lihat bagian Audit untuk mengidentifikasi ID kunci akses yang tidak diperlukan untuk pengguna IAM yang dipilih

Catatan - perintah tidak menampilkan output apa pun:

aws iam update-access-key --access-key-id <access-key-id> --status Inactive --user-name <user-name>
  1. Untuk mengonfirmasi bahwa pasangan kunci akses yang dipilih telah berhasil deactivated jalankan kembali perintah audit list-access-keys untuk Pengguna IAM tersebut:
aws iam list-access-keys --user-name <user-name>
  • Output perintah harus mengekspos metadata untuk setiap kunci akses yang terkait dengan pengguna IAM. Jika pasangan kunci non-operasional Status ditetapkan ke Inactive, kunci tersebut telah berhasil dinonaktifkan dan konfigurasi akses pengguna IAM kini mematuhi rekomendasi ini.
  1. Ulangi langkah 1 – 3 untuk setiap pengguna IAM di akun AWS Anda.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Public Access Given Rds Instance

Nama kategori di API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Pastikan dan verifikasi bahwa instance database RDS yang disediakan di akun AWS Anda membatasi akses yang tidak sah untuk meminimalkan risiko keamanan. Untuk membatasi akses ke instance database RDS yang dapat diakses secara publik, Anda harus menonaktifkan tanda database yang Dapat Diakses secara Publik dan mengupdate grup keamanan VPC yang terkait dengan instance tersebut.

Rekomendasi: Pastikan akses publik tidak diberikan pada Instance RDS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Masuk ke konsol pengelolaan AWS dan navigasi ke dasbor RDS di https://console.aws.amazon.com/rds/.
  2. Di bawah panel navigasi, Di Dasbor RDS, klik Databases.
  3. Pilih instance RDS yang ingin Anda update.
  4. Klik Modify dari menu atas dasbor.
  5. Di panelModify DB Instance, di bawah bagian Connectivity, klik Additional connectivity configuration dan perbarui nilai untuk Publicly Accessible menjadi Tidak dapat diakses secara publik untuk membatasi akses publik. Ikuti langkah-langkah di bawah ini untuk mengupdate konfigurasi subnet:
  6. Pilih tab Connectivity and security, lalu klik nilai atribut VPC di dalam bagian Networking.
  7. Pilih tab Details dari panel bawah dasbor VPC, lalu klik nilai atribut konfigurasi tabel Route.
  8. Di halaman Detail tabel rute, pilih tab Routes dari panel bawah dasbor dan klik Edit routes.
  9. Di halaman Edit route, perbarui Destination of Target yang ditetapkan ke igw-xxxxx dan klik Save rute.
  10. Di panelModify DB Instance, klik Continue dan di bagian Scheduling of Modify, lakukan salah satu tindakan berikut berdasarkan kebutuhan Anda:
  11. Pilih Terapkan selama masa pemeliharaan terjadwal berikutnya untuk menerapkan perubahan secara otomatis selama masa pemeliharaan terjadwal berikutnya.
  12. Pilih Segera Terapkan untuk langsung menerapkan perubahan. Dengan opsi ini, setiap modifikasi yang tertunda akan diterapkan secara asinkron sesegera mungkin, terlepas dari setelan masa pemeliharaan untuk instance database RDS ini. Perlu diketahui bahwa setiap perubahan yang tersedia dalam antrean modifikasi yang tertunda juga akan diterapkan. Jika salah satu perubahan yang tertunda memerlukan periode nonaktif, memilih opsi ini dapat menyebabkan periode nonaktif yang tidak terduga untuk aplikasi.
  13. Ulangi langkah 3 hingga 6 untuk setiap instance RDS yang tersedia di region saat ini.
  14. Ubah region AWS dari menu navigasi untuk mengulangi proses untuk region lain.

AWS CLI

  1. Jalankan perintah describe-db-instances untuk menampilkan daftar semua ID nama database RDS, yang tersedia di region AWS yang dipilih:
aws rds describe-db-instances --region <region-name> --query 'DBInstances[*].DBInstanceIdentifier'
  1. Output perintah akan menampilkan setiap ID instance database.
  2. Jalankan perintah modify-db-instance untuk mengubah konfigurasi instance RDS yang dipilih. Lalu, gunakan perintah berikut untuk menonaktifkan flag Publicly Accessible untuk instance RDS yang dipilih. Perintah ini menggunakan flag apply-immediately. Jika Anda menginginkan to avoid any downtime --no-apply-immediately flag can be used:
aws rds modify-db-instance --region <region-name> --db-instance-identifier <db-name> --no-publicly-accessible --apply-immediately
  1. Output perintah akan menampilkan konfigurasi PubliclyAccessible di bawah nilai yang tertunda dan akan diterapkan pada waktu yang ditentukan.
  2. Memperbarui Tujuan Gateway Internet melalui AWS CLI saat ini tidak didukung Untuk memperbarui informasi tentang Internet Gateway, gunakan AWS Console Procedure.
  3. Ulangi langkah 1 hingga 5 untuk setiap instance RDS yang disediakan di region saat ini.
  4. Ubah region AWS menggunakan filter --region untuk mengulangi proses untuk region lain.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rds Enhanced Monitoring Enabled

Nama kategori di API: RDS_ENHANCED_MONITORING_ENABLED

Pemantauan yang ditingkatkan menyediakan metrik real-time pada sistem operasi tempat instance RDS berjalan, melalui agen yang diinstal di instance.

Untuk mengetahui detail selengkapnya, lihat Memantau metrik OS dengan Pemantauan yang Ditingkatkan.

Rekomendasi: Memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk semua instance RDS DB

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, aktifkan Pemantauan yang Ditingkatkan pada instance RDS Anda sebagai berikut:

Buat Peran IAM untuk RDS:

resource "aws_iam_role" "rds_logging" {
  name = "CustomRoleForRDSMonitoring"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Action = "sts:AssumeRole"
        Effect = "Allow"
        Sid    = "CustomRoleForRDSLogging"
        Principal = {
          Service = "monitoring.rds.amazonaws.com"
        }
      },
    ]
  })
}

Ambil Kebijakan yang Dikelola AWS untuk Pemantauan yang Ditingkatkan RDS:

data "aws_iam_policy" "rds_logging" {
  name = "AmazonRDSEnhancedMonitoringRole"
}

Lampirkan kebijakan ke peran tersebut:

resource "aws_iam_policy_attachment" "rds_logging" {
  name       = "AttachRdsLogging"
  roles      = [aws_iam_role.rds_logging.name]
  policy_arn = data.aws_iam_policy.rds_logging.arn
}

Tentukan interval pemantauan dan peran pemantauan ke instance RDS yang melanggar untuk mengaktifkan Pemantauan yang Ditingkatkan:

resource "aws_db_instance" "default" {
  identifier           = "test-rds"
  allocated_storage    = 10
  engine               = "mysql"
  engine_version       = "5.7"
  instance_class       = "db.t3.micro"
  db_name              = "mydb"
  username             = "foo"
  password             = "foobarbaz"
  parameter_group_name = "default.mysql5.7"
  skip_final_snapshot  = true
  monitoring_interval  = 60
  monitoring_role_arn  = aws_iam_role.rds_logging.arn
}

Konsol AWS

Anda dapat mengaktifkan Pemantauan yang Ditingkatkan saat membuat instance DB, cluster DB Multi-AZ, atau replika baca, atau saat memodifikasi instance DB atau cluster DB Multi-AZ. Jika mengubah instance DB untuk mengaktifkan Pemantauan yang Ditingkatkan, Anda tidak perlu memulai ulang instance DB agar perubahan diterapkan.

Anda dapat mengaktifkan Pemantauan yang Ditingkatkan di konsol RDS saat melakukan salah satu tindakan berikut di halaman Database:

  • Create a DB instance atau Multi-AZ DB cluster - Pilih Create database.
  • Buat replika baca - Pilih Tindakan, lalu Buat replika baca.
  • Modifikasi instance DB atau cluster DB Multi-AZ - Pilih Modifikasi.

Untuk mengaktifkan atau menonaktifkan Pemantauan yang Ditingkatkan di konsol RDS

  1. Scroll ke Konfigurasi tambahan.
  2. Dalam Monitoring, pilih Aktifkan Pemantauan yang Ditingkatkan untuk instance DB atau replika baca Anda. Untuk menonaktifkan Pemantauan yang Ditingkatkan, pilih Nonaktifkan Pemantauan yang Ditingkatkan.
  3. Tetapkan properti Monitoring Role ke peran IAM yang Anda buat untuk mengizinkan Amazon RDS berkomunikasi dengan Amazon CloudWatch Logs untuk Anda, atau pilih Default agar RDS membuat peran untuk Anda yang bernama rds-monitoring-role.
  4. Tetapkan properti Perincian ke interval, dalam detik, di antara titik saat metrik dikumpulkan untuk instance DB atau replika baca. Properti Perincian dapat diatur ke salah satu nilai berikut: 1, 5, 10, 15, 30, atau 60. Kecepatan refresh konsol RDS paling cepat adalah setiap 5 detik. Jika Anda menetapkan perincian ke 1 detik di konsol RDS, Anda tetap akan melihat metrik yang diperbarui hanya setiap 5 detik. Anda dapat mengambil pembaruan metrik selama 1 detik dengan menggunakan CloudWatch Logs.

AWS CLI

Membuat peran IAM RDS:

aws iam create-role \
  --role-name "CustomRoleForRDSMonitoring" \
  --assume-role-policy-document file://rds-assume-role.json

Lampirkan kebijakan AmazonRDSEnhancedMonitoringRole ke peran tersebut:

aws iam attach-role-policy \
  --role-name "CustomRoleForRDSMonitoring"\
  --policy-arn "arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole"

Ubah instance RDS untuk mengaktifkan Pemantauan yang Ditingkatkan, dengan menetapkan --monitoring-interval dan --monitoring-role-arn:

aws rds modify-db-instance \
  --db-instance-identifier "test-rds" \
  --monitoring-interval 30 \
  --monitoring-role-arn "arn:aws:iam::<account_id>:role/CustomRoleForRDSMonitoring"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rds Instance Deletion Protection Enabled

Nama kategori di API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Mengaktifkan perlindungan penghapusan instance merupakan lapisan perlindungan tambahan terhadap penghapusan atau penghapusan database secara tidak sengaja oleh entitas yang tidak sah.

Saat perlindungan penghapusan diaktifkan, instance RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.

Rekomendasi: Memeriksa apakah semua instance RDS mengaktifkan perlindungan penghapusan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, setel deletion_protection ke true di resource aws_db_instance.

resource "aws_db_instance" "example" {
  # ... other configuration ...
  deletion_protection = true
}

Konsol AWS

Guna mengaktifkan perlindungan penghapusan untuk instance RDS DB

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Database, lalu pilih instance DB yang ingin Anda ubah.
  3. Pilih Ubah.
  4. Di bagian Perlindungan penghapusan, pilih Aktifkan perlindungan penghapusan.
  5. Pilih Lanjutkan.
  6. Di bagian Penjadwalan perubahan, pilih waktu untuk menerapkan perubahan. Opsinya adalah Terapkan selama masa pemeliharaan terjadwal berikutnya atau Segera Terapkan.
  7. Pilih Ubah Instance DB.

AWS CLI

Hal yang sama berlaku untuk AWS CLI. Setel --deletion-protection sebagai di bawah ini.

aws rds modify-db-instance \
  --db-instance-identifier = "test-rds" \
  --deletion-protection

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rds In Backup Plan

Nama kategori di API: RDS_IN_BACKUP_PLAN

Pemeriksaan ini mengevaluasi apakah instance Amazon RDS DB dicakup oleh rencana cadangan. Kontrol ini gagal jika instance RDS DB tidak tercakup oleh rencana cadangan.

AWS Backup adalah layanan pencadangan terkelola sepenuhnya yang memusatkan dan mengotomatiskan pencadangan data di seluruh layanan AWS. Dengan AWS Backup, Anda dapat membuat kebijakan pencadangan yang disebut rencana pencadangan. Anda dapat menggunakan paket ini untuk menentukan persyaratan pencadangan, seperti frekuensi pencadangan data dan durasi penyimpanan cadangan tersebut. Menyertakan instance RDS DB dalam rencana cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

Rekomendasi: Instance DB RDS harus dicakup oleh rencana cadangan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, setel backup_retention_period ke nilai yang lebih besar dari 7 di resource aws_db_instance.

resource "aws_db_instance" "example" {
  # ... other Configuration ...
  backup_retention_period = 7
}

Konsol AWS

Untuk segera mengaktifkan pencadangan otomatis

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Database, lalu pilih instance DB yang ingin Anda ubah.
  3. PilihModify untuk membuka halamanModify DB Instance.
  4. Di bagian Periode Retensi Cadangan, pilih nilai positif selain nol, misalnya 30 hari, lalu pilih Lanjutkan.
  5. Pilih bagian Penjadwalan modifikasi dan pilih waktu untuk menerapkan perubahan: Anda dapat memilih Terapkan selama masa pemeliharaan terjadwal berikutnya atau Terapkan segera.
  6. Kemudian, di halaman konfirmasi, pilihModify DB Instance untuk menyimpan perubahan Anda dan mengaktifkan pencadangan otomatis.

AWS CLI

Hal yang sama berlaku untuk AWS CLI. Untuk mengaktifkan pencadangan otomatis, ubah backup-retention-period ke nilai yang lebih besar dari 0 (default).

aws rds modify-db-instance --db-instance-identifier "test-rds" --backup-retention-period 7

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rds Logging Enabled

Nama kategori di API: RDS_LOGGING_ENABLED

Tindakan ini akan memeriksa apakah log Amazon RDS berikut diaktifkan dan dikirim ke CloudWatch.

Database RDS harus mengaktifkan log yang relevan. Pencatatan log {i>database<i} menyediakan catatan terperinci dari permintaan yang dibuat untuk RDS. Log database dapat membantu dalam hal keamanan dan mengakses audit serta dapat membantu mendiagnosis masalah ketersediaan.

Rekomendasi: Periksa apakah log yang diekspor diaktifkan untuk semua instance DB RDS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_db_instance" "example" {
  # ... other configuration for MySQL ...
  enabled_cloudwatch_logs_exports = ["audit", "error", "general", "slowquery"]
  parameter_group_name            = aws_db_parameter_group.example.name
}

resource "aws_db_parameter_group" "example" {
  name   = "${aws_db_instance.example.dbInstanceIdentifier}-parameter-group"
  family = "mysql5.7"

  parameter {
    name  = "general_log"
    value = 1
  }

  parameter {
    name  = "slow_query_log"
    value = 1
  }

  parameter {
    name  = "log_output"
    value = "FILE"
  }
}

Untuk MariaDB, buat grup opsi kustom dan tetapkan option_group_name di resource aws_db_instance.

resource "aws_db_instance" "example" {
  # ... other configuration for MariaDB ...
  enabled_cloudwatch_logs_exports = ["audit", "error", "general", "slowquery"]
  parameter_group_name            = aws_db_parameter_group.example.name
  option_group_name               = aws_db_option_group.example.name
}

resource "aws_db_option_group" "example" {
  name                     = "mariadb-option-group-for-logs"
  option_group_description = "MariaDB Option Group for Logs"
  engine_name              = "mariadb"
  option {
    option_name = "MARIADB_AUDIT_PLUGIN"
    option_settings {
      name  = "SERVER_AUDIT_EVENTS"
      value = "CONNECT,QUERY,TABLE,QUERY_DDL,QUERY_DML,QUERY_DCL"
    }
  }
}

Konsol AWS

Untuk membuat grup parameter DB kustom

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Grup parameter.
  3. Pilih Buat grup parameter.
  4. Dalam daftar kelompok parameter, pilih kelompok grup parameter DB.
  5. Dalam daftar Type, pilih DB Parameter Group.
  6. Di nama Grup, masukkan nama grup parameter DB baru.
  7. Di bagian Deskripsi, masukkan deskripsi untuk grup parameter DB baru.
  8. Pilih Buat.

Untuk membuat grup opsi baru untuk logging MariaDB dengan menggunakan konsol

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Grup opsi.
  3. Pilih Buat grup.
  4. Di jendela grup opsi Buat, berikan hal berikut:
  5. Nama: harus unik dalam akun AWS Anda. Hanya huruf, angka, dan tanda hubung.
  6. Deskripsi: Hanya digunakan untuk tujuan tampilan.
    • Mesin: pilih mesin DB Anda.
    • Versi mesin utama: pilih versi utama mesin DB Anda.
  7. Pilih Buat.
  8. Pilih nama grup opsi yang baru saja Anda buat.
  9. Pilih opsi Tambahkan.
  10. Pilih MARIADB_AUDIT_plugin dari daftar Nama opsi.
  11. Setel SERVER_AUDIT_EVENTS ke CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DCL.
  12. Pilih opsi Tambahkan.

Untuk memublikasikan log SQL Server DB, Oracle DB, atau PostgreSQL ke CloudWatch Logs dari AWS Management Console

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Database.
  3. Pilih instance DB yang ingin Anda ubah.
  4. Pilih Ubah.
  5. Di bagian Ekspor log, pilih semua file log untuk mulai memublikasikan ke CloudWatch Logs.
  6. Ekspor log hanya tersedia untuk versi mesin database yang mendukung publikasi ke Log CloudWatch.
  7. Pilih Lanjutkan. Kemudian, di halaman ringkasan, pilihModify DB Instance.

Untuk menerapkan grup parameter DB baru atau grup opsi DB ke instance DB RDS

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Database.
  3. Pilih instance DB yang ingin Anda ubah.
  4. Pilih Ubah.
  5. Di bagian opsi Database, ubah grup parameter DB dan grup opsi DB sesuai kebutuhan.
  6. Setelah selesai melakukan perubahan, pilih Lanjutkan. Periksa ringkasan perubahan.
  7. Pilih Ubah Instance DB untuk menyimpan perubahan.

AWS CLI

Ambil kelompok mesin dan pilih yang cocok dengan mesin instance DB dan versi.

aws rds describe-db-engine-versions \
  --query "DBEngineVersions[].DBParameterGroupFamily" \
  --engine "mysql"

Buat grup parameter sesuai dengan mesin dan versinya.

aws rds create-db-parameter-group \
  --db-parameter-group-name "rds-mysql-parameter-group" \
  --db-parameter-group-family "mysql5.7" \
  --description "Example parameter group for logs"

Buat file rds-parameters.json yang berisi parameter yang diperlukan sesuai dengan DB Engine, contoh ini menggunakan MySQL5.7.

[
  {
    "ParameterName": "general_log",
    "ParameterValue": "1",
    "ApplyMethod": "immediate"
  },
  {
    "ParameterName": "slow_query_log",
    "ParameterValue": "1",
    "ApplyMethod": "immediate"
  },
  {
    "ParameterName": "log_output",
    "ParameterValue": "FILE",
    "ApplyMethod": "immediate"
  }
]

Ubah grup parameter untuk menambahkan parameter sesuai dengan mesin DB. Contoh ini menggunakan MySQL5.7

aws rds modify-db-parameter-group \
  --db-parameter-group-name "rds-mysql-parameter-group" \
  --parameters file://rds-parameters.json

Ubah instance DB untuk mengaitkan grup parameter.

aws rds modify-db-instance \
  --db-instance-identifier "test-rds" \
  --db-parameter-group-name "rds-mysql-parameter-group"

Selain itu, untuk MariaDB, buat grup opsi sebagai berikut.

aws rds create-option-group \
  --option-group-name "rds-mariadb-option-group" \
  --engine-name "mariadb" \
  --major-engine-version "10.6" \
  --option-group-description "Option group for MariaDB logs"

Buat file rds-mariadb-options.json sebagai berikut.

{
  "OptionName": "MARIADB_AUDIT_PLUGIN",
  "OptionSettings": [
    {
      "Name": "SERVER_AUDIT_EVENTS",
      "Value": "CONNECT,QUERY,TABLE,QUERY_DDL,QUERY_DML,QUERY_DCL"
    }
  ]
}

Tambahkan opsi ke grup opsi.

aws rds add-option-to-option-group \
  --option-group-name "rds-mariadb-option-group" \
  --options file://rds-mariadb-options.json

Kaitkan grup opsi ke Instance DB dengan memodifikasi instance MariaDB.

aws rds modify-db-instance \
  --db-instance-identifier "rds-test-mariadb" \
  --option-group-name "rds-mariadb-option-group"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rds Multi Az Support

Nama kategori di API: RDS_MULTI_AZ_SUPPORT

Instance DB RDS harus dikonfigurasi untuk beberapa Zona Ketersediaan (AZ). Hal ini memastikan ketersediaan data yang disimpan. Deployment multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler.

Rekomendasi: Memeriksa apakah ketersediaan tinggi diaktifkan untuk semua instance DB RDS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, setel multi_az ke benar (true) dalam resource aws_db_instance.

resource "aws_db_instance" "example" {
  # ... other configuration ...
  multi_az                = true
}

Konsol AWS

Untuk mengaktifkan beberapa Zona Ketersediaan untuk instance DB

  1. Buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.
  2. Di panel navigasi, pilih Database, lalu pilih instance DB yang ingin Anda ubah.
  3. Pilih Ubah. HalamanModify DB Instance akan muncul.
  4. Di bagian Instance Specifications, tetapkan Multi-AZ deployment ke Yes.
  5. Pilih Lanjutkan, lalu periksa ringkasan modifikasi.
  6. (Opsional) Pilih Segera Terapkan untuk langsung menerapkan perubahan. Memilih opsi ini dapat menyebabkan pemadaman layanan dalam beberapa kasus. Untuk informasi selengkapnya, lihat Menggunakan setelan Terapkan Segera di Panduan Pengguna Amazon RDS.
  7. Di halaman konfirmasi, tinjau perubahan Anda. Jika sudah benar, pilih Ubah Instance DB untuk menyimpan perubahan.

AWS CLI

Hal yang sama berlaku untuk AWS CLI. Aktifkan dukungan multi-Az dengan memberikan opsi --multi-az.

modify-db-instance
  --db-instance-identifier "test-rds" \
  --multi-az

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Redshift Cluster Configuration Check

Nama kategori di API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Tindakan ini memeriksa elemen penting cluster Redshift: enkripsi dalam penyimpanan, logging, dan jenis node.

Item konfigurasi ini penting dalam pemeliharaan cluster Redshift yang aman dan dapat diamati.

Rekomendasi: Pastikan semua cluster Redshift memiliki enkripsi dalam penyimpanan, logging, dan jenis node.

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_kms_key" "redshift_encryption" {
  description         = "Used for Redshift encryption configuration"
  enable_key_rotation = true
}

resource "aws_redshift_cluster" "example" {
  # ... other configuration ...
  encrypted                           = true
  kms_key_id                          = aws_kms_key.redshift_encryption.id
  logging {
    enable               = true
    log_destination_type = "cloudwatch"
    log_exports          = ["connectionlog", "userlog", "useractivitylog"]
  }
}

Konsol AWS

Untuk mengaktifkan logging audit cluster

  1. Buka konsol Amazon Redshift di https://console.aws.amazon.com/redshift/.
  2. Di menu navigasi, pilih Cluster, lalu pilih nama cluster yang akan diubah.
  3. Pilih Properti.
  4. Pilih Edit dan Edit logging audit.
  5. Tetapkan Konfigurasi logging audit ke Aktif, setel jenis ekspor Log ke CloudWatch (direkomendasikan), lalu pilih log yang ingin diekspor.

Agar dapat menggunakan AWS S3 untuk mengelola log audit Redshift, lihat Redshift - Logging audit database di Dokumentasi AWS.

  1. Pilih Simpan perubahan.

Untuk mengubah enkripsi database pada cluster

  1. Login ke AWS Management Console dan buka konsol Amazon Redshift di https://console.aws.amazon.com/redshift/.
  2. Di menu navigasi, pilih Cluster, lalu pilih cluster yang enkripsinya ingin Anda ubah.
  3. Pilih Properti.
  4. Pilih Edit dan Edit enkripsi.
  5. Pilih Enkripsi yang akan digunakan (KMS atau HSM) dan berikan:

    • Untuk KMS: kunci yang digunakan
    • Untuk HSM: koneksi dan sertifikat klien

AWS CLI

  1. Membuat kunci KMS dan mengambil ID kunci
aws kms create-key \
  --description "Key to encrypt Redshift Clusters"
  1. Mengubah cluster
aws redshift modify-cluster \
  --cluster-identifiers "test-redshift-cluster" \
  --encrypted \
  --kms-key-id <value>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Redshift Cluster Maintenancesettings Check

Nama kategori di API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Upgrade versi utama otomatis terjadi sesuai dengan masa pemeliharaan

Rekomendasi: Periksa apakah semua cluster Redshift telah mengaktifkan allowVersionUpgrade dan pilihanPemeliharaanWindow dan automatedSnapshotRetentionPeriod yang ditetapkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Pemeriksaan ini mematuhi semua nilai default yang disediakan oleh Terraform. Jika Cluster Redshift gagal, tinjau persyaratannya dan hapus penggantian default untuk atribut resource aws_redshift_cluster berikut.

resource "aws_redshift_cluster" "example" {

  # ...other configuration ...

  # The following values are compliant and set by default if omitted.
  allow_version_upgrade               = true
  preferred_maintenance_window        = "sat:10:00-sat:10:30"
  automated_snapshot_retention_period = 1
}

Konsol AWS

Saat membuat cluster Redshift melalui konsol AWS, nilai default sudah sesuai dengan kontrol ini.

Untuk informasi selengkapnya, lihat Mengelola cluster menggunakan konsol

AWS CLI

Untuk memperbaiki kontrol ini menggunakan AWS CLI, lakukan hal berikut:

aws redshift modify-cluster \
  --cluster-identifier "test-redshift-cluster" \
  --allow-version-upgrade

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Redshift Cluster Public Access Check

Nama kategori di API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Atribut yang Dapat Diakses Publik dari konfigurasi cluster Amazon Redshift menunjukkan apakah cluster dapat diakses secara publik. Jika dikonfigurasi dengan PubliclyAccessible yang disetel ke benar (true), cluster tersebut adalah instance yang terhubung ke Internet yang memiliki nama DNS yang dapat diselesaikan secara publik, yang di-resolve ke alamat IP publik.

Jika tidak dapat diakses secara publik, cluster adalah instance internal dengan nama DNS yang akan di-resolve ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster dapat diakses secara publik, cluster tidak boleh dikonfigurasi dengan PubliclyAccessible yang disetel ke true.

Rekomendasi: Periksa apakah cluster Redshift dapat diakses secara publik

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Untuk memperbaiki kontrol ini, Anda perlu mengubah resource cluster redshift dan menyetel publicly_accessible ke false, nilai defaultnya adalah true.

resource "aws_redshift_cluster" "example" {
  # ... other configuration ...
  publicly_accessible = false
}

Konsol AWS

Untuk menonaktifkan akses publik ke cluster Amazon Redshift

  1. Buka konsol Amazon Redshift di https://console.aws.amazon.com/redshift/.
  2. Di menu navigasi, pilih Cluster, lalu pilih nama cluster dengan grup keamanan yang akan diubah.
  3. Pilih Tindakan, lalu pilih Ubah setelan yang dapat diakses secara publik.
  4. Di bagian Izinkan instance dan perangkat di luar VPC untuk terhubung ke database Anda melalui endpoint cluster, pilih Tidak.
  5. Pilih Konfirmasi.

AWS CLI

Gunakan perintah modify-cluster untuk menetapkan --no-publicly-accessible.

aws redshift modify-cluster \
  --cluster-identifier "test-redshift-cluster" \
  --no-publicly-accessible

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Restricted Common Ports

Nama kategori di API: RESTRICTED_COMMON_PORTS

Tindakan ini memeriksa apakah traffic masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port tertentu yang memiliki risiko tertinggi. Kontrol ini gagal jika ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari '0.0.0.0/0' atau '::/0' untuk port tersebut.

Akses tak terbatas (0.0.0.0/0) meningkatkan peluang terjadinya aktivitas berbahaya, seperti peretasan, serangan denial-of-service, dan kehilangan data.

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3000 (Framework pengembangan web Go, Node.js, dan Ruby)
  • 3306 (mySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5000 (framework pengembangan web Python)
  • 5432 (postgresql)
  • 5.500 (fcp-addr-srvr1)
  • 5601 (Dasbor OpenSearch)
  • 8080 (proxy)
  • 8088 (port HTTP lama)
  • 8888 (port HTTP alternatif)
  • 9200 atau 9300 (OpenSearch)

Rekomendasi: Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Untuk menghapus aturan grup keamanan:

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.
  2. Di panel navigasi, pilih Security Groups.
  3. Pilih grup keamanan yang akan diperbarui, pilih Tindakan, lalu pilih Edit aturan masuk untuk menghapus aturan masuk atau Edit aturan keluar untuk menghapus aturan keluar.
  4. Pilih tombol Delete di sebelah kanan aturan yang akan dihapus.
  5. Pilih Pratinjau perubahan, Konfirmasi.

Untuk mengetahui informasi tentang cara menghapus aturan dari grup keamanan, lihat Menghapus aturan dari grup keamanan di Panduan Pengguna Amazon EC2 untuk Instance Linux.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Restricted Ssh

Nama kategori di API: RESTRICTED_SSH

Grup keamanan menyediakan pemfilteran stateful traffic jaringan masuk dan keluar ke resource AWS.

CIS merekomendasikan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 22. Menghapus konektivitas tak terbatas ke layanan konsol jarak jauh, seperti SSH, akan mengurangi eksposur server terhadap risiko.

Rekomendasi: Grup keamanan tidak boleh mengizinkan traffic masuk dari 0.0.0.0/0 ke port 22

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Lakukan langkah-langkah berikut untuk setiap grup keamanan yang terkait dengan VPC.

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  1. Di panel kiri, pilih Security groups.
  2. Pilih grup keamanan.
  3. Di bagian bawah halaman, pilih tab Aturan Masuk.
  4. Pilih Edit aturan.
  5. Identifikasi aturan yang mengizinkan akses melalui port 22, lalu pilih X untuk menghapusnya.
  6. Pilih Simpan aturan.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rotation Customer Created Cmks Enabled

Nama kategori di API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Memeriksa apakah rotasi kunci otomatis diaktifkan untuk setiap kunci dan cocok dengan ID kunci milik pelanggan yang membuat kunci AWS KMS. Aturannya adalah NON_COMPLIANT jika peran perekam AWS Config untuk resource tidak memiliki izin kms:ExplainKey.

Rekomendasi: Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Rotation Customer Created Symmetric Cmks Enabled

Nama kategori di API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

AWS Key Management Service (KMS) memungkinkan pelanggan merotasi kunci pendukung yang merupakan materi kunci yang disimpan dalam KMS yang dikaitkan dengan ID kunci dari kunci master pelanggan (CMK) yang dibuat oleh Pelanggan. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan pembukaan enkripsi. Saat ini, rotasi kunci otomatis menyimpan semua kunci pendukung sebelumnya, sehingga dekripsi data yang dienkripsi dapat berlangsung secara transparan. Sebaiknya aktifkan rotasi kunci CMK untuk kunci simetris. Rotasi kunci tidak dapat diaktifkan untuk CMK asimetris.

Rekomendasi: Pastikan rotasi untuk CMK simetris yang dibuat pelanggan diaktifkan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke Konsol Pengelolaan AWS dan buka konsol IAM di https://console.aws.amazon.com/iam.
  2. Di panel navigasi kiri, pilih Customer managed keys .
  3. Pilih CMK yang dikelola pelanggan dengan Key spec = SYMMETRIC_DEFAULT
  4. Di bawah panel "Konfigurasi umum", buka tab "Rotasi kunci"
  5. Centang kotak "Otomatis putar kunci KMS ini setiap tahun".

AWS CLI

  1. Jalankan perintah berikut untuk mengaktifkan rotasi kunci:
 aws kms enable-key-rotation --key-id <kms_key_id>

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Routing Tables Vpc Peering Are Least Access

Nama kategori di API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Memeriksa apakah tabel rute untuk peering VPC dikonfigurasi dengan akun utama yang hak istimewanya paling rendah.

Rekomendasi: Pastikan tabel perutean untuk peering VPC adalah "akses terendah"

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Account Level Public Access Blocks

Nama kategori di API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Amazon S3 Block Public Access menyediakan setelan titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke resource Amazon S3. Secara default, bucket, titik akses, dan objek baru tidak mengizinkan akses publik.

Rekomendasi: Memeriksa apakah setelan pemblokiran akses publik S3 yang diperlukan dikonfigurasi dari tingkat akun

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Resource Terraform berikut mengonfigurasi akses tingkat akun ke S3.

resource "aws_s3_account_public_access_block" "s3_control" {
  block_public_acls       = true
  block_public_policy     = true
  ignore_public_acls      = true
  restrict_public_buckets = true
}

Konsol AWS

Untuk mengedit setelan blokir akses publik untuk semua bucket S3 di akun AWS.

  1. Login ke Konsol AWS Management dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.
  2. Pilih setelan Blokir Akses Publik untuk akun ini.
  3. Pilih Edit untuk mengubah setelan blokir akses publik untuk semua bucket di akun AWS Anda.
  4. Pilih setelan yang ingin Anda ubah, lalu pilih Simpan perubahan.
  5. Saat Anda dimintai konfirmasi, masukkan konfirmasi. Lalu pilih Konfirmasi untuk menyimpan perubahan.

AWS CLI

aws s3control put-public-access-block \
--account-id <value> \
--public-access-block-configuration '{"BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": true, "RestrictPublicBuckets": true}'

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Bucket Logging Enabled

Nama kategori di API: S3_BUCKET_LOGGING_ENABLED

Fitur Logging Akses Server AWS S3 mencatat permintaan akses ke bucket penyimpanan yang berguna untuk audit keamanan. Secara default, logging akses server tidak diaktifkan untuk bucket S3.

Rekomendasi: Periksa apakah logging diaktifkan di semua bucket S3

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

Contoh berikut menunjukkan cara membuat 2 bucket:

  1. Bucket logging
  2. Bucket yang sesuai standar
variable "bucket_acl_map" {
  type = map(any)
  default = {
    "logging-bucket"   = "log-delivery-write"
    "compliant-bucket" = "private"
  }
}

resource "aws_s3_bucket" "all" {
  for_each            = var.bucket_acl_map
  bucket              = each.key
  object_lock_enabled = true
  tags = {
    "Pwd"    = "s3"
  }
}

resource "aws_s3_bucket_acl" "private" {
  for_each = var.bucket_acl_map
  bucket   = each.key
  acl      = each.value
}

resource "aws_s3_bucket_versioning" "enabled" {
  for_each = var.bucket_acl_map
  bucket   = each.key
  versioning_configuration {
    status = "Enabled"
  }
}

resource "aws_s3_bucket_logging" "enabled" {
  for_each      = var.bucket_acl_map
  bucket        = each.key
  target_bucket = aws_s3_bucket.all["logging-bucket"].id
  target_prefix = "log/"
}

resource "aws_s3_bucket_server_side_encryption_configuration" "example" {
  for_each = var.bucket_acl_map
  bucket   = each.key

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm     = "aws:kms"
    }
  }
}

Konsol AWS

Untuk mengetahui informasi tentang cara mengaktifkan logging akses S3 melalui konsol AWS, baca Mengaktifkan logging akses server Amazon S3 dalam dokumentasi AWS.

AWS CLI

Contoh berikut menunjukkan cara:

  1. Buat kebijakan bucket untuk memberikan izin utama layanan logging ke PutObject di bucket logging Anda.

policy.json javascript { "Version": "2012-10-17", "Statement": [ { "Sid": "S3ServerAccessLogsPolicy", "Effect": "Allow", "Principal": {"Service": "logging.s3.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::MyBucket/Logs/*", "Condition": { "ArnLike": {"aws:SourceARN": "arn:aws:s3:::SOURCE-BUCKET-NAME"}, "StringEquals": {"aws:SourceAccount": "SOURCE-AWS-ACCOUNT-ID"} } } ] }

aws s3api put-bucket-policy \
  --bucket my-bucket
  --policy file://policy.json
  1. Terapkan kebijakan ke bucket logging

logging.json javascript { "LoggingEnabled": { "TargetBucket": "MyBucket", "TargetPrefix": "Logs/" } }

aws s3api put-bucket-logging \
  --bucket MyBucket \
  --bucket-logging-status file://logging.json

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Bucket Policy Set Deny Http Requests

Nama kategori di API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Di level bucket Amazon S3, Anda dapat mengonfigurasi izin melalui kebijakan bucket, sehingga objek hanya dapat diakses melalui HTTPS.

Rekomendasi: Pastikan Kebijakan Bucket S3 ditetapkan untuk menolak permintaan HTTP

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke AWS Management Console dan buka konsol Amazon S3 menggunakan https://console.aws.amazon.com/s3/
  2. Pilih Kotak centang di sebelah Bucket.
  3. Klik 'Izin'.
  4. Klik 'Bucket Policy'
  5. Tambahkan ini ke kebijakan yang ada untuk mengisi informasi yang diperlukan { "Sid": <optional>", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::<bucket_name>/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }
  6. Simpan
  7. Ulangi untuk semua bucket di akun AWS Anda yang berisi data sensitif.

Dari Konsol

menggunakan Pembuat Kebijakan AWS:

  1. Ulangi langkah 1-4 di atas.
  2. Klik Policy Generator di bagian bawah Bucket Policy Editor
  3. Pilih Jenis Kebijakan S3 Bucket Policy
  4. Tambahkan Pernyataan
  5. Effect = Tolak
  6. Principal = *
  7. AWS Service = Amazon S3
  8. Actions = *
  9. Amazon Resource Name =
  10. Buat Kebijakan
  11. Salin teks dan tambahkan ke Kebijakan Bucket.

AWS CLI

  1. Ekspor kebijakan bucket ke file json. aws s3api get-bucket-policy --bucket <bucket_name> --query Policy --output text > policy.json

  2. Ubah file policy.json dengan menambahkan pernyataan ini:

{
 "Sid": <optional>",
 "Effect": "Deny",
 "Principal": "*",
 "Action": "s3:*",
 "Resource": "arn:aws:s3:::<bucket_name>/*",
 "Condition": {
 "Bool": {
 "aws:SecureTransport": "false"
 }
 }
 }
  1. Terapkan kembali kebijakan yang telah dimodifikasi ini ke bucket S3:
aws s3api put-bucket-policy --bucket <bucket_name> --policy file://policy.json

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Bucket Replication Enabled

Nama kategori di API: S3_BUCKET_REPLICATION_ENABLED

Kontrol ini memeriksa apakah bucket Amazon S3 mengaktifkan Replikasi Lintas Region. Kontrol akan gagal jika bucket tidak mengaktifkan Replikasi Lintas Region atau jika Replikasi Wilayah yang Sama juga diaktifkan.

Replikasi adalah penyalinan objek secara otomatis dan asinkron di seluruh bucket di Region AWS yang sama atau berbeda. Replikasi menyalin objek yang baru dibuat dan update objek dari bucket sumber ke bucket atau bucket tujuan. Praktik terbaik AWS merekomendasikan replikasi untuk bucket sumber dan tujuan yang dimiliki oleh akun AWS yang sama. Selain ketersediaan, Anda harus mempertimbangkan setelan hardening sistem lainnya.

Rekomendasi: Memeriksa apakah bucket S3 mengaktifkan replikasi lintas region

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Bucket Server Side Encryption Enabled

Nama kategori di API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Langkah ini memeriksa apakah bucket S3 Anda telah mengaktifkan enkripsi default Amazon S3 atau bahwa kebijakan bucket S3 secara eksplisit menolak permintaan put-object tanpa enkripsi sisi server.

Rekomendasi: Pastikan semua bucket S3 menggunakan enkripsi dalam penyimpanan

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_s3_bucket_server_side_encryption_configuration" "enable" {
  bucket = "my-bucket"

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm = "AES256"
    }
  }
}

Konsol AWS

Untuk mengaktifkan enkripsi default di bucket S3

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.
  2. Di panel navigasi sebelah kiri, pilih Buckets.
  3. Pilih bucket S3 dari daftar.
  4. Pilih Properti.
  5. Pilih Enkripsi default.
  6. Untuk enkripsi, pilih AES-256 atau AWS-KMS.
  7. Pilih AES-256 untuk menggunakan kunci yang dikelola oleh Amazon S3 untuk enkripsi default. Untuk mengetahui informasi selengkapnya tentang cara menggunakan enkripsi sisi server Amazon S3 untuk mengenkripsi data, lihat Panduan Pengguna Amazon S3 Simple Storage Service.
  8. Pilih AWS-KMS untuk menggunakan kunci yang dikelola oleh AWS KMS untuk enkripsi default. Kemudian, pilih kunci master dari daftar kunci master AWS KMS yang telah Anda buat.
  9. Ketik Amazon Resource Name (ARN) dari kunci AWS KMS yang akan digunakan. Anda dapat menemukan ARN untuk kunci AWS KMS di konsol IAM, di bagian Kunci enkripsi. Atau, Anda dapat memilih nama kunci dari daftar drop-down.
  10. Penting: jika Anda menggunakan opsi AWS KMS untuk konfigurasi enkripsi default, Anda tunduk pada kuota RPS (permintaan per detik) dari AWS KMS. Untuk mendapatkan informasi selengkapnya tentang kuota AWS KMS dan cara meminta penambahan kuota, lihat Panduan Developer Layanan Key Management AWS.
  11. Pilih Simpan.

Untuk mengetahui informasi selengkapnya tentang pembuatan kunci AWS KMS, lihat Panduan Developer Layanan Key Management Service AWS.

Untuk mengetahui informasi selengkapnya tentang penggunaan AWS KMS dengan Amazon S3, lihat Panduan Pengguna Amazon Simple Storage Service.

Jika mengaktifkan enkripsi default, Anda mungkin perlu memperbarui kebijakan bucket. Untuk informasi selengkapnya tentang berpindah dari kebijakan bucket ke enkripsi default, lihat Panduan Pengguna Amazon Simple Storage Service.

AWS CLI

aws s3api put-bucket-encryption \
  --bucket my-bucket \
  --server-side-encryption-configuration '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "AES256"}}]}'

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Bucket Versioning Enabled

Nama kategori di API: S3_BUCKET_VERSIONING_ENABLED

Amazon S3 adalah sarana untuk menyimpan beberapa varian objek di bucket yang sama dan dapat membantu Anda memulihkan dengan lebih mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.

Rekomendasi: Pastikan pembuatan versi diaktifkan untuk semua bucket S3

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_s3_bucket" "my_bucket" {
  bucket = "my-bucket"

  versioning {
    enabled = true
  }
}

Konsol AWS

Untuk mengaktifkan atau menonaktifkan pembuatan versi di bucket S3

  1. Login ke Konsol AWS Management dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.
  2. Dalam daftar Bucket, pilih nama bucket yang ingin Anda aktifkan pembuatan versinya.
  3. Pilih Properti.
  4. Di bawah Pembuatan Versi Bucket, pilih Edit.
  5. Pilih Tangguhkan atau Aktifkan, lalu pilih Simpan perubahan.

AWS CLI

aws s3control put-bucket-versioning \
--bucket <bucket_name> \
--versioning-configuration Status=Enabled

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

S3 Default Encryption Kms

Nama kategori di API: S3_DEFAULT_ENCRYPTION_KMS

Memeriksa apakah bucket Amazon S3 dienkripsi dengan AWS Key Management Service (AWS KMS)

Rekomendasi: Periksa apakah semua bucket dienkripsi dengan KMS

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Terraform

resource "aws_kms_key" "s3_encryption" {
  description         = "Used for S3 Bucket encryption configuration"
  enable_key_rotation = true
}

resource "aws_s3_bucket_server_side_encryption_configuration" "enable" {
  bucket   = "my-bucket"

  rule {
    apply_server_side_encryption_by_default {
      kms_master_key_id = aws_kms_key.s3_encryption.arn
      sse_algorithm     = "aws:kms"
    }
  }
}

Konsol AWS

Untuk mengaktifkan enkripsi default di bucket S3

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.
  2. Di panel navigasi sebelah kiri, pilih Buckets.
  3. Pilih bucket S3 dari daftar.
  4. Pilih Properti.
  5. Pilih Enkripsi default.
  6. Untuk enkripsi, pilih AWS-KMS.
  7. Pilih AWS-KMS untuk menggunakan kunci yang dikelola oleh AWS KMS untuk enkripsi default. Kemudian, pilih kunci master dari daftar kunci master AWS KMS yang telah Anda buat. Untuk mengetahui informasi lebih lanjut tentang cara membuat kunci KMS, lihat Dokumentasi AWS - Membuat Kunci
  8. Ketik Amazon Resource Name (ARN) dari kunci AWS KMS yang akan digunakan. Anda dapat menemukan ARN untuk kunci AWS KMS di konsol IAM, di bagian Kunci enkripsi. Atau, Anda dapat memilih nama kunci dari daftar drop-down.
  9. Penting: solusi ini tunduk pada kuota RPS (permintaan per detik) dari AWS KMS. Untuk mendapatkan informasi selengkapnya tentang kuota AWS KMS dan cara meminta penambahan kuota, lihat Panduan Developer Layanan Key Management AWS.
  10. Pilih Simpan.

Untuk mengetahui informasi selengkapnya tentang penggunaan AWS KMS dengan Amazon S3, lihat Panduan Pengguna Amazon Simple Storage Service.

Jika mengaktifkan enkripsi default, Anda mungkin perlu memperbarui kebijakan bucket. Untuk informasi selengkapnya tentang berpindah dari kebijakan bucket ke enkripsi default, lihat Panduan Pengguna Amazon Simple Storage Service.

AWS CLI

Membuat kunci KMS

aws kms create-key \
  --description "Key to encrypt S3 buckets"

Mengaktifkan rotasi kunci

aws kms enable-key-rotation \
  --key-id <key_id_from_previous_command>

Memperbarui bucket

aws s3api put-bucket-encryption \
  --bucket my-bucket \
  --server-side-encryption-configuration '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"KMSMasterKeyID": "<id_from_key>", "SSEAlgorithm": "AES256"}}]}'

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Sagemaker Notebook Instance Kms Key Configured

Nama kategori di API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Memeriksa apakah kunci AWS Key Management Service (AWS KMS) dikonfigurasi untuk instance notebook Amazon SageMaker. Aturannya adalah NON_COMPLIANT jika 'KmsKeyId' tidak ditentukan untuk instance notebook SageMaker.

Rekomendasi: Periksa apakah semua instance notebook SageMaker dikonfigurasi untuk menggunakan KMS

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Sagemaker Notebook No Direct Internet Access

Nama kategori di API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker. Untuk melakukannya, pengujian akan memeriksa apakah kolom DirectInternetAccess dinonaktifkan untuk instance notebook.

Jika Anda mengonfigurasi instance SageMaker tanpa VPC, akses internet langsung secara default akan diaktifkan di instance Anda. Anda harus mengonfigurasi instance dengan VPC dan mengubah setelan default ke Nonaktif—Akses internet melalui VPC.

Untuk melatih atau menghosting model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, pastikan VPC Anda memiliki gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar. Untuk mempelajari lebih lanjut cara menghubungkan instance notebook ke resource di VPC, lihat Menghubungkan instance notebook ke resource di VPC dalam Panduan Developer Amazon SageMaker.

Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker dibatasi hanya untuk pengguna yang diotorisasi. Membatasi izin IAM pengguna untuk mengubah setelan dan resource SageMaker.

Rekomendasi: Periksa apakah akses internet langsung dinonaktifkan untuk semua instance notebook Amazon SageMaker

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

Perhatikan bahwa Anda tidak dapat mengubah setelan akses internet setelah instance notebook dibuat. Class harus dihentikan, dihapus, dan dibuat ulang.

Untuk mengonfigurasi instance notebook SageMaker guna menolak akses internet langsung:

  1. Buka konsol SageMaker di https://console.aws.amazon.com/sagemaker/
  2. Buka instance Notebook.
  3. Hapus instance yang mengaktifkan akses internet langsung. Pilih instance, pilih Tindakan, lalu pilih berhenti.
  4. Setelah instance dihentikan, pilih Tindakan, lalu pilih hapus.
  5. Pilih Buat instance notebook. Berikan detail konfigurasi.
  6. Luaskan bagian jaringan, lalu pilih VPC, subnet, dan grup keamanan. Di bagian Akses internet langsung, pilih Nonaktifkan—Akses internet melalui VPC.
  7. Pilih Buat instance notebook.

Untuk informasi selengkapnya, lihat Menghubungkan instance notebook ke resource di VPC dalam Panduan Developer Amazon SageMaker.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Secretsmanager Rotation Enabled Check

Nama kategori di API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Memeriksa apakah secret yang disimpan di AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol akan gagal jika rahasia tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai kustom untuk parameter maximumAllowedRotationFrequency, kontrol hanya akan diteruskan jika secret diputar secara otomatis dalam jangka waktu yang ditentukan.

Secret Manager membantu Anda meningkatkan postur keamanan organisasi. Rahasia mencakup kredensial database, sandi, dan kunci API pihak ketiga. Kamu bisa menggunakan Secret Manager untuk menyimpan secret secara terpusat, mengenkripsi secret secara otomatis, mengontrol akses ke secret, serta merotasi secret dengan aman dan otomatis.

Secret Manager dapat merotasi secret. Anda dapat menggunakan rotasi untuk mengganti secret jangka panjang dengan secret jangka pendek. Memutar secret Anda akan membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang telah dibobol. Oleh karena itu, Anda harus sering merotasi secret Anda. Untuk mempelajari rotasi lebih lanjut, lihat Memutar secret AWS Secrets Manager di Panduan Pengguna AWS Secrets Manager.

Rekomendasi: Pastikan semua secret AWS Secrets Manager telah mengaktifkan rotasi

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Sns Encrypted Kms

Nama kategori di API: SNS_ENCRYPTED_KMS

Memeriksa apakah topik SNS dienkripsi dalam penyimpanan menggunakan AWS KMS. Kontrol akan gagal jika topik SNS tidak menggunakan kunci KMS untuk enkripsi sisi server (SSE).

Mengenkripsi data dalam penyimpanan akan mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Sistem ini juga menambahkan serangkaian kontrol akses untuk membatasi kemampuan pengguna yang tidak berwenang untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi dalam penyimpanan untuk lapisan keamanan tambahan.

Rekomendasi: Periksa apakah semua topik SNS dienkripsi dengan KMS

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Vpc Default Security Group Closed

Nama kategori di API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Kontrol ini memeriksa apakah grup keamanan default VPC mengizinkan traffic masuk atau keluar. Kontrol akan gagal jika grup keamanan mengizinkan traffic masuk atau keluar.

Aturan untuk grup keamanan default mengizinkan semua traffic keluar dan masuk dari antarmuka jaringan (dan instance terkaitnya) yang ditetapkan ke grup keamanan yang sama. Sebaiknya Anda tidak menggunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah setelan aturan grup keamanan default untuk membatasi traffic masuk dan keluar. Hal ini mencegah traffic yang tidak diinginkan jika grup keamanan default tidak sengaja dikonfigurasi untuk resource seperti instance EC2.

Rekomendasi: Pastikan grup keamanan default di setiap VPC membatasi semua traffic

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Vpc Flow Logging Enabled All Vpcs

Nama kategori di API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Log Aliran VPC adalah fitur yang memungkinkan Anda merekam informasi tentang traffic IP yang menuju dan keluar dari antarmuka jaringan di VPC Anda. Setelah membuat log alur, Anda dapat melihat dan mengambil datanya di Amazon CloudWatch Logs. Sebaiknya Log Aliran VPC diaktifkan untuk paket "Ditolak" untuk VPC.

Rekomendasi: Pastikan logging aliran VPC diaktifkan di semua VPC

Untuk memperbaiki temuan ini, selesaikan langkah-langkah berikut:

Konsol AWS

  1. Login ke konsol pengelolaan
  2. Pilih Services, lalu VPC
  3. Di panel navigasi kiri, pilih Your VPCs
  4. Pilih VPC
  5. Di panel kanan, pilih tab Flow Logs.
  6. Jika tidak ada Log Aliran, klik Create Flow Log
  7. Untuk Filter, pilih Reject
  8. Masukkan Role dan Destination Log Group
  9. Klik Create Log Flow.
  10. Klik CloudWatch Logs Group

Catatan: Menyetel filter ke "Tolak" akan secara signifikan mengurangi akumulasi data logging untuk rekomendasi ini dan memberikan informasi yang memadai untuk tujuan deteksi, riset, dan perbaikan pelanggaran. Namun, selama periode rekayasa grup keamanan dengan hak istimewa terendah, menyetel filter ini ke "Semua" dapat sangat membantu dalam menemukan aliran traffic yang ada yang diperlukan untuk operasi yang benar pada lingkungan yang sudah berjalan.

AWS CLI

  1. Buat dokumen kebijakan dan beri nama sebagai role_policy_document.json, lalu tempel konten berikut:
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "test",
 "Effect": "Allow",
 "Principal": {
 "Service": "ec2.amazonaws.com"
 },
 "Action": "sts:AssumeRole"
 }
 ]
}
  1. Buat dokumen kebijakan lain dan beri nama sebagai iam_policy.json, lalu tempel konten berikut:
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action":[
 "logs:CreateLogGroup",
 "logs:CreateLogStream",
 "logs:DescribeLogGroups",
 "logs:DescribeLogStreams",
 "logs:PutLogEvents",
 "logs:GetLogEvents",
 "logs:FilterLogEvents"
 ],
 "Resource": "*"
 }
 ]
}
  1. Jalankan perintah di bawah untuk membuat peran IAM:
aws iam create-role --role-name <aws_support_iam_role> --assume-role-policy-document file://<file-path>role_policy_document.json
  1. Jalankan perintah di bawah untuk membuat kebijakan IAM:
aws iam create-policy --policy-name <ami-policy-name> --policy-document file://<file-path>iam-policy.json
  1. Jalankan perintah attach-group-policy menggunakan ARN kebijakan IAM yang ditampilkan di langkah sebelumnya untuk melampirkan kebijakan ke peran IAM (jika perintah berhasil, tidak ada output yang ditampilkan):
aws iam attach-group-policy --policy-arn arn:aws:iam::<aws-account-id>:policy/<iam-policy-name> --group-name <group-name>
  1. Jalankan describe-vpcs untuk mendapatkan VpcId yang tersedia di region yang dipilih:
aws ec2 describe-vpcs --region <region>
  1. Output perintah akan menampilkan ID VPC yang tersedia di region yang dipilih.
  2. Jalankan create-flow-logs guna membuat log alur untuk vpc:
aws ec2 create-flow-logs --resource-type VPC --resource-ids <vpc-id> --traffic-type REJECT --log-group-name <log-group-name> --deliver-logs-permission-arn <iam-role-arn>
  1. Ulangi langkah 8 untuk vpcs lain yang tersedia di region yang dipilih.
  2. Ubah region dengan memperbarui --region dan ulangi prosedur perbaikan untuk vpcs lainnya.

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Vpc Sg Open Only To Authorized Ports

Nama kategori di API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Kontrol ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan traffic masuk tidak terbatas dari port yang tidak diizinkan. Status kontrol ditentukan sebagai berikut:

Jika Anda menggunakan nilai default untuk otorisasiTcpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk tidak terbatas dari port mana pun selain port 80 dan 443.

Jika Anda memberikan nilai kustom untuk otorisasiTcpPorts atau otorisasiUdpPorts, kontrol akan gagal jika grup keamanan mengizinkan traffic masuk yang tidak dibatasi dari port yang tidak tercantum.

Jika tidak ada parameter yang digunakan, kontrol akan gagal untuk grup keamanan yang memiliki aturan traffic masuk tidak terbatas.

Grup keamanan menyediakan pemfilteran stateful untuk traffic jaringan masuk dan keluar ke AWS. Aturan grup keamanan harus mengikuti prinsip akses dengan hak istimewa terendah. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang terjadinya aktivitas berbahaya seperti peretasan, serangan denial-of-service, dan kehilangan data. Kecuali porta diizinkan secara khusus, port harus menolak akses tak terbatas.

Rekomendasi: Memeriksa apakah setiap grup keamanan dengan 0.0.0.0/0 dari VPC apa pun hanya mengizinkan traffic TCP/UDP masuk tertentu

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.

Both VPC VPN Tunnels Up

Nama kategori di API: VPC_VPN_2_TUNNELS_UP

Tunnel VPN adalah link terenkripsi tempat data dapat diteruskan dari jaringan pelanggan ke atau dari AWS dalam koneksi VPN Situs ke Situs AWS. Setiap koneksi VPN mencakup dua tunnel VPN yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan kedua tunnel VPN siap untuk koneksi VPN sangatlah penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara AWS VPC dan jaringan jarak jauh Anda.

Kontrol ini memeriksa apakah kedua tunnel VPN yang disediakan oleh VPN Site-to-Site AWS dalam status UP. Kontrol akan gagal jika salah satu atau kedua tunnel berada dalam status DOWN.

Rekomendasi: Pastikan kedua tunnel VPN AWS yang disediakan oleh site-to-site AWS dalam status UP

Pelajari setelan aset dan pemindaian yang didukung jenis temuan ini.