ビュー:

Cloud Risk Managementに関するよくあるサポート質問への回答を取得します。

関連情報

Cloud Risk Management FAQs

GCPとAzureのエージェントレス脆弱性と脅威の検出に関連するルールの失敗をどのように管理しますか?

エージェントレス脆弱性および脅威の検出(AVTD) for GCPおよびAzure機能は、クラウド構成のベストプラクティスを満たすために、セキュリティとパフォーマンスを含む徹底的なテストが行われました。次のルールの所見はトレンドマイクロチームによってレビューされ、安全に無視できます。

Azureエージェントレスによる脆弱性と脅威の検出のルール検出結果

  1. AppService-013 自動バックアップの有効化: APPサービスはステートレスであり、データを保存しません。障害が発生した場合、Terraformを使用して完全に再作成および再展開できるため、バックアップは必要ありません。
  2. Functions-002 Azure Functionsの仮想ネットワーク統合を有効化: Function Appsは、最小特権の役割ベースのアクセス制御、マネージドID、および暗号化された接続によってすでに保護されているため、VNet統合は必要ありません
  3. VirtualMachines-043 仮想マシンディスクへのパブリックネットワークアクセスを無効にする: 複数のサービスがディスクにアクセスするため、VMディスクはパブリックネットワークアクセスを許可しています。ネットワークおよびサービスレベルの制御が行われており、露出を制限しています。
  4. Function-006公開Azure関数: 関数アプリは、関数間の通信の安定性を維持するために公開されています。関数にアクセスするために役割が必要です。
  5. VirtualMachines-008 ディスクボリューム暗号化にBYOKを使用: AVTDによって起動されたスキャナーVMは短期間のみ存在し、検索の期間中のみ存在するため、BYOKディスク暗号化は必要ありません。
  6. VirtualMachines-013 Azure仮想マシンのバックアップを有効にする: AVTDによって起動されたスキャナーVMは短期間しか存在せず、検索の期間のみ存在するため、バックアップは必要ありません。
  7. VirtualMachines-021 仮想マシンのためのジャストインタイムアクセスを有効化: スキャナーVMはディスクスキャンのためだけに使用されるため、ジャストインタイムアクセスは必要ありません。
  8. VirtualMachine-039 サーバサイド暗号化のブートディスクへのCMK使用: 検索VMは検索の期間中のみ存在する短期間の一時的なインスタンスであり、そのブートディスクには機密データが保存されません。したがって、CMKベースのサーバサイド暗号化は必要ありません。
  9. VirtualMachine-007 SSH認証タイプの確認: スキャナーVMはSSHアクセスを許可しておらず、SSHキーは必要ありません。
  10. StorageAccounts-018 カスタマー管理型のキーを使用したストレージアカウントの暗号化: ストレージアカウントには機密データが含まれておらず、すでにMicrosoft管理型のキーで暗号化されているため、カスタマー管理型のキーは必要ありません。
  11. StorageAccounts-023 プライベートエンドポイント使用中: ストレージアカウントには機密データが含まれておらず、RBAC、マネージドID、暗号化アクセスで既に保護されているため、プライベートエンドポイントは必要ありません。
  12. StorageAccounts-024 インフラストラクチャ暗号化を有効化: ストレージアカウントは機密データを保存しておらず、Azureのデフォルトのサーバ側暗号化とMicrosoft管理キーによって既に保護されているため、インフラストラクチャレベルの暗号化は必要ありません。
  13. StorageAccounts-029 ストレージアカウントへのパブリックネットワークアクセスを無効化: 複数のサービスがアクセスを必要とするため、このストレージアカウントへのパブリックネットワークアクセスが有効になっています。データの安全性を確保するために、アクセスキーやその他のセキュリティ管理が実施されています。
  14. KeyVault-001 キーボールトの回復機能を有効化: AVTDが作成したキーボールトは即座に削除する必要があり、回復の必要はありません。
  15. KeyVault-018 Key Vaultにプライベートエンドポイントを使用する: Key Vaultのプライベートエンドポイントは適用されません。Key VaultはVNet統合を必要とせずに安全にアクセスできます。
  16. AppService-005 Azureアプリが最新バージョンのHTTPを使用していることを確認: AVTD Function Appは、HTTP/2が必要ない軽量なリクエストを処理します。

Google Cloud (GCP) エージェントレスによる脆弱性と脅威の検出のルール検出結果

  1. CloudRun-005: 無制限のアウトバウンドネットワークアクセスの確認: AVTD Cloud Runスキャナーサービスが正常に動作するためには無制限のエグレスが必要ですが、関連するリスクは厳格なIAM制御、隔離、認証されたアクセス、一時的なワークロード、包括的な監視によって軽減されます。
  2. CloudRun-008: サービス暗号化に顧客管理の暗号鍵を使用する: AVTD Cloud Run機能はデフォルトでGoogle管理の鍵を使用して暗号化されており、高度な機密データを処理しないため、追加の暗号化管理は不要です。
  3. CloudStorage-006: 顧客管理キーによるオブジェクト暗号化を有効にする: AVTDバケットはデフォルトでGoogle管理キーを使用して暗号化されており、高度な機密データは保存されないため、追加のCMEK制御は不要です。
  4. CloudStorage-005: バケットウェブサイト構成のインデックスページサフィックスとエラーページを定義する: クラウドストレージは、ウェブサイト構成が適用されないウェブサイトホスティングを目的としていません。
  5. SecretManager-004: Secret Managerのシークレット暗号化に顧客管理の暗号鍵を使用する: AVTDリソースはデフォルトの鍵で安全に暗号化されているため、顧客管理の鍵を使用した追加の暗号化は必要ありません。
  6. CloudRun-001: コンテナインスタンスの最小数を確認: AVTDではコスト効率が優先されており、わずかなコールドスタートの遅延は許容されます。インスタンスを継続的に稼働させることは、意味のあるパフォーマンス向上がないまま不必要なコストを生むことになります。
  7. CloudRun-004: Cloud RunサービスでエンドツーエンドのHTTP/2を有効にする: AVTD Cloud Runサービスは、HTTP/2を必要としない軽量なリクエストを処理します。
  8. CloudRun-006: バイナリ認証を有効にする: 既存のIAM、サービスアカウント制御、プライベートレジストリの制限、ネットワークセキュリティにより、信頼できるコンテナのみがデプロイされることがすでに保証されているため、バイナリ認証は必要ありません。
  9. CloudVPC-006: すべてのVPCネットワークでCloud DNSログが有効になっていることを確認してください: AVTDは安全にGoogleネットワークを展開します。監視にはCloud DNSログは必要ありません。
  10. CloudVPC-003: VPCサブネットのVPCフローログを有効にする: AVTDはVPCサブネットネットワークを安全に展開します。監視にはVPCフローログは必要ありません。
  11. CloudStorage-009: 使用状況とストレージログを有効にする: AVTDアクセスログバケットは、リソースバケットからのログを保存するための専用バケットです。
  12. CloudLogging-010: バケットロックを使用した保持ポリシーの設定: AVTDはログシンクバケットの保持ポリシーを設定します。ポリシーを調整する柔軟性を持たせるために、バケットロック機能を強制しません。
  13. CloudStorage-003: バケットロックで保持ポリシーを設定する: AVTDはクラウドストレージの保持ポリシーを設定します。ポリシーを調整する柔軟性を持たせるためにバケットロック機能を強制しません。
  14. SecretManager-002: シークレットバージョンの破壊遅延を有効にする: シークレットは破壊時に即座に削除される必要があるため、遅延破壊ポリシーは不要です。
  15. SecretManager-003: シークレットマネージャーのシークレットに対するローテーションスケジュールを有効にする: AVTDには組み込みのシークレットローテーションメカニズムが含まれています。

Agentless Vulnerabilityおよび脅威の検出に関連する潜在的なルールの失敗は何ですか?

新しい[Guided Exclusions]機能は、デフォルトで自動的に有効になり、AVTDリソースを除外して、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、環境設定の管理を参照してください。
除外されたリソースの潜在的なルールの発見
以下の潜在的なルールの発見はトレンドマイクロチームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は適用されず、安全に無視することができます。
新しいガイド付き除外機能は、デフォルトで自動的に有効になり、AVTDリソースを除外し、クラウドアカウントのコンプライアンスおよびリスクスコアに影響を与える障害を防ぎます。除外の無効化を含む詳細については、設定の管理を参照してください。
除外されたリソースの潜在的なルール検出
次の潜在的なルールの発見はトレンドマイクロチームによってレビューされました。これらのリソースのコンテキストを考慮すると、これらの発見は該当せず、安全に無視できます。
  1. Lambda-009: 環境変数の保存時暗号化を顧客管理キーで有効化: AVTDリソースはデフォルトキーで安全に暗号化されています。さらに、環境変数には秘密情報が含まれていないため、顧客管理キーを使用した追加の暗号化は必要ありません。
  2. SecretsManager-001: KMSカスタマーマスターキーで暗号化されたシークレット: AVTDリソースはデフォルトキーで安全に暗号化されているため、顧客管理キーを使用した追加の暗号化は必要ありません。
  3. Lambda-001: 最新のランタイム環境を使用するLambda: AVTDは、すべてのLambdaがサポートされているランタイム環境を使用し、サポート終了日がないことを保証します。すべてのサポートされているランタイム環境は、AWSから頻繁にセキュリティアップデートを受け取ります。
  4. Lambda-003: Lambdaトレースが有効: AVTDはこの機能をリリース前に徹底的にテストするため、トレースの有効化による追加の可視性は必要ありません。
  5. SecretsManager-002:シークレットのローテーションが有効 AVTDはAWSが提供するものではなく独自のシークレット機能を使用するため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  6. SecretsManager-003: シークレットのローテーション間隔 AVTDはAWSが提供するものではなく独自のシークレット機能を使用しているため、AWSが提供するシークレットローテーション機能を有効にする必要はありません。
  7. S3-024: S3 Transfer Acceleration: AVTD機能は転送加速機能を使用しません。
  8. Lambda-006: 複数のLambda関数に対してIAMロールを使用する: AVTDは「パーミッションプレーン」と呼ばれる戦略を採用しており、同一の権限を必要とするLambda関数が単一のIAMロールを使用します。これにより、複数のリージョンにデプロイする際の効率性と管理性が確保されます。例えば、顧客のクラウドアカウントで使用されるIAMロールの数を減らすことができます
  9. Lambda-007:AWS Lambda関数のVPCアクセス: AVTDは、VPCの実装が必要なRedshift、ElastiCache、RDSなどのリソースを使用しません。
  10. CFM-001: CloudFormationスタック通知: AVTD CloudFormationスタックは既にAWSではなくV1 CAMを介して管理されています。
  11. CFM-002: CloudFormationスタックポリシー: AVTD CloudFormationスタックはすでにAWSではなくV1 CAMを介して管理されています。
  12. CFM-005:CloudFormationスタック終了保護: 環境内のスタックを管理するために、AVTDはユーザがスタックを無効化し、アカウントから削除することを許可します
  13. S3-025: 顧客提供キーCMKで暗号化されたS3バケット: AVTDはすでにS3管理キーを使用して暗号化されています。
  14. SQS-006:SQSデッドレターキュー: AVTDは、該当する場合にいくつかのSQSリソースでデッドレターキュー (DLQ) を実装します。
  15. S3-013: S3バケットMFA削除が有効: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されるのを防ぐためにMFA削除保護を有効にする必要はありません
  16. S3-023: オブジェクトロック: AVTD S3に保存されているオブジェクトは比較的短命であるため、誤って削除されることを防ぐためのオブジェクトロックは必要ありません。

パフォーマンスのトラブルシューティング 親トピック

パフォーマンスの問題のトラブルシューティングオプション
[問題]
[解決策または原因]
コンプライアンス検索 が原因でアカウントがレート制限に達しました
コンプライアンス検索の実行間隔を延ばしてパフォーマンスの問題を管理する
APIスロットリング
Cloud Risk Management は、不要なAPI呼び出しを回避するためにプラットフォームを最適化しました。パフォーマンスの最適化の例:1. Cloud Risk Management がAWS API for S3バケットリストを呼び出す場合、ボットは繰り返しの呼び出しを実行せず、代わりに変更の確認のみを行います。2. Cloud Risk Management は部分インベントリをサポートします。つまり、AWSからのリソースの部分的なリストを使用して、システムが部分的な呼び出しを処理できるようにします。エクスポネンシャルバックオフAPIのサポート。
その他の問題が発生した場合は、Cloud Risk Management のサポート