CIS AWS Benchmark v1.2.0 - Gestione audit AWS
Cos'è il CIS?Utilizzo di questo frameworkPassaggi successiviRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CIS AWS Benchmark v1.2.0

AWS Audit Manager fornisce due framework predefiniti che supportano il Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0.

Nota

Cos'è il CIS?

Il CIS è un'organizzazione no profit che ha sviluppato il CIS Foundations Benchmark. AWS Questo benchmark funge da insieme di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore vanno oltre le linee guida di alto livello in materia di sicurezza già disponibili, step-by-step in quanto forniscono procedure chiare di implementazione e valutazione.

Per ulteriori informazioni, consultate i post del blog CIS AWS Foundations Benchmark sul Security Blog.AWS

Differenza tra i benchmark CIS e i controlli CIS

I benchmark CIS sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi specifici utilizzati dall'organizzazione. I controlli CIS sono linee guida di best practice fondamentali per i sistemi a livello di organizzazione da seguire per la protezione dai vettori di attacchi informatici noti.

Esempi

  • I benchmark CIS sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore.

    Esempio: CIS AWS Benchmark v1.2.0 - Assicurati che l'MFA sia abilitata per l'account «utente root».

    Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS

  • I controlli CIS sono rivolti all'intera organizzazione. Non sono specifici per un solo prodotto del fornitore.

    Esempio: CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi

    Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione. Non descrive come applicarlo ai sistemi e ai carichi di lavoro in esecuzione (indipendentemente da dove si trovino).

Utilizzo di questo framework

È possibile utilizzare i framework CIS AWS Benchmark v1.2 per prepararsi agli audit CIS. AWS Audit Manager Puoi inoltre personalizzare questi framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando i framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework CIS. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto.

I dettagli del framework sono i seguenti:

Nome del framework in AWS Audit Manager Numero di controlli automatici Numero di controlli manuali Numero di set di controllo
Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, livello 1

35

 1 4
Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, livello 1 e 2 48 1 4
Suggerimento

Per esaminare un elenco delle AWS Config regole utilizzate come mappature delle sorgenti dati per questi framework standard, scarica i seguenti file:

  1. AuditManager_ ConfigDataSourceMappings _CIS-AWS-Benchmark-v1.2.0, -Level-1.zip

  2. AuditManager_ ConfigDataSourceMappings _CIS-AWS-Benchmark-v1.2.0, -Level-1-and-2.zip

I controlli in questi framework non hanno lo scopo di verificare se i sistemi sono conformi alle migliori pratiche di CIS Benchmark. AWS Inoltre, non possono garantire che supererai un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

È possibile trovare questi framework nella scheda Standard frameworks della libreria di framework in Audit Manager.

Prerequisiti per l'utilizzo di questi framework

Molti controlli nei framework CIS AWS Benchmark v1.2 vengono utilizzati come tipo di origine dati. AWS Config Per supportare questi controlli, è necessario abilitarli AWS Config su tutti gli account in ciascuno dei Regione AWS quali è stato abilitato Audit Manager. È inoltre necessario assicurarsi che siano abilitate AWS Config regole specifiche e che tali regole siano configurate correttamente.

Le seguenti AWS Config regole e parametri sono necessari per raccogliere le prove corrette e acquisire uno stato di conformità accurato per il CIS AWS Foundations Benchmark v1.2. Per istruzioni su come abilitare o configurare una regola, consulta Lavorare con regole gestite AWS Config.

AWS Config Regola obbligatoria Parametri obbligatori
ACCESS_KEYS_ROTATED
maxAccessKeyAge

  • Il numero massimo di giorni senza rotazione.

  • Tipo: Int

  • Impostazione predefinita: 90

  • Requisito di conformità: un massimo di 90 giorni
CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Non applicabile
CLOUD_TRAIL_ENCRYPTION_ENABLED Non applicabile
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Non applicabile
CMK_BACKING_KEY_ROTATION_ENABLED Non applicabile
IAM_PASSWORD_POLICY
MaxPasswordAge (facoltativo).

  • Numero di giorni prima della scadenza della password.

  • Tipo: int

  • Impostazione predefinita: 90

  • Requisito di conformità: un massimo di 90 giorni
IAM_PASSWORD_POLICY
MinimumPasswordLength (facoltativo).

  • La lunghezza minima della password.

  • Tipo: int

  • Impostazione predefinita: 14

  • Requisito di conformità: minimo 14 caratteri
IAM_PASSWORD_POLICY
PasswordReusePrevention (facoltativo).

  • Numero di password prima di permettere il riutilizzo.

  • Tipo: int

  • Impostazione predefinita: 24

  • Requisito di conformità: un minimo di 24 password prima del riutilizzo
IAM_PASSWORD_POLICY
RequireLowercaseCharacters (facoltativo).

  • La password deve contenere almeno un carattere minuscolo.

  • Tipo: Booleano

  • Impostazione predefinita: True

  • Requisito di conformità: almeno un carattere minuscolo
IAM_PASSWORD_POLICY
RequireNumbers (facoltativo).

  • La password deve contenere almeno un numero.

  • Tipo: Booleano

  • Impostazione predefinita: True

  • Requisito di conformità: almeno un numero
IAM_PASSWORD_POLICY
RequireSymbols (facoltativo).

  • La password deve contenere almeno un simbolo.

  • Tipo: Booleano

  • Impostazione predefinita: True

  • Requisito di conformità: almeno un simbolo
IAM_PASSWORD_POLICY
RequireUppercaseCharacters (facoltativo).

  • La password deve contenere almeno un carattere maiuscolo.

  • Tipo: Booleano

  • Impostazione predefinita: True

  • Requisito di conformità: almeno un carattere maiuscolo

IAM_POLICY_IN_USE
policyARN

  • Un ARN della policy IAM da verificare.

  • ▬Tipo: stringa

  • Requisito di conformità: crea un ruolo IAM per la gestione degli incidenti con AWS.

policyUsageType (facoltativo).

  • Specifica se si prevede che la policy venga collegata a un utente, un gruppo o un ruolo.

  • ▬Tipo: stringa

  • Valori validi: IAM_USER| IAM_GROUP| IAM_ROLE| ANY

  • Valore predefinito: ANY

  • Requisito di conformità: allega la policy di fiducia al ruolo IAM creato
IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS Non applicabile
IAM_ROOT_ACCESS_KEY_CHECK Non applicabile
IAM_USER_NO_POLICIES_CHECK Non applicabile
IAM_USER_UNUSED_CREDENTIALS_CHECK
maxCredentialUsageAge

  • Il numero massimo di giorni per i quali una credenziale non può essere utilizzata.

  • Tipo: Int

  • Impostazione predefinita: 90

  • Requisito di conformità: 90 giorni o più
INCOMING_SSH_DISABLED Non applicabile
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS Non applicabile
MULTI_REGION_CLOUD_TRAIL_ENABLED Non applicabile
RESTRICTED_INCOMING_TRAFFIC
blockedPort1 (facoltativo).

  • Numero di porta TCP bloccata.

  • Tipo: int

  • Impostazione predefinita: 20

  • Requisito di conformità: assicurati che nessun gruppo di sicurezza consenta l'accesso alle porte bloccate

blockedPort2 (facoltativo).

  • Numero di porta TCP bloccata.

  • Tipo: int

  • Impostazione predefinita: 21

  • Requisito di conformità: assicurati che nessun gruppo di sicurezza consenta l'accesso alle porte bloccate

blockedPort3 (facoltativo).

  • Numero di porta TCP bloccata.

  • Tipo: int

  • Impostazione predefinita: 3389

  • Requisito di conformità: assicurati che nessun gruppo di sicurezza consenta l'accesso alle porte bloccate

blockedPort4 (facoltativo).

  • Numero di porta TCP bloccata.

  • Tipo: int

  • Impostazione predefinita: 3306

  • Requisito di conformità: assicurati che nessun gruppo di sicurezza consenta l'accesso alle porte bloccate

blockedPort5 (facoltativo).

  • Numero di porta TCP bloccata.

  • Tipo: int

  • Impostazione predefinita: 4333

  • Requisito di conformità: assicurati che nessun gruppo di sicurezza consenta l'accesso alle porte bloccate
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED Non applicabile
ROOT_ACCOUNT_MFA_ENABLED Non applicabile
S3_BUCKET_LOGGING_ENABLED
targetBucket (facoltativo).

  • Il bucket S3 di destinazione per l'archiviazione dei log di accesso al server.

  • ▬Tipo: stringa

  • Requisito di conformità: abilita il log

targetPrefix (facoltativo).

  • Il prefisso del bucket S3 per l'archiviazione dei log di accesso al server.

  • ▬Tipo: stringa

  • Requisito di conformità: identifica il bucket S3 per la registrazione CloudTrail
S3_BUCKET_PUBLIC_READ_PROHIBITED Non applicabile
VPC_DEFAULT_SECURITY_GROUP_CLOSED Non applicabile
VPC_FLOW_LOGS_ENABLED
trafficType (facoltativo).

  • Il trafficType dei log di flusso.

  • ▬Tipo: stringa

  • Requisito di conformità: il log del flusso è abilitato

Passaggi successivi

Per istruzioni su come creare una valutazione utilizzando questi framework, consulta Creazione di una valutazione in AWS Audit Manager.

Per istruzioni su come personalizzare questi framework per supportare requisiti specifici, consulta. Creazione di una copia modificabile di un framework esistente in AWS Audit Manager

Risorse aggiuntive