Sicurezza

Descrizione

Verifica se il periodo di conservazione dei gruppi di CloudWatch log di Amazon è impostato su 365 giorni o su un altro numero specificato.

Per impostazione predefinita, i log vengono conservati a tempo indeterminato e non scadono mai. Tuttavia, per ogni gruppo di log puoi modificare la policy di conservazione in modo da conformarla per un periodo specifico alle normative di settore o ai requisiti legali.

Puoi specificare il tempo minimo di conservazione e i nomi dei gruppi di log utilizzando LogGroupi parametri Names and MinRetentionTime nelle tue AWS Config regole.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz186

Origine

AWS Config Managed Rule: cw-loggroup-retention-period-check

Criteri di avviso

Giallo: il periodo di conservazione di un gruppo di CloudWatch log Amazon è inferiore al numero minimo di giorni desiderato.

Operazione consigliata

Configura un periodo di conservazione di oltre 365 giorni per i dati di log archiviati in Amazon CloudWatch Logs per soddisfare i requisiti di conformità.

Per ulteriori informazioni, consulta Change log data retention in CloudWatch Logs.

Risorse aggiuntive

Alterazione della conservazione dei log CloudWatch

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica le versioni di SQL Server per le istanze Amazon Elastic Compute Cloud (Amazon EC2) in esecuzione nelle ultime 24 ore. Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione di SQL Server offre 10 anni di supporto, inclusi 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione di SQL Server non riceverà aggiornamenti di sicurezza regolari. L'esecuzione di applicazioni con versioni di SQL Server non supportate può comportare rischi per la sicurezza o la conformità.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

Qsdfp3A4L3

Criteri di avviso

Rosso: un'istanza EC2 ha una versione di SQL Server che ha raggiunto la fine del supporto.
Giallo: un'istanza EC2 ha una versione di SQL Server che raggiungerà la fine del supporto in 12 mesi.

Operazione consigliata

Per modernizzare i carichi di lavoro di SQL Server, valuta la possibilità di rifattorizzare i database nativi di Cloud AWS come Amazon Aurora. Per ulteriori informazioni, consulta Modernizza i carichi di lavoro Windows con. AWS

Per passare a un database completamente gestito, valuta la possibilità di ridefinire la piattaforma su Amazon Relational Database Service (Amazon RDS). Per ulteriori informazioni, consulta Utilizzo di Amazon RDS per SQL Server.

Per aggiornare il tuo SQL Server su Amazon EC2, valuta la possibilità di utilizzare il runbook di automazione per semplificare l'aggiornamento. Per ulteriori informazioni, consulta la documentazione relativa ad AWS Systems Manager.

Se non riesci ad aggiornare il tuo SQL Server su Amazon EC2, valuta il programma EMP (End-of-Sport Migration Program) per Windows Server. Per ulteriori informazioni, consulta il sito Web di EMP.

Risorse aggiuntive

Colonne del report

Stato
Regione
ID istanza
Versione SQL Server:
Cicli di supporto
Fine del supporto
Ora ultimo aggiornamento

Descrizione

Questo controllo ti avvisa se le versioni sono vicine o hanno raggiunto la fine del supporto. Ogni versione di Windows Server offre 10 anni di supporto. Ciò include 5 anni di supporto mainstream e 5 anni di supporto esteso. Dopo la fine del supporto, la versione di Windows Server non riceverà più i normali aggiornamenti di sicurezza. Se esegui applicazioni con versioni di Windows Server non supportate, la sicurezza o la conformità di tali applicazioni è a rischio.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

Qsdfp3A4L4

Criteri di avviso

Rosso: un'istanza EC2 dispone di una versione di Windows Server che ha raggiunto la fine del supporto (Windows Server 2003, 2003 R2, 2008 e 2008 R2).
Giallo: un'istanza EC2 dispone di una versione di Windows Server che raggiungerà la fine del supporto in meno di 18 mesi (Windows Server 2012 e 2012 R2).

Operazione consigliata

Per modernizzare i carichi di lavoro di Windows Server, prendi in considerazione le varie opzioni disponibili in Modernize Windows Workloads with. AWS

Per aggiornare i carichi di lavoro di Windows Server in modo da poterli eseguire su versioni più recenti di Windows Server, puoi utilizzare un runbook di automazione. Per ulteriori informazioni, consulta la documentazione di AWS Systems Manager.

Segui la procedura riportata di seguito:

Aggiorna la versione di Windows Server
Arresto difficile e avvio al momento dell'aggiornamento
Se usi EC2Config, esegui la migrazione a EC2Launch

Colonne del report

Stato
Regione
ID istanza
Versione di Windows Server
Cicli di supporto
Fine del supporto
Ora ultimo aggiornamento

Descrizione

Questo controllo ti avvisa se le versioni sono prossime o hanno raggiunto la fine del supporto standard. È importante agire, migrando alla versione successiva di LTS o effettuando l'aggiornamento a Ubuntu Pro. Dopo la fine del supporto, le tue macchine LTS 18.04 non riceveranno alcun aggiornamento di sicurezza. Con un abbonamento a Ubuntu Pro, la tua distribuzione di Ubuntu 18.04 LTS può ricevere Expanded Security Maintenance (ESM) fino al 2028. Le vulnerabilità di sicurezza che rimangono prive di patch aprono i sistemi agli hacker e al potenziale di una grave violazione.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c1dfprch15

Criteri di avviso

Rosso: un'istanza Amazon EC2 ha una versione di Ubuntu che ha raggiunto la fine del supporto standard (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS e 18.04.6 LTS).

Giallo: un'istanza Amazon EC2 ha una versione di Ubuntu che raggiungerà la fine del supporto standard in meno di 6 mesi (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS e 20.04.6 LTS).

Verde: tutte le istanze Amazon EC2 sono conformi.

Operazione consigliata

Per aggiornare le istanze LTS di Ubuntu 18.04 a una versione LTS supportata, segui i passaggi indicati in questo articolo. Per aggiornare le istanze di Ubuntu 18.04 LTS a Ubuntu Pro, visita la AWS License Manager console e segui i passaggi indicati nella guida per l'utente.AWS License Manager Puoi anche fare riferimento al blog di Ubuntu che mostra una demo dettagliata sull'aggiornamento delle istanze di Ubuntu a Ubuntu Pro.

Risorse aggiuntive

Per informazioni sui prezzi, contatta. AWS Support

Colonne del report

Stato
Regione
Versione Ubuntu Lts
Data prevista di fine del supporto
ID istanza
Cicli di supporto
Ora ultimo aggiornamento

Descrizione

Verifica se il file system Amazon EFS è montato utilizzando data-in-transit la crittografia. AWS consiglia ai clienti di utilizzare data-in-transit la crittografia per tutti i flussi di dati per proteggere i dati dall'esposizione accidentale o dall'accesso non autorizzato. Amazon EFS consiglia ai client di utilizzare l'impostazione di montaggio '-o tls' utilizzando l'helper di montaggio Amazon EFS per crittografare i dati in transito utilizzando TLS v1.2.

ID di controllo

c1dfpnchv1

Criteri di avviso

Giallo: uno o più client NFS per il tuo file system Amazon EFS non utilizzano le impostazioni di montaggio consigliate che forniscono la data-in-transit crittografia.

Verde: tutti i client NFS per il tuo file system Amazon EFS utilizzano le impostazioni di montaggio consigliate che forniscono la data-in-transit crittografia.

Operazione consigliata

Per sfruttare la funzionalità di data-in-transit crittografia su Amazon EFS, ti consigliamo di rimontare il file system utilizzando l'helper di montaggio di Amazon EFS e le impostazioni di montaggio consigliate.

Nota

Alcune distribuzioni di Linux non includono una versione di stunnel che supporta le funzionalità TLS per impostazione predefinita. Se utilizzi una distribuzione Linux non supportata (vedi le distribuzioni supportate qui), ti consigliamo di aggiornarla prima di rimontarla con l'impostazione di montaggio consigliata.

Risorse aggiuntive

Crittografia dei dati in transito

Colonne del report

Stato
Regione
ID dei file system EFS
AZ con connessioni non crittografate
Ora ultimo aggiornamento

Descrizione

Verifica le impostazioni di autorizzazione per gli snapshot del volume Amazon Elastic Block Store (Amazon EBS) e ti avvisa se alcune istantanee sono accessibili pubblicamente.

Quando rendi pubblica un'istantanea, consenti a tutti Account AWS e agli utenti l'accesso a tutti i dati in essa contenuti. Per condividere un'istantanea solo con utenti o account specifici, contrassegna l'istantanea come privata. Quindi, specifica l'utente o gli account con cui desideri condividere i dati dell'istantanea. Tieni presente che se hai abilitato Block Public Access in modalità «blocca tutte le condivisioni», le tue istantanee pubbliche non sono accessibili pubblicamente e non compaiono nei risultati di questo controllo.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate.

ID di controllo

ePs02jT06w

Criteri di avviso

Rosso: l'istantanea del volume EBS è accessibile al pubblico.

Operazione consigliata

A meno che tu non sia sicuro di voler condividere tutti i dati dell'istantanea con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di uno snapshot Amazon EBS. Usa Block Public Access for EBS Snapshots per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Questo controllo non può essere escluso dalla visualizzazione nella Trusted Advisor console.

Per modificare direttamente le autorizzazioni per le istantanee, utilizza un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyEBSSnapshotPermission.

Risorse aggiuntive

Snapshot Amazon EBS

Colonne del report

Stato
Regione
ID volume
ID snapshot
Descrizione

Descrizione

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite. AWS Key Management Service Su un'istanza DB attiva con crittografia Amazon RDS, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un cluster Aurora DB, è necessario ripristinare un'istantanea decrittografata in un cluster DB crittografato.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster DB viene interrotto, puoi visualizzare i consigli di Amazon RDS Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la console Amazon RDS, quindi scegli Consigli.

Se elimini un'istanza o un cluster DB, i consigli associati a tali istanze o cluster non sono disponibili nella console di Trusted Advisor gestione Amazon RDS.

ID di controllo

c1qf5bt005

Criteri di avviso

Rosso: per le risorse Amazon RDS Aurora non è abilitata la crittografia.

Operazione consigliata

Attiva la crittografia dei dati inattivi per il tuo cluster DB.

Risorse aggiuntive

È possibile attivare la crittografia durante la creazione di un'istanza DB o utilizzare una soluzione alternativa per attivare la crittografia su un'istanza DB attiva. Non è possibile modificare un cluster DB decrittografato in un cluster DB crittografato. Tuttavia, è possibile ripristinare un'istantanea decrittografata in un cluster DB crittografato. Quando si esegue il ripristino da un'istantanea decrittografata, è necessario specificare una chiave. AWS KMS

Per ulteriori informazioni, consulta Crittografia delle risorse Amazon Aurora.

Colonne del report

Stato
Regione
Risorsa
Nome del motore
Ora ultimo aggiornamento

Descrizione

Le risorse del tuo database non eseguono l'ultima versione secondaria del motore DB. L'ultima versione secondaria contiene le ultime correzioni di sicurezza e altri miglioramenti.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster DB viene interrotto, puoi visualizzare i consigli di Amazon RDS Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la console Amazon RDS, quindi scegli Consigli.

Se elimini un'istanza o un cluster DB, i consigli associati a tali istanze o cluster non sono disponibili nella console di Trusted Advisor gestione Amazon RDS.

ID di controllo

c1qf5bt003

Criteri di avviso

Rosso: le risorse Amazon RDS non eseguono l'ultima versione secondaria del motore DB.

Operazione consigliata

Esegui l'upgrade alla versione più recente del motore.

Risorse aggiuntive

Ti consigliamo di mantenere il tuo database con la versione minore più recente del motore DB poiché questa versione include le ultime correzioni di sicurezza e funzionalità. Gli aggiornamenti delle versioni secondarie del motore DB contengono solo le modifiche retrocompatibili con le versioni secondarie precedenti della stessa versione principale del motore DB.

Per ulteriori informazioni, consulta Aggiornamento di una versione del motore delle istanze DB.

Colonne del report

Stato
Regione
Risorsa
Nome del motore
Versione del motore attuale
Valore consigliato
Ora ultimo aggiornamento

Descrizione

Controlla le impostazioni di autorizzazione per gli snapshot DB Amazon Relational Database Service (Amazon RDS) e avvisa se eventuali snapshot sono contrassegnati come pubblici.

Quando si rende pubblica un'istantanea, si concede a tutti Account AWS e agli utenti l'accesso a tutti i dati dell'istantanea. Se desideri condividere uno snapshot solo con utenti o account specifici, contrassegna lo snapshot come privato. Specifica quindi l'utente o gli account con cui desideri condividere i dati dello snapshot.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate.

ID di controllo

rSs93HQwa1

Criteri di avviso

Rosso: lo snapshot Amazon RDS è contrassegnato come pubblico.

Operazione consigliata

A meno che tu non sia sicuro di voler condividere tutti i dati dell'istantanea con tutti gli utenti, modifica Account AWS le autorizzazioni: contrassegna l'istantanea come privata, quindi specifica gli account a cui desideri concedere le autorizzazioni. Per ulteriori informazioni, consulta Condivisione di uno snapshot DB o DB cluster. Questo controllo non può essere escluso dalla visualizzazione nella console. Trusted Advisor

Per modificare direttamente le autorizzazioni per le istantanee, è possibile utilizzare un runbook nella console. AWS Systems Manager Per ulteriori informazioni, consulta AWSSupport-ModifyRDSSnapshotPermission.

Risorse aggiuntive

Backup e ripristino di istanze DB di Amazon RDS

Colonne del report

Stato
Regione
Istanza DB o ID cluster
ID snapshot

Descrizione

Controlla le configurazioni dei gruppi di sicurezza per Amazon Relational Database Service (Amazon RDS) e avverte quando una regola del gruppo di sicurezza concede un accesso troppo permissivo al tuo database. La configurazione consigliata per una regola di gruppo di sicurezza consiste nel consentire l'accesso solo da specifici gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) o da un indirizzo IP specifico.

ID di controllo

nNauJisYIT

Criteri di avviso

Giallo: una regola del gruppo di sicurezza DB fa riferimento a un gruppo di sicurezza Amazon EC2 che concede l'accesso globale a una di queste porte: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Giallo: una regola del gruppo di sicurezza DB concede l'accesso a più di un singolo indirizzo IP (il suffisso della regola CIDR non è /0 o /32).
Rosso: una regola del gruppo di sicurezza DB concede l'accesso globale (il suffisso della regola CIDR è /0).

Operazione consigliata

Rivedi le regole del gruppo di sicurezza e limita l'accesso agli indirizzi IP o agli intervalli IP autorizzati. Per modificare un gruppo di sicurezza, usa l'API AuthorizeDB Ingress o SecurityGroup il. AWS Management Console Per ulteriori informazioni, consulta Utilizzo dei gruppi di sicurezza database.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del gruppo di sicurezza RDS
Regola in ingresso
Motivo

Descrizione

Amazon RDS supporta la crittografia a riposo per tutti i motori di database utilizzando le chiavi da te gestite. AWS Key Management Service Su un'istanza DB attiva con crittografia Amazon RDS, i dati archiviati a riposo nello storage sono crittografati, in modo simile ai backup automatici, alle repliche di lettura e alle istantanee.

Se la crittografia non è attivata durante la creazione di un'istanza DB, è necessario ripristinare una copia crittografata dello snapshot decrittografato prima di attivare la crittografia.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster DB viene interrotto, puoi visualizzare i consigli di Amazon RDS Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la console Amazon RDS, quindi scegli Consigli.

Se elimini un'istanza o un cluster DB, i consigli associati a tali istanze o cluster non sono disponibili nella console di Trusted Advisor gestione Amazon RDS.

ID di controllo

c1qf5bt006

Criteri di avviso

Rosso: per le risorse Amazon RDS non è abilitata la crittografia.

Operazione consigliata

Attiva la crittografia dei dati inattivi per la tua istanza DB.

Risorse aggiuntive

È possibile crittografare un'istanza DB solo quando si crea l'istanza DB. Per crittografare un'istanza DB attiva esistente:

Crea una copia crittografata dell'istanza DB originale

Creare una snapshot di un'istanza database.
Crea una copia crittografata dell'istantanea creata nel passaggio 1.
Ripristina un'istanza DB dallo snapshot crittografato.

Per ulteriori informazioni, consulta le seguenti risorse:

Colonne del report

Stato
Regione
Risorsa
Nome del motore
Ora ultimo aggiornamento

Descrizione

Controlla le zone ospitate di Amazon Route 53 con record CNAME che puntano direttamente ai nomi host dei bucket Amazon S3 e avvisa se il CNAME non corrisponde al nome del bucket S3.

ID di controllo

c1ng44jvbm

Criteri di avviso

Rosso: Amazon Route 53 Hosted Zone contiene record CNAME che indicano nomi host dei bucket S3 non corrispondenti.

Verde: nessun record CNAME non corrispondente trovato nella tua Amazon Route 53 Hosted Zone.

Operazione consigliata

Quando indirizzi i record CNAME ai nomi host dei bucket S3, devi assicurarti che esista un bucket corrispondente per ogni record CNAME o alias che configuri. In questo modo, eviti il rischio che i tuoi record CNAME vengano falsificati. Inoltre, impedisci a qualsiasi AWS utente non autorizzato di ospitare contenuti web difettosi o dannosi con il tuo dominio.

Per evitare di indirizzare i record CNAME direttamente ai nomi host dei bucket S3, prendi in considerazione l'utilizzo di Origin Access Control (OAC) per accedere alle tue risorse web del bucket S3 tramite Amazon. CloudFront

Per ulteriori informazioni sull'associazione di CNAME a un nome host del bucket Amazon S3, consulta Personalizzazione degli URL di Amazon S3 con i record CNAME.

Risorse aggiuntive

Colonne del report

Stato
ID della zona ospitata
ARN della zona ospitata
Record CNAME corrispondenti
Record CNAME non corrispondenti
Ora ultimo aggiornamento

Descrizione

Per ogni set di registri delle risorse MX, verifica che il set di registri delle risorse TXT o SPF contenga un record SPF valido. Il registro deve iniziare con "v=spf1". Il registro SPF specifica i server autorizzati a inviare messaggi di posta elettronica per il dominio, che consente di rilevare e interrompere lo spoofing degli indirizzi di posta elettronica e di ridurre lo spam. Route 53 consiglia di utilizzare un record TXT anziché un record SPF. Trusted Advisor riporta questo controllo in verde purché ogni set di record di risorse MX abbia almeno un record SPF o TXT.

ID di controllo

c9D319e7sG

Criteri di avviso

Giallo: un set di record delle risorse MX non dispone di un record delle risorse TXT o SPF contenente un valore SPF valido.

Operazione consigliata

Per ogni set di registri delle risorse MX, creane uno TXT contenente un valore SPF valido. Per ulteriori informazioni, consulta Sender Policy Framework: sintassi record SPF e Creazione di set di record delle risorse utilizzando la console Amazon Route 53.

Risorse aggiuntive

Colonne del report

Nome della zona ospitata
ID della zona ospitata
Nome del set di registri delle risorse
Stato

Descrizione

Controlla i bucket in Amazon Simple Storage Service (Amazon S3) che dispongono di autorizzazioni di accesso aperto o che consentono l'accesso a qualsiasi utente autenticato. AWS

Questo controllo esamina le autorizzazioni del bucket esplicite nonché le policy bucket che potrebbero sovrascrivere tali autorizzazioni. È sconsigliato concedere autorizzazioni di accesso alla lista a tutti gli utenti di un bucket Amazon S3. Queste autorizzazioni possono portare a utenti non intenzionali che elencano oggetti nel bucket ad alta frequenza, il che può comportare costi superiori a quelli previsti. Le autorizzazioni che concedono il caricamento ed eliminano l’accesso a chiunque possono causare vulnerabilità di sicurezza nel tuo bucket.

ID di controllo

Pfx0RwqBli

Criteri di avviso

Giallo: l'ACL del bucket consente l'accesso all'elenco a Everyone (Chiunque) oppure a Any Authenticated AWS User (Qualsiasi utente autenticato).
Giallo: una policy del bucket consente qualsiasi tipo di accesso aperto.
Giallo: la policy del bucket contiene dichiarazioni che concedono l'accesso pubblico. L'impostazione Block public and cross-account access to buckets that have public policies (Blocca accesso pubblico e multi-account a bucket che dispongono di policy pubbliche) è attivata e limita l'accesso solo agli utenti autorizzati di tale account fino alla rimozione delle dichiarazioni pubbliche.
Giallo: Trusted Advisor non dispone dell'autorizzazione per verificare la politica o la politica non può essere valutata per altri motivi.
Rosso: l'ACL del bucket consente l'accesso per il caricamento e l'eliminazione per Tutti o Qualsiasi utente AWS autenticato.

Operazione consigliata

Se un bucket consente l'accesso aperto, determina se è veramente necessario. In caso contrario, aggiorna le autorizzazioni del bucket per limitare l'accesso al proprietario o a utenti specifici. Utilizza l'impostazione per bloccare l'accesso pubblico di Amazon S3 per controllare le impostazioni che consentono l'accesso pubblico ai tuoi dati. Consulta Impostazione delle autorizzazioni di accesso al bucket e agli oggetti.

Risorse aggiuntive

Gestione delle autorizzazioni di accesso alle risorse di Amazon S3

Colonne del report

Stato
Nome della regione
Parametri dell'API della regione
Bucket Name (Nome bucket)
ACL consente la creazione di elenchi
ACL consente il caricamento e l'eliminazione
Accesso consentito dalla policy

Descrizione

Verifica la configurazione di registrazione dei bucket di Amazon Simple Storage Service.

Quando la registrazione degli accessi al server è abilitata, i registri di accesso dettagliati vengono recapitati ogni ora a un bucket scelto dall'utente. Un registro dei log di accesso contiene dettagli su ogni richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta. Per impostazione predefinita, la registrazione dei bucket non è abilitata. È consigliabile abilitare la registrazione se si desidera eseguire controlli di sicurezza od ottenere ulteriori informazioni sugli utenti e sui modelli di utilizzo.

Quando la registrazione è inizialmente abilitata, la configurazione viene convalidata automaticamente. Tuttavia, le modifiche future possono causare errori di registrazione. Questo controllo esamina le autorizzazioni esplicite dei bucket Amazon S3. È consigliabile utilizzare le policy dei bucket per controllare le autorizzazioni dei bucket, tuttavia è possibile utilizzare anche gli ACL.

ID di controllo

c1fd6b96l4

Criteri di avviso

Giallo: il bucket non ha la registrazione degli accessi al server abilitata.
Giallo: le autorizzazioni del bucket di destinazione non includono l'account root, quindi Trusted Advisor non può controllarlo.
Rosso: il bucket di destinazione non esiste.
Rosso: il bucket di destinazione e di origine hanno proprietari diversi.
Rosso: il deliverer del log non dispone dei permessi di scrittura per il bucket di destinazione.
Verde: Bucket ha la registrazione degli accessi al server abilitata, la destinazione esiste ed esistono le autorizzazioni per scrivere sulla destinazione

Operazione consigliata

Abilita la registrazione per la maggior parte dei bucket. Consulta Abilitazione della registrazione tramite la console e Abilitazione della registrazione a livello di programmazione.

Se le autorizzazioni del bucket di destinazione non includono l'account root e desideri che Trusted Advisor verifichi lo stato della registrazione, aggiungi l'account root come beneficiario. Consulta Modifica delle autorizzazioni del bucket.

Se il bucket di destinazione non esiste, seleziona un bucket esistente come destinazione o creane uno nuovo e selezionalo. Consulta Gestione della registrazione del bucket.

Se la destinazione e l'origine hanno proprietari diversi, modifica il bucket di destinazione con uno che abbia lo stesso proprietario del bucket di origine. Consulta Gestione della registrazione del bucket.

Se il log deliverer non dispone delle autorizzazioni di scrittura per la destinazione (Write not enabled), concedi le autorizzazioni di Upload/Delete al gruppo Log Delivery. Si consiglia di utilizzare le policy dei bucket sugli ACL. Vedi Modifica delle autorizzazioni dei bucket e delle autorizzazioni per la consegna dei log.

Risorse aggiuntive

Lavorare con i bucket

Server access logging (Registrazione degli accessi al server)

Formato del registro di accesso al server

Eliminazione dei file di registro

Colonne del report

Stato
Regione
ARN risorsa
Bucket Name (Nome bucket)
Nome destinazione
Destinazione esistente
Stesso proprietario
Scrittura abilitata
Motivo
Ora ultimo aggiornamento

Descrizione

Controlla se per le connessioni peering VPC la risoluzione DNS è attivata sia per i VPC accettanti che per quelli richiedenti.

La risoluzione DNS per una connessione peering VPC consente la risoluzione di nomi host DNS pubblici in indirizzi IPv4 privati quando vengono eseguite query dal tuo VPC. Ciò consente l'uso di nomi DNS per la comunicazione tra risorse su VPC in peering. La risoluzione DNS nelle connessioni peering VPC semplifica lo sviluppo e la gestione delle applicazioni e le rende meno soggette a errori; garantisce, inoltre, che le risorse comunichino sempre in modo privato tramite la connessione peering VPC.

Puoi specificare gli ID VPC utilizzando i parametri VPCIds nelle tue regole. AWS Config

Per ulteriori informazioni, consulta Abilitazione della risoluzione DNS per una connessione peering VPC.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz124

Origine

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Criteri di avviso

Giallo: la risoluzione DNS non è abilitata sia per i VPC accettanti che per quelli richiedenti in una connessione peering VPC.

Operazione consigliata

Attiva la risoluzione DNS per le tue connessioni peering VPC.

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se ai AWS Backup vault è associata una politica basata sulle risorse che impedisce l'eliminazione dei punti di ripristino.

La policy basata sulle risorse impedisce l'eliminazione imprevista dei punti di ripristino, per cui è possibile applicare il controllo degli accessi con privilegi minimi sui dati di backup.

Puoi specificare gli AWS Identity and Access Management ARN che non desideri vengano controllati dalla regola nel parametro principale ArnList delle tue regole. AWS Config

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz152

Origine

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Criteri di avviso

Giallo: alcuni AWS Backup vault non dispongono di una politica basata sulle risorse per impedire l'eliminazione dei punti di ripristino.

Operazione consigliata

Crea politiche basate sulle risorse per i tuoi AWS Backup vault per prevenire l'eliminazione inaspettata dei punti di ripristino.

La policy deve includere un'istruzione «Deny» con le autorizzazioni backup: DeleteRecovery Point, backup: e backup: UpdateRecoveryPointLifecycle. PutBackupVaultAccessPolicy

Per ulteriori informazioni, consulta Impostazione delle policy di accesso su vault di backup.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica l'utilizzo di. AWS CloudTrail CloudTrail offre una maggiore visibilità sull'attività dell'utente Account AWS registrando le informazioni sulle chiamate AWS API effettuate sull'account. È possibile utilizzare questi registri per determinare, ad esempio, quali azioni ha eseguito un determinato utente durante un periodo di tempo specificato o quali utenti hanno eseguito azioni su una determinata risorsa durante un periodo di tempo specificato.

Poiché CloudTrail invia i file di log a un bucket Amazon Simple Storage Service (Amazon S3) CloudTrail , deve disporre delle autorizzazioni di scrittura per il bucket. Se un trail si applica a tutte le Regioni (impostazione predefinita quando si crea un nuovo trail), esso appare più volte nel report Trusted Advisor .

ID di controllo

vjafUGJ9H0

Criteri di avviso

Giallo: CloudTrail segnala gli errori di consegna dei log per una traccia.
Rosso: non è stato creato un percorso per una regione o la registrazione è disattivata per un percorso.

Operazione consigliata

Per creare un percorso e avviare la registrazione dalla console, vai alla Console AWS CloudTrail.

Per avviare la registrazione, consulta Interruzione e avvio della registrazione per un percorso.

Se si ricevono errori di consegna del registro, verifica che il bucket esista e che la policy necessaria sia collegata al bucket. Consulta Policy del bucket Amazon S3.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del percorso
Stato della registrazione
Bucket Name (Nome bucket)
Data ultima consegna

Descrizione

Verifica le funzioni Lambda la cui versione $LATEST è configurata per utilizzare un runtime prossimo all'obsolescenza o obsoleto. I runtime obsoleti non sono idonei per gli aggiornamenti di sicurezza o il supporto tecnico

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Le versioni delle funzioni Lambda pubblicate sono immutabili, il che significa che possono essere richiamate ma non aggiornate. Solo la versione $LATEST di una funzione Lambda può essere aggiornata. Per ulteriori informazioni, consulta Versioni delle funzioni Lambda.

ID di controllo

L4dfs2Q4C5

Criteri di avviso

Rosso: la versione $LATEST della funzione è configurata per utilizzare un runtime già obsoleto.
Giallo: la versione $LATEST della funzione è in esecuzione su un runtime che sarà obsoleto entro 180 giorni.

Operazione consigliata

Se si dispone di funzioni in esecuzione su un runtime che verrà reso obsoleto, devi prepararti per la migrazione a un runtime supportato. Per ulteriori informazioni, consulta Policy di supporto per il runtime.

Ti consigliamo di eliminare le versioni delle funzioni precedenti che non stai più utilizzando.

Risorse aggiuntive

Runtime Lambda

Colonne del report

Stato
Regione
ARN della funzione
Runtime
Giorni all'impostazione come obsoleta
Data di deprecazione
Media richiami giornalieri
Ora ultimo aggiornamento

Descrizione

Verifica problemi ad alto rischio (HRI) per i carichi di lavoro nel pilastro della sicurezza. Questo controllo è basato sulle revisioni di AWS-Well Architected. I risultati dei controlli dipendono dal completamento della valutazione del carico di lavoro con AWS Well-Architected.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

Wxdfp4B1L3

Criteri di avviso

Rosso: almeno un problema attivo ad alto rischio è stato identificato nel pilastro di sicurezza di AWS Well-Architected.
Verde: non sono stati rilevati problemi attivi ad alto rischio nel pilastro di sicurezza di AWS Well-Architected.

Operazione consigliata

AWS Well-Architected ha rilevato problemi ad alto rischio durante la valutazione del carico di lavoro. Questi problemi offrono opportunità per ridurre i rischi e risparmiare denaro. Accedi allo strumento AWS Well-Architected per rivedere le tue risposte e risolvere i problemi attivi.

Colonne del report

Stato
Regione
ARN del carico di lavoro
Nome del carico di lavoro
Nome del revisore
Tipo di carico di lavoro
Data di inizio del carico di lavoro
Data dell'ultima modifica del carico di lavoro
Numero di HRI identificati per Sicurezza
Numero di HRI risolti per Sicurezza
Numero di domande per Sicurezza
Numero totale di domande nel pilastro Sicurezza
Ora ultimo aggiornamento

Descrizione

Verifica la presenza di nomi di dominio CloudFront alternativi nei certificati SSL nell'archivio certificati IAM. Questo controllo avvisa l'utente se un certificato è scaduto, scadrà presto, utilizza una crittografia obsoleta o non è configurato correttamente per la distribuzione.

Quando scade un certificato personalizzato per un nome di dominio alternativo, i browser che visualizzano i tuoi CloudFront contenuti potrebbero mostrare un messaggio di avviso sulla sicurezza del tuo sito web. I certificati crittografati utilizzando l'algoritmo di hashing SHA-1 vengono resi obsoleti da browser web come Chrome e Firefox.

Un certificato deve contenere un nome di dominio che corrisponda al nome di dominio di origine o al nome di dominio nell'intestazione host di una richiesta di visualizzatore. Se non corrisponde, CloudFront restituisce all'utente un codice di stato HTTP 502 (gateway non valido). Per ulteriori informazioni, consulta Utilizzo di HTTPS e di nomi di dominio alternativi.

ID di controllo

N425c450f2

Criteri di avviso

Rosso: un certificato SSL personalizzato è scaduto.
Giallo: un certificato SSL personalizzato scade nei prossimi sette giorni.
Giallo: un certificato SSL personalizzato è stato crittografato utilizzando l'algoritmo di hashing SHA-1.
Giallo: uno o più nomi di dominio alternativi che non appaiono anche nel campo Common Name (Nome comune) o Subject Alternative Names (Nomi alternativi oggetto) del certificato SSL personalizzato.

Operazione consigliata

Rinnova un certificato scaduto o che sta per scadere.

Sostituisci un certificato crittografato utilizzando l'algoritmo di hashing SHA-1 con uno crittografato utilizzando l'algoritmo di hashing SHA-256.

Sostituisci il certificato con uno che contiene i valori applicabili nei campi Common Name (Nome comune) o Subject Alternative Domain (Nomi alternativi oggetto).

Risorse aggiuntive

Utilizzo di una connessione HTTPS per accedere agli oggetti

Colonne del report

Stato
ID distribuzione
Nome di dominio della distribuzione
Nome del certificato
Motivo

Descrizione

Controlla il server di origine per i certificati SSL che sono scaduti, stanno per scadere, sono mancanti o che utilizzano una crittografia obsoleta. Se un certificato presenta uno di questi problemi, CloudFront risponde alle richieste relative ai tuoi contenuti con il codice di stato HTTP 502, Bad Gateway.

I certificati crittografati utilizzando l'algoritmo di hashing SHA-1 vengono resi obsoleti da browser web come Chrome e Firefox. A seconda del numero di certificati SSL che hai associato alle tue CloudFront distribuzioni, questo controllo potrebbe aggiungere qualche centesimo al mese alla tua fattura con il tuo provider di web hosting, ad esempio, AWS se utilizzi Amazon EC2 o Elastic Load Balancing come origine per la tua distribuzione. CloudFront Questo controllo non convalida la catena di certificati di origine o le autorità di certificazione. Puoi verificarli nella tua configurazione. CloudFront

ID di controllo

N430c450f2

Criteri di avviso

Rosso: un certificato SSL sull'origine è scaduto o non è disponibile.
Giallo: un certificato SSL sull'origine scade nei prossimi trenta giorni.
Giallo: un certificato SSL personalizzato sull'origine è stato crittografato utilizzando l'algoritmo di hashing SHA-1.
Giallo: non è possibile individuare un certificato SSL sull'origine. La connessione potrebbe non essere riuscita a causa di timeout o altri problemi di connessione HTTPS.

Operazione consigliata

Rinnova il certificato sull'origine se è scaduto o sta per scadere.

Aggiungi un certificato se non ne esiste già uno.

Sostituisci un certificato crittografato utilizzando l'algoritmo di hashing SHA-1 con uno crittografato utilizzando l'algoritmo di hashing SHA-256.

Risorse aggiuntive

Utilizzo di HTTPS e di nomi di dominio alternativi

Colonne del report

Stato
ID distribuzione
Nome di dominio della distribuzione
Origin
Motivo

Descrizione

Verifica la presenza di sistemi di bilanciamento del carico con listener che non utilizzano le configurazioni di sicurezza consigliate per le comunicazioni crittografate. AWS consiglia di utilizzare un protocollo sicuro (HTTPS o SSL), politiche di up-to-date sicurezza, nonché cifrari e protocolli sicuri.

Quando utilizzi un protocollo sicuro per una connessione front-end (dal client al load balancer), le richieste vengono crittografate tra i client e il load balancer, rendendo il sistema molto più sicuro. Elastic Load Balancing fornisce politiche di sicurezza predefinite con cifrari e protocolli che aderiscono alle migliori pratiche di sicurezza. AWS Le nuove versioni delle policy predefinite vengono rilasciate man mano che sono disponibili nuove configurazioni.

ID di controllo

a2sEc6ILx

Criteri di avviso

Giallo: un load balancer non ha un listener che utilizzi un protocollo sicuro (HTTPS o SSL).
Giallo: un listener del load balancer utilizza una policy di sicurezza SSL predefinita obsoleta.
Giallo: un listener del load balancer utilizza crittografia o protocolli sconsigliati.
Rosso: un listener del load balancer utilizza crittografia o protocolli non sicuri.

Operazione consigliata

Se il traffico verso il load balancer deve essere sicuro, utilizza il protocollo HTTPS o SSL per la connessione front-end.

Aggiorna il load balancer alla versione più recente della policy di sicurezza SSL predefinita.

Utilizza solo crittografie e protocolli consigliati.

Per ulteriori informazioni, consulta Configurazioni del listener per Elastic Load Balancing.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del load balancer
Porta del load balancer
Motivo

Descrizione

Controlla i load balancer configurati con un gruppo di sicurezza mancante o un gruppo di sicurezza che consente l'accesso alle porte non configurate per il load balancer.

Se un gruppo di sicurezza associato a un load balancer viene eliminato, il load balancer non funzionerà come previsto. Se un gruppo di sicurezza consente l'accesso a porte non configurate per il load balancer, aumenta il rischio di perdita di dati o attacchi dannosi.

ID di controllo

xSqX82fQu

Criteri di avviso

Giallo: le regole in entrata di un gruppo di sicurezza Amazon VPC associato a un load balancer consentono l'accesso a porte non definite nella configurazione del listener del load balancer.
Rosso: non esiste un gruppo di sicurezza associato a un load balancer.

Operazione consigliata

Configura le regole del gruppo di sicurezza per limitare l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener del load balancer e il protocollo ICMP per supportare Path MTU Discovery. Consulta Listener per Classic Load Balancer e Gruppi di sicurezza per load balancer in un VPC.

Se un gruppo di sicurezza non è disponibile, applicane uno nuovo al load balancer. Crea regole del gruppo di sicurezza che limitano l'accesso solo alle porte e ai protocolli definiti nella configurazione del listener del load balancer. Consulta Gruppi di sicurezza per load balancer in un VPC.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del load balancer
ID gruppo di sicurezza
Motivo

Descrizione

Controlla che i repository del codice più diffusi non contengano chiavi di accesso che sono state esposte al pubblico e che Amazon Elastic Compute Cloud (Amazon EC2) non sia stato utilizzato irregolarmente, generando la compromissione di una chiave di accesso.

Una chiave di accesso è composta da un ID chiave di accesso e la relativa chiave di accesso segreta. Le chiavi di accesso esposte rappresentano un rischio per la sicurezza del tuo account e degli altri utenti. Potrebbero comportare addebiti eccessivi derivanti da attività non autorizzate o abusi e violare l’Accordo con il cliente AWS.

Se la chiave di accesso è esposta, agisci immediatamente per proteggere il tuo account. Per proteggere il tuo account da addebiti eccessivi, limita AWS temporaneamente la tua capacità di creare alcune risorse. AWS Questo non rende sicuro il tuo account. Limita solo parzialmente l'utilizzo non autorizzato che ti potrebbe essere addebitato.

Nota

Questo controllo non garantisce l'identificazione di chiavi di accesso esposte o istanze EC2 compromesse. L'utente è in ultima istanza responsabile della sicurezza e della protezione delle proprie chiavi di accesso e AWS risorse.

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno; le richieste di aggiornamento non sono consentite. Al momento, non è possibile escludere le risorse da questo controllo.

Se viene indicata una scadenza per una chiave di accesso, AWS può sospendere l'accesso Account AWS se l'utilizzo non autorizzato non viene interrotto entro tale data. Se ritieni che un avviso sia errato, contatta AWS Support.

Le informazioni visualizzate Trusted Advisor potrebbero non riflettere lo stato più recente del tuo account. Nessuna chiave di accesso esposta viene contrassegnata come risolta fino a quando tutte le chiavi di accesso esposte sull'account non sono state risolte. Questa sincronizzazione dei dati può richiedere fino a una settimana.

ID di controllo

12Fnkpl8Y5

Criteri di avviso

Rosso: potenzialmente compromesso: AWS ha identificato l'ID di una chiave di accesso e la corrispondente chiave di accesso segreta che sono stati esposti su Internet e potrebbero essere stati compromessi (utilizzati).
Rosso: esposto: AWS ha identificato l'ID di una chiave di accesso e la corrispondente chiave di accesso segreta che sono stati esposti su Internet.
Rosso: Sospetto: l'uso irregolare di Amazon EC2 indica che una chiave di accesso potrebbe essere stata compromessa, ma non è stata identificata come esposta su Internet.

Operazione consigliata

Elimina la chiave di accesso interessata il prima possibile. Se la chiave è associata a un utente IAM, consulta Gestione delle chiavi di accesso per gli utenti IAM.

Verifica la presenza di un utilizzo non autorizzato sul tuo account. Esegui l'accesso alla AWS Management Console e verifica la presenza di risorse sospette su ogni console di servizio. Presta particolare attenzione all'esecuzione delle istanze Amazon EC2, le richieste di istanze spot, le chiavi di accesso e gli utenti IAM. Puoi anche verificare l'utilizzo complessivo sulla Console di gestione fatturazione e costi.

Risorse aggiuntive

Colonne del report

ID chiave di accesso
Nome utente (IAM o Root)
Tipo di frode
ID del caso
Ora aggiornamento
Ubicazione
Scadenza
Utilizzo (USD al giorno)

Descrizione

Controlla le chiavi di accesso IAM attive che non sono state ruotate negli ultimi 90 giorni.

Quando si ruotano regolarmente le chiavi di accesso, si riduce la possibilità che una chiave compromessa possa essere utilizzata a tua insaputa per accedere alle risorse. Ai fini di questo controllo, la data e l'ora dell'ultima rotazione coincidono con quelle della creazione o dell’attivazione più recente della chiave di accesso. Il numero e la data della chiave di accesso provengono dalle informazioni access_key_1_last_rotated e access_key_2_last_rotated nel registro delle credenziali IAM più recente.

Poiché la frequenza di rigenerazione di un registro delle credenziali è limitata, l'aggiornamento di questo controllo potrebbe non riflettere le modifiche recenti. Per ulteriori informazioni, consulta Generare registri delle credenziali per il tuo Account AWS.

Per creare e ruotare le chiavi di accesso, un utente deve disporre delle autorizzazioni appropriate. Per ulteriori informazioni, consulta Consentire agli utenti di gestire le proprie password, le chiavi di accesso e le chiavi SSH.

ID di controllo

DqdJqYeRm5

Criteri di avviso

Verde: la chiave di accesso è attiva ed è stata ruotata negli ultimi 90 giorni.
Giallo: la chiave di accesso è attiva ed è stata ruotata negli ultimi 2 anni, ma più di 90 giorni fa.
Rosso: la chiave di accesso è attiva ed è stata ruotata negli ultimi 2 anni.

Operazione consigliata

Ruota le chiavi di accesso regolarmente. Consulta Rotazione delle chiavi di accesso e Gestione delle chiavi di accesso per gli utenti IAM.

Risorse aggiuntive

Colonne del report

Stato
Utente IAM
Chiave di accesso
Ultima chiave ruotata
Motivo

Descrizione

Controlla la policy delle password per l'account e avverte quando una policy di password non è abilitata o se i requisiti relativi al contenuto della password non sono stati abilitati.

I requisiti relativi ai contenuti delle password aumentano la sicurezza complessiva dell’ambiente AWS mediante la creazione forzata di password utente complesse. Quando crei o modifichi una policy sulle password, la modifica viene applicata immediatamente per i nuovi utenti ma non richiede agli utenti esistenti di modificare le password.

ID di controllo

Yw2K9puPzl

Criteri di avviso

Giallo: una policy sulle password è abilitata, ma almeno un requisito relativo al contenuto non è abilitato.
Rosso: nessuna policy sulle password è abilitata.

Operazione consigliata

Se alcuni requisiti relativi al contenuto non sono abilitati, valuta la possibilità di abilitarli. Se nessuna policy sulle password è abilitata, creane e configurane una. Consulta Impostazione di una policy delle password dell'account per utenti IAM.

Risorse aggiuntive

La gestione delle password

Colonne del report

Policy sulle password
Maiuscolo
Minuscolo
Numero
Non alfanumerico

Descrizione

Controlla l'account root e avverte se l'autenticazione a più fattori (MFA) non è abilitata.

Per una maggiore sicurezza, ti consigliamo di proteggere il tuo account utilizzando la MFA, che richiede all'utente di inserire un codice di autenticazione univoco dal proprio hardware o dispositivo virtuale MFA quando interagisce con il sito Web e i siti Web associati. AWS Management Console

ID di controllo

7DAFEmoDos

Criteri di avviso

Rosso: l'MFA non è abilitata sull'account root.

Operazione consigliata

Accedi al tuo account root e attiva un dispositivo MFA. Consulta Verifica dello stato MFA e Configurazione di un dispositivo MFA.

Risorse aggiuntive

Utilizzo di dispositivi Multi-Factor Authentication (MFA) con AWS

Descrizione

Controlla i gruppi di protezione per le regole che consentono l'accesso illimitato (0.0.0.0/0) a porte specifiche.

L'accesso illimitato aumenta le opportunità di attività dannose (pirateria informatica, denial-of-service attacchi, perdita di dati). Le porte con più alto rischio sono contrassegnate in rosso e quelle con meno rischio sono contrassegnate in giallo. Le porte contrassegnate in verde sono in genere utilizzate da applicazioni che richiedono un accesso illimitato, ad esempio HTTP e SMTP (Simple Mail Transfer Protocol).

Se i gruppi di sicurezza sono stati configurati intenzionalmente in questo modo, si consiglia di utilizzare misure di protezione aggiuntive per proteggere l'infrastruttura (ad esempio tabelle IP).

Nota

Questo controllo valuta solo i gruppi di sicurezza creati e le relative regole in ingresso per gli indirizzi IPv4. I gruppi di sicurezza creati da AWS Directory Service sono contrassegnati in rosso o in giallo, ma non rappresentano un rischio per la sicurezza e possono essere ignorati in modo sicuro o esclusi. Per ulteriori informazioni, consultare la pagina relativa alle domande frequenti su Trusted Advisor.

Nota

Questo controllo non include il caso d'uso in cui un elenco di prefissi gestito dal cliente concede l'accesso a 0.0.0.0/0 e viene utilizzato come fonte con un gruppo di sicurezza.

ID di controllo

HCP4007jGY

Criteri di avviso

Verde: l'accesso alle porte 80, 25, 443 o 465 è illimitato.
Rosso: l'accesso alle porte 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 o 5500 è illimitato.
Giallo: l'accesso a qualsiasi altra porta è illimitato.

Operazione consigliata

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del gruppo di sicurezza
ID gruppo di sicurezza
Protocollo
Dalla porta
Alla porta

Descrizione

Controlla i gruppi di sicurezza per le regole che consentono l'accesso illimitato a una risorsa.

L'accesso senza restrizioni aumenta le opportunità di attività dannose (pirateria informatica, attacchi, perdita di dati). denial-of-service

Nota

Questo controllo valuta solo i gruppi di sicurezza creati e le relative regole in ingresso per gli indirizzi IPv4. I gruppi di sicurezza creati da AWS Directory Service sono contrassegnati in rosso o in giallo, ma non rappresentano un rischio per la sicurezza e possono essere ignorati in modo sicuro o esclusi. Per ulteriori informazioni, consultare la pagina relativa alle domande frequenti su Trusted Advisor.

Nota

Questo controllo non include il caso d'uso in cui un elenco di prefissi gestito dal cliente concede l'accesso a 0.0.0.0/0 e viene utilizzato come fonte con un gruppo di sicurezza.

ID di controllo

1iG5NDGVre

Criteri di avviso

Rosso: una regola del gruppo di sicurezza ha un indirizzo IP di origine con un suffisso /0 per porte diverse da 25, 80 o 443.

Operazione consigliata

Limita l'accesso solo agli indirizzi IP che lo richiedono. Per limitare l'accesso a un indirizzo IP specifico, imposta il suffisso su /32 (ad esempio 192.0.2.10/32). Assicurati di eliminare le regole eccessivamente permissive dopo aver creato quelle più restrittive.

Risorse aggiuntive

Colonne del report

Stato
Regione
Nome del gruppo di sicurezza
ID gruppo di sicurezza
Protocollo
Dalla porta
Alla porta
Intervallo IP

Nota

Controlla i nomi

Periodo di conservazione di Amazon CloudWatch Log Group

Nota

Fine del supporto per le istanze Amazon EC2 con Microsoft SQL Server

Nota

Fine del supporto per le istanze Amazon EC2 con Microsoft Windows Server

Nota

Fine del supporto standard per le istanze Amazon EC2 con Ubuntu LTS

Nota

I client Amazon EFS non utilizzano data-in-transit la crittografia

Nota

Snapshot pubblici Amazon EBS

Nota

La crittografia dello storage Amazon RDS Aurora è disattivata

Nota

Nota

È richiesto l'aggiornamento di una versione secondaria del motore Amazon RDS

Nota

Nota

Snapshot pubblici di Amazon RDS

Nota

Rischio accesso gruppo di sicurezza Amazon RDS

La crittografia dello storage Amazon RDS è disattivata

Nota

Nota

Crea una copia crittografata dell'istanza DB originale

Record CNAME di Amazon Route 53 non corrispondenti che puntano direttamente ai bucket S3

Set di registri delle risorse MX di Amazon Route 53 e Framework della Policy del mittente

Autorizzazioni Bucket Amazon S3

Registri di accesso Amazon S3Server abilitati

Connessioni peering VPC di Amazon con risoluzione DNS disabilitata

Nota

AWS Backup Vault senza policy basate sulle risorse per impedire l'eliminazione dei punti di ripristino

Nota

AWS CloudTrail Registrazione

AWS Lambda Funzioni che utilizzano runtime obsoleti

Nota

AWS Well-Architected Problemi ad alto rischio di per la sicurezza

Nota

CloudFrontCertificati SSL personalizzati nell'IAM Certificate Store

CloudFront Certificato SSL sul server di origine

Sicurezza del Listener ELB

Gruppi di sicurezza ELB

Exposed Access Keys

Nota

Rotazione delle chiavi di accesso IAM

Policy delle Password IAM

MFA su Account Root

Gruppi di sicurezza — Porte specifiche senza restrizioni

Nota

Nota

Gruppi di sicurezza — Accesso illimitato

Nota

Nota