Best practice operative per FDA Titolo 21 CFR Parte 11 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per FDA Titolo 21 CFR Parte 11

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I pacchetti di conformità, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifico. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il titolo 21 del Codice dei regolamenti federali (CFR) Parte 11 eAWSregole di Config gestite. CiascunoAWS Configregola si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli FDA Title 21 CFR Part 11. Un controllo FDA Title 21 CFR Part 11 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il facile recupero da operazioni involontarie dell'utente e guasti dell'applicazione.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailconsegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde in modo automatico ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ebs-in-backup-plan

Per aiutare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione fornisce le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di errore, è possibile creare un nuovo cluster che ripristina i dati dal backup più recente.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di rispondere ai requisiti di conformità aziendali e normativi sui backup.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione contro l'eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata migliorate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisica, distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ec2-managedinstance-patch-compliance-status-check

È possibile utilizzare questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

ec2-volume-inuse-check

Questa regola garantisce che i volumi Amazon Elastic Block Store collegati con le istanze Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
11.10 (a) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: a) Convalida dei sistemi per garantire accuratezza, affidabilità, prestazioni mirate coerenti e capacità di discernere registrazioni non valide o alterate.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift acquisisce periodicamente snapshot di quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a recuperare facilmente le operazioni involontarie dell'utente e i guasti dell'applicazione.
11.10 (c) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: c) Protezione dei registri per consentirne il recupero accurato e pronto per tutto il periodo di conservazione dei registri.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ec2-imdsv2 - controllo

Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-account-level-public-access-blocks

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (d) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: d) Limitazione dell'accesso al sistema alle persone autorizzate.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
11.10 (e) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
11.10 (e) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS.
11.10 (e) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, lo stato della risposta e un codice di errore, se pertinente.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: e) Utilizzo di audit trail sicuri, generati dal computer e con timbro temporale per registrare in modo indipendente la data e l'ora delle voci e delle azioni dell'operatore che creano, modificano o eliminano i record elettronici. Le modifiche alle registrazioni non oscurano le informazioni registrate in precedenza. Tale documentazione dell'audit trail è conservata per un periodo almeno fino a quando richiesto per le registrazioni elettroniche oggetto e sarà disponibile per la revisione e la copia dell'agenzia.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ec2-imdsv2 - controllo

Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-account-level-public-access-blocks

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato forza il passaggio di tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (g) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: g) Uso dei controlli dell'autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere al dispositivo di ingresso o uscita del sistema informatico, modificare un record o eseguire l'operazione a portata di mano.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
11.10 (h) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: (h) Uso dei controlli del dispositivo (ad esempio, terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative.

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
11.10 (h) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: (h) Uso dei controlli del dispositivo (ad esempio, terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
11.10 (h) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: (h) Uso dei controlli del dispositivo (ad esempio, terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative.

ec2-managedinstance-patch-compliance-status-check

È possibile utilizzare questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
11.10 (i) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli comprendono quanto segue: i) Determinazione che le persone che sviluppano, mantengono o utilizzano sistemi di registrazione elettronica/firma elettronica hanno l'istruzione, la formazione e l'esperienza necessarie per svolgere i compiti assegnati. security-awareness-program-exists (controllo del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

s3-account-level-public-access-blocks

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

rds-logging-enabled

Per agevolare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, lo stato della risposta e un codice di errore, se pertinente.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
11.10 (km) Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici e per garantire che il firmatario non possa facilmente ripudiare il record firmato. come non autentico. Tali procedure e controlli includono quanto segue: k) Utilizzo di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di revisione e controllo delle modifiche per mantenere un audit trail che documenta lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli intesi a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli intesi a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli intesi a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli intesi a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakerendpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata perSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTrailconsegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire la rotazione delle chiavi una volta che hanno raggiunto la fine del periodo di crittografia.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi CMK (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
11.30 Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere registrazioni elettroniche devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei registri elettronici dal momento della loro creazione al punto di ricezione. Tali procedure e controlli includono quelli identificati al punto 11.10, se del caso, e misure aggiuntive quali la crittografia dei documenti e l'uso di adeguati standard di firma digitale per garantire, se necessario, nelle circostanze, l'autenticità, l'integrità e la riservatezza dei registri.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
11.200 a) Le firme elettroniche che non sono basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.200 a) Le firme elettroniche che non sono basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.200 a) Le firme elettroniche che non sono basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
11.200 a) Le firme elettroniche non basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
11.200 a) Le firme elettroniche non basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
11.200 a) Le firme elettroniche non basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.200 a) Le firme elettroniche che non sono basate sulla biometria devono: (1) Impiegare almeno due componenti identificativi distinti come un codice identificativo e una password. (i) Quando una persona esegue una serie di firme durante un singolo periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo da, e progettato per essere utilizzato solo dall'individuo. (ii) Quando un individuo esegue una o più firme non eseguite durante un singolo periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Essere utilizzati solo dai loro autentici proprietari; e (3) Essere amministrati ed eseguiti per garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque diverso dal suo autentico proprietario richieda la collaborazione di due o più individui.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
11.300 (b) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includono: b) Garantire che le emissioni di codice identificativo e password siano periodicamente controllate, richiamate o riviste (ad esempio, per coprire eventi quali l'invecchiamento delle password).

secretsmanager-scheduled-rotation-success-check

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione.
11.300 (d) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli comprendono: d) L'uso di misure di salvaguardia delle transazioni per impedire l'uso non autorizzato di password e/o codici identificativi e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato all'unità di sicurezza del sistema e, se del caso, alla gestione organizzativa.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS.
11.300 (d) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli comprendono: d) L'uso di misure di salvaguardia delle transazioni per impedire l'uso non autorizzato di password e/o codici identificativi e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato all'unità di sicurezza del sistema e, se del caso, alla gestione organizzativa.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
11.300 (d) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli comprendono: d) L'uso di misure di salvaguardia delle transazioni per impedire l'uso non autorizzato di password e/o codici identificativi e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato all'unità di sicurezza del sistema e, se del caso, alla gestione organizzativa.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
11.300 (d) Le persone che utilizzano firme elettroniche basate sull'uso di codici identificativi in combinazione con le password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli comprendono: d) L'uso di misure di salvaguardia delle transazioni per impedire l'uso non autorizzato di password e/o codici identificativi e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato all'unità di sicurezza del sistema e, se del caso, alla gestione organizzativa.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.

Modello

Il modello è disponibile suGitHub: Best practice operative per FDA Titolo 21 CFR Parte 11.