Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per FDA Titolo 21 CFR Parte 11
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Titolo 21 del Codice dei Regolamenti Federali (CFR) Parte 11 e le regole di AWS Config gestite. Ogni AWS Config regola si applica a una AWS risorsa specifica e si riferisce a uno o più controlli del CFR Parte 11 del Titolo 21 della FDA. Un controllo FDA Title 21 CFR Part 11 può essere correlato a più regole di Config. Fai riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.
| ID controllo | Descrizione del controllo | AWSRegola di Config | Guida |
|---|---|---|---|
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli atti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa ripudiare prontamente il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli atti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa ripudiare prontamente il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa ripudiare prontamente il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa ripudiare prontamente il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e a garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 11.1 | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa ripudiare prontamente il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che il piano di AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve riflettere i requisiti dell'organizzazione. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Assicurati che ai punti AWS di ripristino di Backup sia associata una policy basata sulle risorse che impedisca l'eliminazione dei punti di ripristino. L'utilizzo di una policy basata sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Questa regola aiuta a garantire l'uso delle migliori pratiche di sicurezza AWS consigliate per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione AWS CloudTrail in più aree. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | La scalabilità automatica di Amazon DynamoDB utilizza il servizio Application AWS Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la capacità di lettura/scrittura assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | ec2- -controlla managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che le tue risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora la capacità dell'applicazione di gestire la perdita di una o più istanze. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Questa regola garantisce che Elastic Load Balancing abbia la protezione da cancellazione abilitata. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze di database. Quando effettui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completo. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| 11.10 (a) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (a) Convalida dei sistemi per garantire l'accuratezza, l'affidabilità, la coerenza delle prestazioni previste e la capacità di individuare registrazioni non valide o alterate. | È possibile implementare tunnel VPN Site-to-Site ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN da sito a sito non sia disponibile. Per proteggerti dalla perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione VPN da sito a sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo gateway cliente. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Le politiche del ciclo di vita di Amazon Elastic Container Repository (ECR) consentono di specificare la gestione del ciclo di vita delle immagini in un repository. Ciò consente l'automazione della pulizia delle immagini non utilizzate, ad esempio le immagini in scadenza in base all'età o al numero di immagini. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei record per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato). | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 11.10 (c) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (c) Protezione dei dati per consentirne il recupero accurato e rapido per tutto il periodo di conservazione dei dati. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che la crittografia sia abilitata per le tue tabelle Amazon DynamoDB. Poiché in queste tabelle possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Se una definizione di attività ha privilegi elevati, è perché il cliente ha espressamente accettato tali configurazioni. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando una definizione di attività ha attivato la rete host ma il cliente non ha optato per privilegi elevati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (OpenSearch Service). | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione periodica dei segreti può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione del segreto. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 11.10 (d) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includeranno quanto segue: (d) Limitazione dell'accesso al sistema alle persone autorizzate. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Assicurati che i registri degli errori nei domini Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Per acquisire informazioni sulle connessioni e sulle attività degli utenti sul tuo cluster Amazon Redshift, assicurati che la registrazione di controllo sia abilitata. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 11.10 (e) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli includono quanto segue: (e) Uso di piste di controllo sicure, generate da computer e con data e ora per registrare in modo indipendente la data e l'ora delle immissioni e delle azioni dell'operatore che creano, modificano o eliminano registrazioni elettroniche. Le modifiche ai record non devono oscurare le informazioni registrate in precedenza. Tale documentazione sulla pista di controllo deve essere conservata per un periodo almeno pari a quello richiesto per le registrazioni elettroniche in oggetto ed è disponibile per la revisione e la copia da parte dell'agenzia. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che la crittografia sia abilitata per le tue tabelle Amazon DynamoDB. Poiché in queste tabelle possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11,10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Se una definizione di attività ha privilegi elevati, è perché il cliente ha espressamente accettato tali configurazioni. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando una definizione di attività ha attivato la rete host ma il cliente non ha optato per privilegi elevati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 11,10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (OpenSearch Service). | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 11,10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica organizzativa in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in ingresso (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 11,10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre gli accessi involontari all'interno del tuo ambiente. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo cluster Amazon Redshift. Poiché i dati sensibili possono esistere inattivi nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Il routing VPC migliorato impone a tutto il traffico COPY e UNLOAD tra il cluster e gli archivi di dati di passare attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza ed elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare i log di flusso VPC per monitorare il traffico di rete. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione periodica dei segreti può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione del segreto. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 11.10 (g) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (g) L'uso di controlli di autorità per garantire che solo le persone autorizzate possano utilizzare il sistema, firmare elettronicamente un record, accedere all'operazione o al dispositivo di input o output del sistema informatico, modificare un record o eseguire l'operazione in corso. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 11.10 (h) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (h) Controlli sull'uso del dispositivo (ad esempio, il terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative. | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente. | |
| 11.10 (h) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (h) Controlli sull'uso del dispositivo (ad esempio, il terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative. | ec2- -verifica managedinstance-association-compliance-status |
Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 11.10 (h) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (h) Controlli sull'uso del dispositivo (ad esempio, il terminale) per determinare, se del caso, la validità della fonte di immissione dei dati o delle istruzioni operative. | Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 11.10 (i) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (i) Determinazione che le persone che sviluppano, mantengono o utilizzano sistemi di registrazione elettronica/firma elettronica abbiano l'istruzione, la formazione e l'esperienza necessarie per svolgere i compiti loro assegnati. | security-awareness-program-exists (controllo del processo) | Stabilisci e mantieni un programma di sensibilizzazione alla sicurezza per la tua organizzazione. I programmi di sensibilizzazione alla sicurezza istruiscono i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti di sicurezza. |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario alle applicazioni o ai server. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 11,10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi. | |
| 11,10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 11,10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11,10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Impostazioni predefinite Config: 20,21,3389,3306,4333). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può portare ad attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto ai sistemi interni. | |
| 11.10 (k) | Le persone che utilizzano sistemi chiusi per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli progettati per garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici e per garantire che il firmatario non possa facilmente ripudiare il documento firmato in quanto non autentico. Tali procedure e controlli devono includere quanto segue: (k) Uso di controlli appropriati sulla documentazione dei sistemi, tra cui: (1) Controlli adeguati sulla distribuzione, l'accesso e l'uso della documentazione per il funzionamento e la manutenzione del sistema. (2) Procedure di controllo delle revisioni e delle modifiche per mantenere una pista di controllo che documenti lo sviluppo e la modifica in sequenza temporale della documentazione dei sistemi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti identificativi distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Abilita questa regola per limitare l'accesso alle risorse nel AWS Cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.2 | (a) Le firme elettroniche non basate sulla biometria devono: (1) Utilizzare almeno due componenti di identificazione distinti come un codice di identificazione e una password. (i) Quando un individuo esegue una serie di firme durante un unico periodo continuo di accesso controllato al sistema, la prima firma deve essere eseguita utilizzando tutti i componenti della firma elettronica; le firme successive devono essere eseguite utilizzando almeno un componente di firma elettronica eseguibile solo dall'individuo e progettato per essere utilizzato solo da lui. (ii) Quando un individuo esegue una o più firme non eseguite durante un unico periodo continuo di accesso controllato al sistema, ogni firma deve essere eseguita utilizzando tutti i componenti della firma elettronica. (2) Deve essere utilizzata solo dai legittimi proprietari; e (3) Deve essere amministrata ed eseguita in modo da garantire che il tentativo di utilizzo della firma elettronica di un individuo da parte di chiunque non sia il proprietario effettivo richieda la collaborazione di due o più persone. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti con il metodo API, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CloudTrail percorsi. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi gruppi Amazon CloudWatch Log. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Abilita la rotazione delle chiavi per garantire che le chiavi vengano ruotate una volta raggiunta la fine del periodo crittografico. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi AWS CodeBuild artefatti. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per AWS CodeBuild i log archiviati in Amazon S3. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la crittografia sia abilitata per le tue tabelle Amazon DynamoDB. Poiché in queste tabelle possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con AWS una chiave master del cliente (CMK) di proprietà. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (OpenSearch Service). | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service (OpenSearch Service). | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS). | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per Amazon Kinesis Streams. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel AWS Key Management Service (KMS). AWS Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi programmate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Poiché possono esistere dati sensibili e per contribuire a proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la node-to-node crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la crittografia sia abilitata per gli snapshot di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo cluster Amazon Redshift. Poiché i dati sensibili possono esistere inattivi nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Assicurati che la crittografia sia abilitata per i tuoi bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere inattivi in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per AWS i segreti di Secrets Manager. Poiché nei segreti di Secrets Manager possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Le persone che utilizzano sistemi aperti per creare, modificare, conservare o trasmettere record elettronici devono utilizzare procedure e controlli volti a garantire l'autenticità, l'integrità e, se del caso, la riservatezza dei record elettronici dal momento della loro creazione al momento della loro ricezione. Tali procedure e controlli devono includere quelli identificati al punto 11.10, se del caso, e misure aggiuntive come la crittografia dei documenti e l'uso di standard di firma digitale appropriati per garantire, se necessario in base alle circostanze, l'autenticità, l'integrità e la riservatezza dei registri. | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia AWS tramite Key Management Service AWS (KMS). Poiché i dati sensibili possono esistere inattivi nei messaggi pubblicati, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica aziendale in materia di password IAM. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione periodica dei segreti può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione del segreto. | |
| 11.300 (b) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (b) Garantire che l'emissione di codici di identificazione e password venga periodicamente verificata, richiamata o rivista (ad esempio, per coprire eventi come l'invecchiamento delle password). | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
| 11.300 (d) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (d) L'uso di misure di sicurezza relative alle transazioni per impedire l'uso non autorizzato di password e/o codici di identificazione e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato delle stesse all'unità di sicurezza del sistema e, se del caso, alla direzione organizzativa. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 11.300 (d) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (d) L'uso di misure di sicurezza relative alle transazioni per impedire l'uso non autorizzato di password e/o codici di identificazione e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato delle stesse all'unità di sicurezza del sistema e, se del caso, alla direzione organizzativa. | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents. | |
| 11.300 (d) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (d) L'uso di misure di sicurezza relative alle transazioni per impedire l'uso non autorizzato di password e/o codici di identificazione e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato delle stesse all'unità di sicurezza del sistema e, se del caso, alla direzione organizzativa. | Amazon GuardDuty può contribuire a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| 11.300 (d) | Le persone che utilizzano firme elettroniche basate sull'uso di codici di identificazione in combinazione con password devono utilizzare controlli per garantirne la sicurezza e l'integrità. Tali controlli includeranno: (d) L'uso di misure di sicurezza relative alle transazioni per impedire l'uso non autorizzato di password e/o codici di identificazione e per rilevare e segnalare in modo immediato e urgente qualsiasi tentativo di utilizzo non autorizzato delle stesse all'unità di sicurezza del sistema e, se del caso, alla direzione organizzativa. | AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for FDA Title 21
