Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per BNM RMiT
I pacchetti di conformità forniscono un framework di conformità generico concepito per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole AWS Config gestite o personalizzate e azioni correttive AWS Config. I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra le regole di Risk Management in Technology (RMiT) di Bank Negara Malaysia (BNM) e le regole AWS Config gestite. Ogni regola di configurazione si applica a una risorsa AWS specifica e si riferisce a uno o più controlli BNM RMiT. Un controllo BNM RMiT può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | Regola AWS Config | Linea guida |
|---|---|---|---|
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per i punti di ripristino di Backup AWS. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master del cliente (CMK) di proprietà di AWS. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa Gestione Certificati AWS per la gestione, il provisioning e l'implementazione dei certificati SSL/TLS pubblici e privati con i servizi e le risorse interne di AWS. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel Sistema AWS di gestione delle chiavi (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,18 | Un istituto finanziario deve condurre la due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata, al fine di proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e garantire il non ripudio delle informazioni. Se un istituto finanziario non genera le proprie chiavi di crittografia, deve adottare le misure appropriate per garantire controlli e processi efficaci per la gestione delle chiavi di crittografia. Qualora ciò comporti il ricorso a valutazioni di terzi, l'istituto finanziario valuta se tale affidamento sia coerente con la propensione e la tolleranza al rischio dell'istituto finanziario. Un istituto finanziario deve inoltre prestare la dovuta attenzione alle risorse di sistema necessarie per supportare i controlli crittografici e al rischio di una ridotta visibilità del traffico di rete dei dati non crittografati. | Per aiutare a proteggere i dati a riposo, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia tramite il Sistema AWS di gestione delle chiavi (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,20 | Un istituto finanziario deve archiviare le chiavi di crittografia pubbliche in un certificato rilasciato da un'autorità di certificazione in base al livello di rischio. Tali certificati associati ai clienti devono essere rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a un livello di protezione elevato per garantire che l'uso delle chiavi di crittografia private corrispondenti ai certificati dell'utente sia giuridicamente vincolante e irrefutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le best practice del settore e le specifiche legali/normative applicabili. | Garantisci la protezione dell'integrità della rete assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.20 | Un istituto finanziario deve archiviare le chiavi di crittografia pubbliche in un certificato rilasciato da un'autorità di certificazione in base al livello di rischio. Tali certificati associati ai clienti devono essere rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a un livello di protezione elevato per garantire che l'uso delle chiavi di crittografia private corrispondenti ai certificati dell'utente sia giuridicamente vincolante e irrefutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le best practice del settore e le specifiche legali/normative applicabili. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa Gestione Certificati AWS per la gestione, il provisioning e l'implementazione dei certificati SSL/TLS pubblici e privati con i servizi e le risorse interne di AWS. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Il reporting avanzato sull'integrità di AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nell'integrità dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| 10,27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Questa regola garantisce che vengano stabiliti i limiti massimi e minimi di simultaneità di una funzione Lambda. Ciò può aiutare a stabilire il numero di richieste che la funzione serve in un dato momento. | |
| 10,27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.27 | Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per tenere traccia dell'utilizzo della capacità e delle prestazioni dei processi e dei servizi principali. Questi meccanismi di monitoraggio devono essere progettati per fornire avvisi tempestivi e utilizzabili agli amministratori. | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 10,34 | Un istituto finanziario deve garantire che i servizi di rete per i suoi sistemi critici siano affidabili e privi di singoli punti di errore (SPOF) per proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10,34 | Un istituto finanziario deve garantire che i servizi di rete per i suoi sistemi critici siano affidabili e privi di singoli punti di errore (SPOF) per proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche. | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 10,35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | AWS X-Ray è un servizio che raccoglie i dati sulle richieste che l'applicazione serve e offre strumenti che puoi utilizzare per visualizzare, filtrare e analizzare i dati per identificare i problemi e le opportunità di ottimizzazione. Assicurati che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate sulla richiesta, sulla risposta e sulle chiamate che l'applicazione esegue verso le risorse AWS, i microservizi, i database e le API Web HTTP a valle. | |
| 10,35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10,35 | Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda della rete in tempo reale e i corrispondenti parametri di resilienza dei servizi di rete per segnalare eventuali utilizzi eccessivi della larghezza di banda e interruzioni del sistema dovute a congestione della larghezza di banda e guasti di rete. Uno di questi processi è l'analisi del traffico per rilevare tendenze e anomalie. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10,36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 10,36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa Gestione Certificati AWS per la gestione, il provisioning e l'implementazione dei certificati SSL/TLS pubblici e privati con i servizi e le risorse interne di AWS. | |
| 10.36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10,36 | Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati. | Abilita il bilanciamento del carico tra zone per i tuoi Network Load Balancer (NLB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 10.38 | Un istituto finanziario deve garantire che venga mantenuto un numero sufficiente di log pertinenti ai dispositivi di rete per indagini e scopi forensi per almeno tre anni. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Viene eseguito l'audit delle credenziali per i dispositivi, gli utenti e i processi autorizzati in modo da garantire che le chiavi di accesso IAM vengano ruotate secondo la policy organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per i punti di ripristino di Backup AWS. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master del cliente (CMK) di proprietà di AWS. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al cloud AWS assicurandoti che gli snapshot EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa Gestione Certificati AWS per la gestione, il provisioning e l'implementazione dei certificati SSL/TLS pubblici e privati con i servizi e le risorse interne di AWS. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al cloud AWS assicurando che i nodi principali del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del Sistema AWS di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che un utente, un ruolo o un gruppo IAM (AWS Identity and Access Management) non disponga di una policy inline per controllare l'accesso a sistemi e asset. AWS suggerisce di utilizzare le policy gestite anziché le policy inline. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices valore: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano "Effect": "Allow" con "Action": "*" su "Resource": "*". Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | L'accesso ai sistemi e agli asset può essere controllato verificando che l'utente root non abbia chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per contribuire a incorporare il principio della funzionalità minima | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) consente di limitare i permessi e le autorizzazioni di accesso verificando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un determinato periodo di tempo. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo all'Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel Sistema AWS di gestione delle chiavi (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro nel cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Il routing VPC avanzato forza tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati a passare attraverso Amazon VPC. Puoi quindi utilizzare funzionalità VPC come gruppi di sicurezza e liste di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare i log di flusso VPC per monitorare il traffico di rete. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 10.51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Per aiutare a proteggere i dati a riposo, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia tramite il Sistema AWS di gestione delle chiavi (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Assicurati che documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 10,51 | Quando utilizza servizi cloud, un istituto finanziario deve implementare misure di protezione adeguate per le informazioni di clienti e controparti e per i dati proprietari al fine di impedirne la divulgazione e gli accessi non autorizzati. Queste misure includono il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni riguardanti clienti e controparti, dei dati e servizi proprietari ospitati sul cloud, inclusa la gestione delle chiavi di crittografia pertinenti. | Gestisci l'accesso al cloud AWS assicurando che alle sottoreti del cloud privato virtuale (VPC) Amazon non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Viene eseguito l'audit delle credenziali per i dispositivi, gli utenti e i processi autorizzati in modo da garantire che le chiavi di accesso IAM vengano ruotate secondo la policy organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del Sistema AWS di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Assicurati che un utente, un ruolo o un gruppo IAM (AWS Identity and Access Management) non disponga di una policy inline per controllare l'accesso a sistemi e asset. AWS suggerisce di utilizzare le policy gestite anziché le policy inline. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices valore: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano "Effect": "Allow" con "Action": "*" su "Resource": "*". Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | L'accesso ai sistemi e agli asset può essere controllato verificando che l'utente root non abbia chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per contribuire a incorporare il principio della funzionalità minima | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) consente di limitare i permessi e le autorizzazioni di accesso verificando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| 10,52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un determinato periodo di tempo. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.52 | Un istituto finanziario deve attuare un'adeguata policy di controllo degli accessi per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni, come ad esempio fornitori di servizi terzi). La policy deve comprendere i controlli degli accessi alla tecnologia sia logici sia fisici, commisurati al livello di rischio di accessi non autorizzati a tali sistemi tecnologici. | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.53(b)(h)(i) | Nel rispettare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; (h) limitare e controllare la condivisione di ID utente e password tra più utenti; e (i) controllare l'uso di convenzioni generiche di denominazione degli ID utente a favore di una maggiore identificazione personale ID abilitati. | L'accesso ai sistemi e agli asset può essere controllato verificando che l'utente root non abbia chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per contribuire a incorporare il principio della funzionalità minima | |
| 10.53(b) | Nel rispetto del paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10.53(b) | Nel rispettare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 10.53(b) | Nel rispettare il paragrafo 10.52, un ente finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del Sistema AWS di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.53(b) | Nell'osservare il paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le need-to-have autorizzazioni minime sufficienti per svolgere i loro ruoli; | Assicurati che un utente, un ruolo o un gruppo IAM (AWS Identity and Access Management) non disponga di una policy inline per controllare l'accesso a sistemi e asset. AWS suggerisce di utilizzare le policy gestite anziché le policy inline. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 10.53(b) | Nel rispetto del paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano "Effect": "Allow" con "Action": "*" su "Resource": "*". Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.53(b) | Nel rispettare il paragrafo 10.52, un ente finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» need-to-have laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; | AWS Identity and Access Management (IAM) consente di limitare i permessi e le autorizzazioni di accesso verificando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.53(b) | Nel rispetto del paragrafo 10.52, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: (b) utilizzare i diritti di accesso con «privilegio minimo» o su base «» laddove agli utenti legittimi siano concesse solo le autorizzazioni minime sufficienti per svolgere i loro ruoli; need-to-have | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.53(c)(f) | Nell'osservare il paragrafo 10.52, un istituto finanziario deve prendere in considerare i seguenti principi nella sua policy di controllo degli accessi: (c) utilizzare diritti di accesso limitati nel tempo che restringano l'accesso a un periodo specifico, compresi i diritti di accesso concessi ai fornitori di servizi; (f) adottare una modalità di autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices valore: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.52, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.54, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.53(f)(h) | Nell'osservare il paragrafo 10.54, un istituto finanziario deve prendere in considerazione i seguenti principi nella sua policy di controllo degli accessi: (f) adottare un'autenticazione più rigorosa per le attività critiche, incluso l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, ovvero qualcosa che l'utente conosce (ad esempio password, PIN), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, ovvero qualcosa che l'utente conosce (ad esempio password, PIN), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.54 | Un istituto finanziario deve utilizzare processi di autenticazione efficaci per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottare almeno uno o più di questi tre fattori di autenticazione di base, ovvero qualcosa che l'utente conosce (ad esempio password, PIN), qualcosa che l'utente possiede (ad esempio smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad esempio caratteristiche biometriche, come un'impronta digitale o uno schema retinico). | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.55 | Un istituto finanziario deve rivedere e adattare periodicamente le proprie pratiche in materia di password per migliorare la resilienza contro gli attacchi in evoluzione. Ciò include la generazione efficace e sicura di password. Inoltre, l'istituto deve mettere in atto i controlli appropriati per verificare la sicurezza delle password create. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices valore: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (soprattutto nei sistemi ad alto rischio o ad autenticazione unica) l'autenticazione a più fattori (MFA), che garantisce maggiore affidabilità e fornisce deterrenti più efficaci contro le frodi | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| 10,56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (soprattutto nei sistemi ad alto rischio o ad autenticazione unica) l'autenticazione a più fattori (MFA), che garantisce maggiore affidabilità e fornisce deterrenti più efficaci contro le frodi | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10.56 | Generalmente, i metodi di autenticazione basati su più di un fattore sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (soprattutto nei sistemi ad alto rischio o ad autenticazione unica) l'autenticazione a più fattori (MFA), che garantisce maggiore affidabilità e fornisce deterrenti più efficaci contro le frodi | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Viene eseguito l'audit delle credenziali per i dispositivi, gli utenti e i processi autorizzati in modo da garantire che le chiavi di accesso IAM vengano ruotate secondo la policy organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi del Sistema AWS di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices valore: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano "Effect": "Allow" con "Action": "*" su "Resource": "*". Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | L'accesso ai sistemi e agli asset può essere controllato verificando che l'utente root non abbia chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per contribuire a incorporare il principio della funzionalità minima | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | AWS Identity and Access Management (IAM) consente di limitare i permessi e le autorizzazioni di accesso verificando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 10,59 | Un istituto finanziario deve garantire che (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e che (b) le attività degli utenti nei sistemi critici siano registrate per fini di audit e indagine. I log delle attività devono essere conservati per almeno tre anni e rivisti regolarmente in modo tempestivo. | Per facilitare la registrazione di log e il monitoraggio all'interno del tuo ambiente, abilita la registrazione di log AWS WAF (V2) sulle ACL web regionali e globali. La registrazione di log AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola a cui corrisponde ogni richiesta. | |
| 10,60 | Nel soddisfare il requisito di cui al paragrafo 10.59, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 10.60 | Nel soddisfare il requisito di cui al paragrafo 10.61, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| 10.60 | Nel soddisfare il requisito di cui al paragrafo 10.61, gli istituti finanziari di grandi dimensioni sono tenuti a (a) implementare un sistema di gestione degli accessi alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie. | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| 10,61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o sistemi tecnologici end-of-life (EOL). A questo proposito, un istituto finanziario deve assegnare in modo chiaro le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare in maniera tempestiva le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che si avvicinano alla fine del ciclo di vita (EOL) per ulteriori azioni correttive. | L'inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile grazie alla gestione delle istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione nonché altri dettagli sull'ambiente. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o sistemi tecnologici end-of-life (EOL). A questo proposito, un istituto finanziario deve assegnare in modo chiaro le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare in maniera tempestiva le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che si avvicinano alla fine del ciclo di vita (EOL) per ulteriori azioni correttive. | ec2- -controlla managedinstance-association-compliance-status |
Utilizzo delle associazioni AWS Systems Manager per semplificare l'inventario delle applicazioni e delle piattaforme software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee guida per livelli di patch del sistema operativo, installazioni software, configurazioni delle applicazioni e altri dettagli sull'ambiente. |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o sistemi tecnologici end-of-life (EOL). A questo proposito, un istituto finanziario deve assegnare in modo chiaro le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare in maniera tempestiva le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che si avvicinano alla fine del ciclo di vita (EOL) per ulteriori azioni correttive. | L'abilitazione di questa regola facilita l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica la conformità della patch dell'istanza Amazon EC2 in AWS Systems Manager, come richiesto dalle policy e dalle procedure dell'organizzazione. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o sistemi tecnologici end-of-life (EOL). A questo proposito, un istituto finanziario deve assegnare in modo chiaro le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare in maniera tempestiva le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che si avvicinano alla fine del ciclo di vita (EOL) per ulteriori azioni correttive. | L'abilitazione degli aggiornamenti della piattaforma gestiti per un ambiente Amazon Elastic Beanstalk garantisce l'installazione degli ultimi aggiornamenti, correzioni e funzionalità disponibili per l'ambiente. Rimanere costantemente al passo con l'installazione delle patch è una delle best practice per la sicurezza dei sistemi. | |
| 10.61 | Un istituto finanziario deve garantire che i sistemi critici non funzionino su sistemi obsoleti con vulnerabilità di sicurezza note o sistemi tecnologici end-of-life (EOL). A questo proposito, un istituto finanziario deve assegnare in modo chiaro le responsabilità alle funzioni identificate: (a) monitorare continuamente e implementare in maniera tempestiva le ultime versioni delle patch; e (b) identificare i sistemi tecnologici critici che si avvicinano alla fine del ciclo di vita (EOL) per ulteriori azioni correttive. | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per i punti di ripristino di Backup AWS. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master del cliente (CMK) di proprietà di AWS. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa Gestione Certificati AWS per la gestione, il provisioning e l'implementazione dei certificati SSL/TLS pubblici e privati con i servizi e le risorse interne di AWS. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWSKMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia dei dati inattivi per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(a) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (a) la riservatezza e l'integrità delle informazioni e delle transazioni dei clienti e delle controparti | Per aiutare a proteggere i dati a riposo, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia tramite il Sistema AWS di gestione delle chiavi (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Il dimensionamento automatico di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità effettiva di trasmissione allocata automaticamente in risposta ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura e scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione (della larghezza di banda della rete). | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state interrotte per un numero di giorni superiore a quello consentito, secondo gli standard dell'organizzazione. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Questa regola garantisce che per Elastic Load Balancing sia abilitata la protezione da eliminazione. Utilizza questa funzionalità per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Abilita il bilanciamento del carico tra zone per i tuoi sistemi di bilanciamento ( NetworkLoad NLB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| 10.64(b) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (b) affidabilità dei servizi forniti tramite canali e dispositivi con interruzioni minime dei servizi | È possibile implementare tunnel VPN sito-sito ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso in cui una delle connessioni VPN sito-sito non sia disponibile. Per evitare la perdita di connettività nel caso in cui il gateway del cliente non sia più disponibile, puoi configurare una seconda connessione VPN sito-sito al tuo Amazon Virtual Private Cloud (Amazon VPC) e al gateway privato virtuale utilizzando un secondo dispositivo gateway del cliente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | I controlli dell'integrità Elastic Load Balancer (ELB) per i gruppi con dimensionamento automatico Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Periodicamente, il sistema di bilanciamento del carico invia ping, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo con dimensionamento automatico. Se un'istanza non risponde, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita questa regola per assicurarti che la capacità effettiva di trasmissione assegnata sia verificata nelle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura e scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando la velocità di trasmissione effettiva si avvicina al limite massimo per l'account di un cliente. Questa regola consente di impostare facoltativamente i parametri AccountRCU ThresholdPercentage (Config Default: 80) e AccountWCU ThresholdPercentage (Config Default: 80). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Assicurati che i domini OpenSearch di Amazon Service abbiano i log degli errori abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. OpenSearch I log degli errori del servizio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata sullo stato delle istanze database Amazon RDS. Quando l'archiviazione di Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ogni dispositivo. Inoltre, quando l'istanza database Amazon RDS è in esecuzione in una implementazione multi-AZ, vengono raccolti i dati per ogni dispositivo sull'host secondario e le metriche dell'host secondario. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 10.64(d) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (d) sufficiente audit trail e monitoraggio delle transazioni anomale | Per facilitare la registrazione di log e il monitoraggio all'interno del tuo ambiente, abilita la registrazione di log AWS WAF (V2) sulle ACL web regionali e globali. La registrazione di log AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola a cui corrisponde ogni richiesta. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse Amazon Aurora facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni migliori in termini di efficienza per i volumi EBS, riducendo al minimo i conflitti tra le operazioni I/O Amazon EBS e altro traffico proveniente dall'istanza. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, verifica che le risorse Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche ai dati, a seconda di quale situazione si verifichi prima. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. | |
| 10.64(e) | Nella fornitura di servizi digitali, un istituto finanziario deve implementare efficaci controlli di sicurezza della tecnologia che garantiscano quanto segue: (e) la capacità di identificare e ristabilire il punto di ripristino prima dell'incidente o dell'interruzione del servizio | Per agevolare i processi di backup dei dati, verifica che bucket Amazon Simple Storage Service (S3) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| 11.7 | Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella propria infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| 11.7 | Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella propria infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto. | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| 11.8 | Un istituto finanziario deve garantire che le proprie operazioni di sicurezza informatica prevengano e rilevino in maniera continua qualsiasi potenziale compromissione dei controlli di sicurezza o indebolimento del proprio livello di sicurezza. Per gli istituti finanziari di grandi dimensioni, ciò deve includere l'esecuzione di una valutazione trimestrale della vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| 11.8 | Un istituto finanziario deve garantire che le proprie operazioni di sicurezza informatica prevengano e rilevino in maniera continua qualsiasi potenziale compromissione dei controlli di sicurezza o indebolimento del proprio livello di sicurezza. Per gli istituti finanziari di grandi dimensioni, ciò deve includere l'esecuzione di una valutazione trimestrale della vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici. | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| 11.18(c)(f) | Il centro per le operazioni di sicurezza (SOC) deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, comprese l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (IOC). Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| 11.18(c)(f) | Il centro per le operazioni di sicurezza (SOC) deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, comprese l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (IOC). Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. | |
| 11.18(c)(f) | Il centro per le operazioni di sicurezza (SOC) deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; (f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, comprese l'analisi e le operazioni di intelligence sulle minacce e il monitoraggio degli indicatori di compromissione (IOC). Ciò include un'analisi comportamentale avanzata per rilevare malware in assenza di firma e di file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete. | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| Appendice 5.1 | Effettuare una revisione periodica della configurazione e delle impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizzare strumenti automatizzati per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| Appendice 5.1 | Effettuare una revisione periodica della configurazione e delle impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizzare strumenti automatizzati per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. | Centrale di sicurezza AWS aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Centrale di sicurezza AWS aggrega, organizza e assegna priorità agli avvisi o esiti di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, Strumento di analisi degli accessi ad AWS Identity and Access Management (IAM) e Gestione dei firewall AWS, nonché soluzioni di partner AWS. | |
| Appendice 5.5(b) | Garantisci che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| Appendice 5.5(b) | Garantire che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| Appendice 5.5(b) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) utilizzo di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Garantisci che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(b) | Garantire che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (b) uso di tunnel sicuri come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPSec | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.5(c) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| Appendice 5.5(c) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in entrata e in uscita verso risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito contribuisce a limitare l'accesso remoto alle risorse AWS. | |
| Appendice 5.5(c) | Assicurati che i controlli di sicurezza per le connessioni di rete server-to-server esterne includano quanto segue: (c) implementazione di server di staging con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | Assicurati che le fasi REST API del Gateway Amazon API siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare la provenienza delle richieste dal Gateway API. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | Poiché possono esistere dati sensibili e per proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in entrata e in uscita verso risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito contribuisce a limitare l'accesso remoto alle risorse AWS. | |
| Appendice 5.6 | Garantire che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitazione dell'accesso solo ai dispositivi endpoint protetti e bloccati; (b) utilizzo di tunnel sicuri come TLS e VPN IPSec; (c) implementazione di un server "gateway" con difese e protezioni perimetrali adeguate come firewall, IPS e antivirus; e (d) chiusura delle porte interessate immediatamente dopo la scadenza dell'accesso remoto. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 10 parte B - 1 (a) | Un istituto finanziario deve progettare un'architettura cloud solida e garantire che tale progettazione sia conforme agli standard internazionali pertinenti per l'applicazione prevista. | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi di zero trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla presunzione di violazione, applicando la microsegmentazione, i diritti di accesso con deny-by-default «privilegio minimo» e defense-in-depth effettuando ispezioni approfondite e convalide continue, ove applicabile. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancing (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi zero-trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla «presunzione di violazione», defense-in-depth applicando la microsegmentazione, i diritti di accesso con «privilegio minimo» e conducendo ispezioni approfondite e convalide continue, ove applicabile. deny-by-default | Gestisci l'accesso al cloud AWS assicurando che alle sottoreti del cloud privato virtuale (VPC) Amazon non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi di zero trust per fornire un'architettura resiliente alla cibersicurezza adottando una mentalità basata sulla presunzione di violazione, applicando diritti di accesso basati sulla microsegmentazione e sul «privilegio minimo»deny-by-default, nonché defense-in-depth effettuando ispezioni approfondite e convalide continue, ove applicabile. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in entrata e in uscita verso risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito contribuisce a limitare l'accesso remoto alle risorse AWS. | |
| Appendice 10 parte B - 1 (b) | Un istituto finanziario è incoraggiato ad adottare i principi di zero trust per fornire un'architettura resiliente agli attacchi informatici adottando una mentalità basata sulla presunzione di violazione, applicando la microsegmentazione, i diritti di accesso con deny-by-default «privilegio minimo» e defense-in-depth effettuando ispezioni approfondite e convalide continue, ove applicabile. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| Appendice 10 parte B - 1 (c) | Nella gestione della complessità dell'ambiente di rete cloud, un istituto finanziario deve utilizzare l'approccio all'architettura di rete più recente e un concetto e soluzioni di progettazione di rete appropriati per gestire e monitorare la sicurezza granulare della rete e il provisioning della rete centralizzata. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| Appendice 10 parte B - 1 (c) | Nella gestione della complessità dell'ambiente di rete cloud, un istituto finanziario deve utilizzare l'approccio all'architettura di rete più recente e un concetto e soluzioni di progettazione di rete appropriati per gestire e monitorare la sicurezza granulare della rete e il provisioning della rete centralizzata. | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| Appendice 10 parte B - 1 (d) | Un istituto finanziario deve stabilire e utilizzare canali di comunicazione sicuri e crittografati per la migrazione di server fisici, applicazioni o dati verso le piattaforme cloud. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| Appendice 10 parte B - 1 (d) | Un istituto finanziario deve stabilire e utilizzare canali di comunicazione sicuri e crittografati per la migrazione di server fisici, applicazioni o dati verso le piattaforme cloud. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| Appendice 10, parte B - 1 (f) i) | Il maggiore utilizzo delle interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe contribuire all'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un istituto finanziario deve garantire che le proprie API siano soggette a rigorosi meccanismi di gestione e controllo, tra cui: i) le API devono essere progettate per la resilienza del servizio, al fine di evitare la presenza di singoli punti deboli, e configurate in modo sicuro con controlli di accesso adeguati; | È opportuno assicurarsi che il proprio percorso API Amazon API Gateway v2 abbia un tipo di autorizzazione impostato per impedire l'accesso non autorizzato alle risorse di backend sottostanti. | |
| Appendice 10, parte B - 1 (f) ii) | Il maggiore utilizzo delle interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe contribuire all'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un istituto finanziario deve garantire che le proprie API siano soggette a rigorosi meccanismi di gestione e controllo, tra cui: ii) le API devono essere monitorate contro gli attacchi informatici con adeguate misure di risposta agli incidenti e disattivate tempestivamente quando non sono più in uso. | AWS WAF consente di configurare un set di regole, denominato lista di controllo accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| Appendice 10, parte B - 1 (f) ii) | Il maggiore utilizzo delle interfacce di programmazione delle applicazioni (API) da parte degli istituti finanziari per l'interconnessione con fornitori di servizi applicativi esterni potrebbe contribuire all'efficienza nella fornitura di nuovi servizi. Tuttavia, ciò può aumentare la superficie degli attacchi informatici e una gestione per qualsiasi motivo errata può amplificare l'impatto di un incidente di sicurezza delle informazioni. Un istituto finanziario deve garantire che le proprie API siano soggette a rigorosi meccanismi di gestione e controllo, tra cui: ii) le API devono essere monitorate contro gli attacchi informatici con adeguate misure di risposta agli incidenti e disattivate tempestivamente quando non sono più in uso. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| Appendice 10 parte B - 2 (b) ii) | Un istituto finanziario deve sfruttare continuamente le funzionalità cloud avanzate per migliorare la sicurezza dei servizi cloud. Inoltre, tra le altre cose, gli istituti finanziari sono incoraggiati a: ii) utilizzare pratiche infrastrutturali immutabili per l'implementazione dei servizi e creare un nuovo ambiente con l'ultima versione stabile del software per ridurre il rischio di errori. Il monitoraggio continuo dell'ambiente cloud deve includere l'automazione del rilevamento delle modifiche all'infrastruttura immutabile per migliorare la revisione della conformità e combattere gli attacchi informatici in continua evoluzione | Per rilevare modifiche non intenzionali alle AWS risorse sottostanti, assicurati che lo CloudFormation stack sia configurato per inviare notifiche di eventi a un argomento Amazon SNS. | |
| Appendice 10 parte B - 3 (b) vi) | Un istituto finanziario deve garantire che le immagini delle macchine virtuali e dei container siano configurate, rafforzate e monitorate in modo appropriato. Ciò include quanto segue: vi) le immagini archiviate sono soggette a monitoraggio di sicurezza in caso di accessi e modifiche non autorizzati. | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le risorse Amazon Aurora facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, verifica che le risorse Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per facilitare i processi di backup dei dati, assicurati che le risorse di Amazon Relational Database Service (Amazon RDS) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10, parte B - 5 (a) i) | Nell'ambito di un'efficace capacità di ripristino, gli istituti finanziari devono garantire che le procedure di backup e ripristino esistenti siano estese ai servizi cloud, il che include quanto segue: i) definire e formalizzare la strategia di backup e ripristino nella fase di pianificazione dell'adozione del cloud; | Per agevolare i processi di backup dei dati, verifica che bucket Amazon Simple Storage Service (S3) facciano parte di un piano di Backup AWS. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. | |
| Appendice 10 parte B - 5 (b) | Un istituto finanziario deve garantire che le procedure di backup e ripristino siano testate periodicamente per convalidare le capacità di ripristino. La frequenza delle procedure di backup deve essere commisurata alla criticità del sistema e all'obiettivo del punto di ripristino (RPO) del sistema. L'istituto finanziario deve adottare tempestivamente le azioni correttive in caso di backup non riusciti. | Per facilitare i processi di backup dei dati, assicurati che il piano di Backup AWS sia impostato per una frequenza e una conservazione minime. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| Appendice 10, parte B - 5 (c) i) | Un istituto finanziario dovrebbe garantire un backup e un ripristino sufficienti della macchina virtuale e del contenitore, comprese le impostazioni di configurazione del backup (per IaaS e PaaS, se del caso), che includono quanto segue: i) garantire la capacità di ripristinare una macchina virtuale e un contenitore in conformità agli point-in-time obiettivi di ripristino aziendali; | Per facilitare i processi di backup dei dati, assicurati che il piano di Backup AWS sia impostato per una frequenza e una conservazione minime. Backup AWS è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Questa regola consente di impostare i parametri requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). Il valore effettivo deve essere conforme ai requisiti dell'organizzazione. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Per garantire un'elevata disponibilità, assicurati che il gruppo Auto Scaling sia configurato su più zone di disponibilità. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Elastic Load Balancing (ELB) distribuisce automaticamente il traffico in ingresso su più destinazioni, ad esempio istanze EC2, container e indirizzi IP, in una zona di disponibilità. Per garantire un'elevata disponibilità, assicurati che ELB abbia registrato istanze da più zone di disponibilità. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Se la funzione AWS Lambda è configurata per la connessione a un cloud privato virtuale (VPC) nell'account, implementa la funzione AWS Lambda in almeno due zone di disponibilità diverse per assicurare che sia disponibile per elaborare eventi in caso di interruzione del servizio in una specifica zona. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Abilita il bilanciamento del carico tra zone per i tuoi sistemi di bilanciamento ( NetworkLoad NLB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Per favorire la disponibilità dei dati archiviati, la replica Multi-AZ deve essere abilitata per i cluster Amazon Relational Database Service (Amazon RDS). Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| Appendice 10, parte B - 5 (d) i) | Un istituto finanziario deve valutare i requisiti di resilienza dei servizi cloud e individuare misure appropriate commisurate alla criticità del sistema, per garantire la disponibilità del servizio in scenari estremamente avversi. Gli istituti finanziari devono prendere in considerazione un approccio basato sul rischio e adottare progressivamente controlli di mitigazione adeguati per garantire la disponibilità dei servizi e diminuire il rischio di concentrazione. Tra le opzioni praticabili vi sono: i) sfruttare le funzionalità di elevata disponibilità e ridondanza dei servizi cloud per garantire che data center di produzione abbiano capacità ridondante in diverse zone di disponibilità; | Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) offre disponibilità e durabilità avanzate per le istanze database. Quando esegui il provisioning di un'istanza database multi-AZ, Amazon RDS crea automaticamente un'istanza database primaria e replica in modo sincrono i dati in un'istanza standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per i punti di ripristino di Backup AWS. Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master del cliente (CMK) di proprietà di AWS. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati a riposo, assicurati che i cluster Amazon Elastic Kubernetes Service (EKS) siano configurati per abilitare la crittografia dei segreti Kubernetes. Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi domini Amazon OpenSearch Service. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per il tuo cluster Amazon Redshift. Data la possibile presenza di dati sensibili a riposo nei cluster Redshift, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per proteggere i dati a riposo, assicurati che la crittografia con il Sistema AWS di gestione delle chiavi (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (a) | Un istituto finanziario deve implementare tecniche di crittografia appropriate e pertinenti per proteggere la riservatezza e l'integrità dei dati sensibili archiviati nel cloud. | Per aiutare a proteggere i dati a riposo, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia tramite il Sistema AWS di gestione delle chiavi (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. | |
| Appendice 10 parte B - 8 (d) | Con la maggiore adozione del cloud, la gestione di molte chiavi di crittografia utilizzate per proteggere i dati è diventata più complessa e può porre gli istituti finanziari di fronte a nuove sfide. Un istituto finanziario deve adottare un approccio di gestione delle chiavi completo e centralizzato, che include l'uso di un sistema di gestione delle chiavi centralizzato in grado di gestire generazioni, archiviazione e distribuzione delle chiavi in modo sicuro e dimensionabile. | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| Appendice 10 parte B - 8 (d) | Con la maggiore adozione del cloud, la gestione di molte chiavi di crittografia utilizzate per proteggere i dati è diventata più complessa e può porre gli istituti finanziari di fronte a nuove sfide. Un istituto finanziario deve adottare un approccio di gestione delle chiavi completo e centralizzato, che include l'uso di un sistema di gestione delle chiavi centralizzato in grado di gestire generazioni, archiviazione e distribuzione delle chiavi in modo sicuro e dimensionabile. | Per proteggere i dati a riposo, assicurati che non sia pianificata l'eliminazione delle chiavi master del cliente (CMK) necessarie nel Sistema AWS di gestione delle chiavi (AWS KMS). Poiché a volte l'eliminazione delle chiavi è necessaria, questa regola può aiutare a verificare tutte le chiavi per le quali è pianificata l'eliminazione, nel caso in cui una chiave sia stata pianificata in modo non intenzionale. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementazione del "privilegio minimo" e dell'autenticazione a più fattori (MFA) forte, ad esempio utilizzando password complesse, token software, strumenti di gestione degli accessi privilegiati e funzioni maker-checker; | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e da AWS Foundational Security Best Practices relativamente alla complessità delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), (Foundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: 14), MinimumPasswordLength (AWSFoundational Security Best Practices valore: 24) e PasswordReusePrevention MaxPasswordAge (AWSAWSFoundational Security Best Practices: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementazione del "privilegio minimo" e dell'autenticazione a più fattori (MFA) forte, ad esempio utilizzando password complesse, token software, strumenti di gestione degli accessi privilegiati e funzioni maker-checker; | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementazione del "privilegio minimo" e dell'autenticazione a più fattori (MFA) forte, ad esempio utilizzando password complesse, token software, strumenti di gestione degli accessi privilegiati e funzioni maker-checker; | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) hardware sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| Appendice 10 parte B - 9 (a) ii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: ii) implementazione del "privilegio minimo" e dell'autenticazione a più fattori (MFA) forte, ad esempio utilizzando password complesse, token software, strumenti di gestione degli accessi privilegiati e funzioni maker-checker; | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre i casi di account AWS compromessi. | |
| Appendice 10, parte B - 9 (a) iii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iii) assegnazione granulare dei diritti per gli utenti privilegiati; | AWS Identity and Access Management (IAM) aiuta a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano "Effect": "Allow" con "Action": "*" su "Resource": "*". Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| Appendice 10, parte B - 9 (a) iii) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iii) assegnazione granulare dei diritti per gli utenti privilegiati; | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| Appendice 10, parte B - 9 (a) iv) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iv) monitoraggio continuo delle attività svolte dagli utenti privilegiati; | Questa regola aiuta a garantire l'uso delle best practice consigliate da AWS per la sicurezza di AWS CloudTrail, verificando l'abilitazione di diverse impostazioni. Queste includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più aree. | |
| Appendice 10, parte B - 9 (a) iv) | Il piano di gestione costituisce una differenza fondamentale in termini di sicurezza tra l'infrastruttura tradizionale e il cloud computing, dove l'accesso remoto è supportato per impostazione predefinita. Questo livello di accesso potrebbe aprire la strada ad attacchi informatici e mettere così a rischio l'integrità dell'intera implementazione del cloud. In considerazione di ciò, gli istituti finanziari devono garantire l'applicazione di controlli rigorosi per l'accesso al piano di gestione, che possono includere quanto segue: iv) monitoraggio continuo delle attività svolte dagli utenti privilegiati; | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| Appendice 10 parte B - 12 (a) | Un istituto finanziario deve proteggere i dati ospitati nei servizi cloud come richiesto nella sezione Prevenzione della perdita di dati (paragrafi da 11.14 a 11.16) del presente documento di policy, il che include l'espansione dell'impronta degli endpoint se l'istituto finanziario consente al personale di utilizzare i propri dispositivi per accedere ai dati sensibili. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| Appendice 10 parte B - 12 (a) | Un istituto finanziario deve proteggere i dati ospitati nei servizi cloud come richiesto nella sezione Prevenzione della perdita di dati (paragrafi da 11.14 a 11.16) del presente documento di policy, il che include l'espansione dell'impronta degli endpoint se l'istituto finanziario consente al personale di utilizzare i propri dispositivi per accedere ai dati sensibili. | Amazon Macie è un servizio di sicurezza dei dati che utilizza il machine learning (ML) e la corrispondenza di modelli per individuare e aiutare a proteggere i dati sensibili archiviati in Amazon Simple Storage Service (Amazon S3). | |
| Appendice 10, parte B - 14 (c) i) | Un istituto finanziario deve prendere in considerazione le seguenti misure aggiuntive nello sviluppo del proprio CIRP: i) migliorare la propria capacità di individuare gli incidenti di violazione della sicurezza per conseguire una gestione degli incidenti efficace, che includa la capacità di rilevare la fuga di dati sul dark web; | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose nell'ambiente cloud AWS. | |
| Appendice 10, parte B - 14 (c) i) | Un istituto finanziario deve prendere in considerazione le seguenti misure aggiuntive nello sviluppo del proprio CIRP: i) migliorare la propria capacità di individuare gli incidenti di violazione della sicurezza per conseguire una gestione degli incidenti efficace, che includa la capacità di rilevare la fuga di dati sul dark web; | Amazon ti GuardDuty aiuta a comprendere l'impatto di un incidente classificando i risultati in base alla gravità: bassa, media e alta. Puoi utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola consente di impostare facoltativamente daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7) e daysHighSev (Config Default: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione. |
Modello
Il modello è disponibile su GitHub: Operational
