Best practice operative per BNM RMIT - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per BNM RMIT

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.



Di seguito viene fornito un esempio di mappatura tra la Bank Negara Malaysia (BNM) Risk Management in Technology (RMiT) eAWSregole di Config gestite. Ogni regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli BNM RMIt. Un controllo BNM RMIt può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrein)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchservice (OpenSearchDomini Service).
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

kms-cmk-not-scheduled-for-deletion

Per aiutare a proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo crittografico.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3) Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
10.18 Un istituto finanziario deve condurre due diligence e valutare i controlli crittografici associati alla tecnologia utilizzata per proteggere la riservatezza, l'integrità, l'autenticazione, l'autorizzazione e il non ripudio delle informazioni. Se un istituto finanziario non genera chiavi di crittografia proprie, l'istituto finanziario adotta misure appropriate per garantire che siano in atto controlli e processi solidi per gestire le chiavi di crittografia. Se ciò comporta un affidamento su valutazioni di terzi, l'istituto finanziario valuta se tale dipendenza è coerente con l'appetito al rischio e la tolleranza dell'istituto finanziario. Un istituto finanziario deve inoltre tenere in debita considerazione le risorse di sistema necessarie a supportare i controlli crittografici e il rischio di una ridotta visibilità del traffico di rete dei dati crittografati.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.20 Un istituto finanziario memorizza le chiavi crittografiche pubbliche in un certificato rilasciato da un'autorità di certificazione, a seconda del livello di rischio. Tali certificati associati ai clienti sono rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a una forte protezione per garantire che l'uso di chiavi crittografiche private corrispondenti ai certificati utente sia giuridicamente vincolante e inconfutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le migliori pratiche del settore e le specifiche legali/regolamentari applicabili.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.20 Un istituto finanziario memorizza le chiavi crittografiche pubbliche in un certificato rilasciato da un'autorità di certificazione, a seconda del livello di rischio. Tali certificati associati ai clienti sono rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a una forte protezione per garantire che l'uso di chiavi crittografiche private corrispondenti ai certificati utente sia giuridicamente vincolante e inconfutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le migliori pratiche del settore e le specifiche legali/regolamentari applicabili.

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.20 Un istituto finanziario memorizza le chiavi crittografiche pubbliche in un certificato rilasciato da un'autorità di certificazione, a seconda del livello di rischio. Tali certificati associati ai clienti sono rilasciati da autorità di certificazione riconosciute. L'istituto finanziario deve garantire che l'implementazione dei protocolli di autenticazione e firma che utilizzano tali certificati sia soggetta a una forte protezione per garantire che l'uso di chiavi crittografiche private corrispondenti ai certificati utente sia giuridicamente vincolante e inconfutabile. L'emissione iniziale e il successivo rinnovo di tali certificati devono essere coerenti con le migliori pratiche del settore e le specifiche legali/regolamentari applicabili.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

cloudwatch-alarm-resource-check

Abilita questa regola per verificare se il tipo di risorsa specificato ha un AmazonCloudWatchallarme per la metrica specificata. Per il tipo di risorsa, puoi specificare volumi Amazon Elastic Block Store (Amazon EBS), istanze Amazon Elastic Compute Cloud (Amazon EC2), cluster Amazon Relational Database Service (Amazon RDS) o bucket Amazon Simple Storage Service (Amazon S3). UtilizzaCloudWatchallarmi per la comunicazione delle informazioni sul rilevamento degli eventi al personale appropriato. Questa regola richiede di impostare i parametri resourceType (ad esempio AWS። EC2። Instance) e MetricName (ad esempio, CPUUtilization).
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) di Amazon Elastic Compute Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baselizzare il numero di richieste che la funzione sta elaborando in un dato momento.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette la possibilità di impostare AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
10.27 Un istituto finanziario deve stabilire meccanismi di monitoraggio in tempo reale per monitorare l'utilizzo della capacità e le prestazioni dei processi e dei servizi chiave. Tali meccanismi di monitoraggio devono essere in grado di fornire avvisi tempestivi e praticabili agli amministratori.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.34 Un istituto finanziario deve garantire che i servizi di rete per i suoi sistemi critici siano affidabili e non dispongano di SPOF al fine di proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche.

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN ridondanti per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
10.34 Un istituto finanziario deve garantire che i servizi di rete per i suoi sistemi critici siano affidabili e non dispongano di SPOF al fine di proteggere i sistemi critici da potenziali guasti di rete e minacce informatiche.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
10.35 Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda di rete in tempo reale e le corrispondenti metriche di resilienza dei servizi di rete per segnalare qualsiasi utilizzo eccessivo della larghezza di banda e delle interruzioni del sistema dovute alla congestione della larghezza di banda e ai guasti della rete. Ciò include l'analisi del traffico per rilevare tendenze e anomalie.

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.35 Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda di rete in tempo reale e le corrispondenti metriche di resilienza dei servizi di rete per segnalare qualsiasi utilizzo eccessivo della larghezza di banda e delle interruzioni del sistema dovute alla congestione della larghezza di banda e ai guasti della rete. Ciò include l'analisi del traffico per rilevare tendenze e anomalie.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.35 Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda di rete in tempo reale e le corrispondenti metriche di resilienza dei servizi di rete per segnalare qualsiasi utilizzo eccessivo della larghezza di banda e delle interruzioni del sistema dovute alla congestione della larghezza di banda e ai guasti della rete. Ciò include l'analisi del traffico per rilevare tendenze e anomalie.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
10.35 Un istituto finanziario deve stabilire processi di monitoraggio della larghezza di banda di rete in tempo reale e le corrispondenti metriche di resilienza dei servizi di rete per segnalare qualsiasi utilizzo eccessivo della larghezza di banda e delle interruzioni del sistema dovute alla congestione della larghezza di banda e ai guasti della rete. Ciò include l'analisi del traffico per rilevare tendenze e anomalie.

api-gw-xray-enabled

AWS X-Ray raccoglie i dati sulle richieste che l'applicazione serve e fornisce strumenti che puoi utilizzare per visualizzare, filtrare e analizzare i dati per identificare i problemi e le opportunità di ottimizzazione. Verifica che X-Ray sia abilitato in modo da poter visualizzare informazioni dettagliate non solo sulla richiesta e sulla risposta, ma anche sulle chiamate che l'applicazione effettua verso le risorse AWS, i microservizi, i database e le API Web HTTP a valle.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
10.36 Un istituto finanziario deve garantire che i servizi di rete che supportano i sistemi critici siano progettati e implementati per garantire la riservatezza, l'integrità e la disponibilità dei dati.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.38 Un istituto finanziario deve garantire che i registri dei dispositivi di rete sufficienti e pertinenti siano conservati per almeno tre anni per indagini e scopi forensi.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non sia accessibile pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservice (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

ec2-instances-in-vpc

Utilizza istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon EC2) all'interno di un Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

internet-gateway-authorized-vpc-only

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

lambda-inside-vpc

Utilizza le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchservice (OpenSearchDomini Service).
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

kms-cmk-not-scheduled-for-deletion

Per aiutare a proteggere i dati inattivi, assicurarsi che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo crittografico.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3) Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non sia accessibile pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

redshift-enhanced-vpc-routing-enabled

Il routing VPC avanzato obbliga il passaggio di tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati attraverso Amazon VPC. È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non sia accessibile pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette la possibilità di impostare laignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.53 Un istituto finanziario deve implementare adeguate garanzie sulle informazioni dei clienti e della controparte e sui dati proprietari quando si utilizzano servizi cloud per proteggersi dalla divulgazione e dall'accesso non autorizzati. Ciò include il mantenimento della proprietà, del controllo e della gestione di tutti i dati relativi alle informazioni relative ai clienti e alle controparti, ai dati proprietari e ai servizi ospitati sul cloud, inclusa la gestione delle chiavi crittografiche pertinenti.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
10.54 Un istituto finanziario deve attuare una politica di controllo degli accessi appropriata per l'identificazione, l'autenticazione e l'autorizzazione degli utenti (utenti interni ed esterni come fornitori di servizi terzi). Ciò deve affrontare sia i controlli di accesso alla tecnologia logica che fisica, commisurati al livello di rischio di accesso non autorizzato ai propri sistemi tecnologici.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

emr-kerberos-enabled

Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. L'autenticazione KDC emette dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
10.55 (b) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui sono concesse solo le autorizzazioni minime sufficienti agli utenti legittimi per svolgere il loro ruolo;

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.55 b) (h) (i) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: b) utilizzare diritti di accesso «minimo privilegio» o su un 'need-to-have«base in cui solo il minimo (h) limita e controlla la condivisione di ID utente e password tra più utenti; e (i) controlla l'uso di convenzioni di denominazione degli ID utente generici a favore di ID più identificabili personalmente.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
10.55 (c) (f) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe prendere in considerazione i seguenti principi nella sua politica di controllo degli accessi: c) utilizzare diritti di accesso limitati a tempo che limitano l'accesso a un periodo specifico, compresi i diritti di accesso concessi ai fornitori di servizi; f) adottare un'autenticazione più forte per motivi critici attività incluse quelle per l'accesso remoto

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.55 (f) (h) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: f) adottare un'autenticazione più forte per le attività critiche, anche per l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
10.55 (f) (h) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: f) adottare un'autenticazione più forte per le attività critiche, anche per l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.55 (f) (h) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: f) adottare un'autenticazione più forte per le attività critiche, anche per l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.55 (f) (h) Osservando il paragrafo 10.54, un istituto finanziario dovrebbe considerare i seguenti principi nella sua politica di controllo degli accessi: f) adottare un'autenticazione più forte per le attività critiche, anche per l'accesso remoto; (h) limitare e controllare la condivisione di ID utente e password tra più utenti

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.56 Un istituto finanziario deve utilizzare solidi processi di autenticazione per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottano almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente sa (ad esempio password, PIN), qualcosa che l'utente possiede (ad es. smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad es. caratteristiche biometriche, come impronte digitali o retiniche).

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
10.56 Un istituto finanziario deve utilizzare solidi processi di autenticazione per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottano almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente sa (ad esempio password, PIN), qualcosa che l'utente possiede (ad es. smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad es. caratteristiche biometriche, come impronte digitali o retiniche).

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.56 Un istituto finanziario deve utilizzare solidi processi di autenticazione per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottano almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente sa (ad esempio password, PIN), qualcosa che l'utente possiede (ad es. smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad es. caratteristiche biometriche, come impronte digitali o retiniche).

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.56 Un istituto finanziario deve utilizzare solidi processi di autenticazione per garantire l'autenticità delle identità in uso. I meccanismi di autenticazione devono essere commisurati alla criticità delle funzioni e adottano almeno uno o più di questi tre fattori di autenticazione di base, vale a dire qualcosa che l'utente sa (ad esempio password, PIN), qualcosa che l'utente possiede (ad es. smart card, dispositivo di sicurezza) e qualcosa che l'utente è (ad es. caratteristiche biometriche, come impronte digitali o retiniche).

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.57 Un istituto finanziario riesamina e adegua periodicamente le proprie pratiche relative alle password per migliorare la resilienza contro gli attacchi in evoluzione. Ciò include la generazione efficace e sicura di password. Devono essere presenti controlli appropriati per verificare la potenza delle password create.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.58 I metodi di autenticazione che dipendono da più fattori in genere sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione multifattore (MFA) che sia più affidabile e che fornisca deterrenti frodi più forti.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
10.58 I metodi di autenticazione che dipendono da più fattori in genere sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione multifattore (MFA) che sia più affidabile e che fornisca deterrenti frodi più forti.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.58 I metodi di autenticazione che dipendono da più fattori in genere sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione multifattore (MFA) che sia più affidabile e che fornisca deterrenti frodi più forti.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
10.58 I metodi di autenticazione che dipendono da più fattori in genere sono più difficili da compromettere rispetto a un sistema a fattore singolo. In considerazione di ciò, gli istituti finanziari sono incoraggiati a progettare e implementare correttamente (specialmente nei sistemi ad alto rischio o «single sign-on») l'autenticazione multifattore (MFA) che sia più affidabile e che fornisca deterrenti frodi più forti.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della richiesta e un codice di errore, se pertinente.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-group-has-users-check

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può facilitare la gestione dei privilegi e delle autorizzazioni.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
10.61 Un istituto finanziario deve garantire — (a) i controlli di accesso ai sistemi a livello aziendale siano gestiti e monitorati in modo efficace; e (b) le attività degli utenti nei sistemi critici sono registrate per audit e indagini. I registri delle attività devono essere mantenuti per almeno tre anni e riesaminati regolarmente in modo tempestivo.

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.62 Per soddisfare i requisiti di cui al paragrafo 10.61, i grandi istituti finanziari sono tenuti a— (a) implementare un sistema di gestione dell'accesso alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.62 Per soddisfare i requisiti di cui al paragrafo 10.61, i grandi istituti finanziari sono tenuti a— (a) implementare un sistema di gestione dell'accesso alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
10.62 Per soddisfare i requisiti di cui al paragrafo 10.61, i grandi istituti finanziari sono tenuti a— (a) implementare un sistema di gestione dell'accesso alle identità per gestire e monitorare efficacemente l'accesso degli utenti ai sistemi a livello aziendale; e (b) implementare strumenti di audit automatizzati per segnalare eventuali anomalie.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
10.63 Un istituto finanziario deve garantire che i sistemi critici non siano in esecuzione su sistemi obsoleti con vulnerabilità di sicurezza note oend-of-lifesistemi tecnologici (EOL). A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: a) monitorare e implementare in modo tempestivo i rilasci di patch più recenti; e b) identificare i sistemi tecnologici critici che si avvicinano a EOL per ulteriori azioni correttive.

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni nell'organizzazione è possibile gestendo istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
10.63 Un istituto finanziario deve garantire che i sistemi critici non siano in esecuzione su sistemi obsoleti con vulnerabilità di sicurezza note oend-of-lifesistemi tecnologici (EOL). A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: a) monitorare e implementare in modo tempestivo i rilasci di patch più recenti; e b) identificare i sistemi tecnologici critici che si avvicinano a EOL per ulteriori azioni correttive.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
10.63 Un istituto finanziario deve garantire che i sistemi critici non siano in esecuzione su sistemi obsoleti con vulnerabilità di sicurezza note oend-of-lifesistemi tecnologici (EOL). A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: a) monitorare e implementare in modo tempestivo i rilasci di patch più recenti; e b) identificare i sistemi tecnologici critici che si avvicinano a EOL per ulteriori azioni correttive.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutarti con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
10.63 Un istituto finanziario deve garantire che i sistemi critici non siano in esecuzione su sistemi obsoleti con vulnerabilità di sicurezza note oend-of-lifesistemi tecnologici (EOL). A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: a) monitorare e implementare in modo tempestivo i rilasci di patch più recenti; e b) identificare i sistemi tecnologici critici che si avvicinano a EOL per ulteriori azioni correttive.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) eautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.63 Un istituto finanziario deve garantire che i sistemi critici non siano in esecuzione su sistemi obsoleti con vulnerabilità di sicurezza note oend-of-lifesistemi tecnologici (EOL). A questo proposito, un istituto finanziario deve assegnare chiaramente le responsabilità alle funzioni identificate: a) monitorare e implementare in modo tempestivo i rilasci di patch più recenti; e b) identificare i sistemi tecnologici critici che si avvicinano a EOL per ulteriori azioni correttive.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchservice (OpenSearchDomini Service).
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

encrypted-volumes

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
10.66 (a) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: a) riservatezza e integrità delle informazioni e delle transazioni dei clienti e della controparte

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce disponibilità e durata avanzate per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisica distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

vpc-vpn-2-tunnels-up

È possibile implementare tunnel Site-to-Site VPN ridondanti per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
10.66 (b) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: b) affidabilità dei servizi erogati tramite canali e dispositivi con il minimo interruzione dei servizi

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) di Amazon Elastic Compute Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTrailfornisce dettagli sull'attività delle chiamate API all'interno dell'account AWS.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

cloudwatch-alarm-action-check

AmazonCloudWatchavvisa gli allarmi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette la possibilità di impostare AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) sulla console Amazon EC2, che visualizza grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della richiesta, lo stato della richiesta e un codice di errore, se pertinente.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
10.66 (d) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: d) pista di controllo sufficiente e monitoraggio delle transazioni anomale

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state sottoposti a backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. In caso di esito negativo, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) consente di mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a eseguire facilmente il ripristino da azioni involontarie dell'utente e guasti dell'applicazione.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
10.66 (e) Un istituto finanziario deve implementare solidi controlli di sicurezza tecnologici nella fornitura di servizi digitali che assicurino quanto segue: e) capacità di identificare e tornare al punto di ripristino prima di incidenti o interruzioni del servizio

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima.
11.7 Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella sua infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
11.7 Un istituto finanziario deve implementare strumenti efficaci per supportare il monitoraggio continuo e proattivo e il rilevamento tempestivo di attività anomale nella sua infrastruttura tecnologica. L'ambito del monitoraggio deve coprire tutti i sistemi critici, inclusa l'infrastruttura di supporto.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
11.7 (c) (f) Il SOC deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, tra cui analisi e operazioni di threat intelligence e monitoraggio degli indicatori di compromesso (CIO). Ciò include analisi comportamentali avanzate per rilevare malware senza firma e senza file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
11.7 (c) (f) Il SOC deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, tra cui analisi e operazioni di threat intelligence e monitoraggio degli indicatori di compromesso (CIO). Ciò include analisi comportamentali avanzate per rilevare malware senza firma e senza file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete.

guardduty-non-archived-findings

AmazonGuardDutyaiuta a comprendere l'impatto di un incidente classificando i risultati per gravità: bassa, media e alta. È possibile utilizzare queste classificazioni per determinare le strategie e le priorità di correzione. Questa regola permette la possibilità di impostare ladaysLowSev(Impostazione predefinita: 30),daysMediumSev(Config Default: 7) edaysHighSev(Config Predefinito: 1) per i risultati non archiviati, come richiesto dalle politiche dell'organizzazione.
11.7 (c) (f) Il SOC deve essere in grado di svolgere le seguenti funzioni: (c) gestione delle vulnerabilità; f) fornitura di consapevolezza situazionale per rilevare avversari e minacce, tra cui analisi e operazioni di threat intelligence e monitoraggio degli indicatori di compromesso (CIO). Ciò include analisi comportamentali avanzate per rilevare malware senza firma e senza file e per identificare anomalie che possono rappresentare minacce alla sicurezza, anche a livello di endpoint e di rete.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
11.8 Un istituto finanziario deve garantire che le sue operazioni di sicurezza informatica impediscano e rilevino continuamente qualsiasi potenziale compromesso dei controlli di sicurezza o indebolimento della sua posizione di sicurezza. Per i grandi istituti finanziari, ciò deve includere l'esecuzione di una valutazione trimestrale delle vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
11.8 Un istituto finanziario deve garantire che le sue operazioni di sicurezza informatica impediscano e rilevino continuamente qualsiasi potenziale compromesso dei controlli di sicurezza o indebolimento della sua posizione di sicurezza. Per i grandi istituti finanziari, ciò deve includere l'esecuzione di una valutazione trimestrale delle vulnerabilità dei componenti di rete esterni e interni che supportano tutti i sistemi critici.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
11.23 Un istituto finanziario deve istituire e attuare un piano completo di Cyber Incident Response Plan (CIRP). Il CIRP deve affrontare quanto segue: a) Preparedness Stabilire un chiaro processo di governance, struttura di reporting, ruoli e responsabilità del Cyber Emergency Response Team (CERT), nonché procedure di invocazione e escalation in caso di incidente; (b) Rilevamento e analisi Garantire efficaci e procedure opportune per l'identificazione dei punti di compromesso, la valutazione dell'entità del danno e la conservazione di prove sufficienti a fini scientifici; c) Contenimento, eradicazione e recupero Identificare e attuare azioni correttive per prevenire o ridurre al minimo i danni all'istituto finanziario, eliminare le minacce note e riprendono le attività commerciali; e (d) attività post-incidente Condurre una revisione post-incidente includendo le lezioni apprese e sviluppare attenuazioni del rischio a lungo termine. - Cyber Response e Recovery. response-plan-exists-mantenuto (controllo del processo) Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile.
11,25 Un istituto finanziario deve condurre un esercizio annuale di cyber drill per testare l'efficacia del proprio CIRP, sulla base di vari scenari di minaccia attuali ed emergenti (ad esempio ingegneria sociale), con il coinvolgimento di parti interessate chiave, compresi i membri del consiglio di amministrazione, l'alta dirigenza e il pertinente servizio di terze parti provider. Gli scenari di test devono includere scenari progettati per testare: a) l'efficacia dei processi di escalation, di comunicazione e di processo decisionale che corrispondono a diversi livelli di impatto di un incidente informatico; e b) la prontezza e l'efficacia del CERT e dei fornitori di servizi terzi interessati nel sostenere il processo di ripristino. - Cyber Response e Recovery. response-plan-tested(verifica del processo) Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti.
13.1 Un istituto finanziario deve fornire un'adeguata e regolare formazione di sensibilizzazione alla tecnologia e alla sicurezza informatica per tutto il personale che svolge i rispettivi ruoli e misurare l'efficacia dei suoi programmi di istruzione e sensibilizzazione. Questa formazione di sensibilizzazione sulla sicurezza informatica deve essere condotta almeno ogni anno dall'istituto finanziario e deve riflettere l'attuale panorama delle minacce informatiche. - 13. Consapevolezza interna e formazione. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
Appendice 5.1 Effettuare una revisione periodica sulla configurazione e le impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizza strumenti automatici per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. - Appendice 5. Misure di controllo sulla sicurezza informatica

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
Appendice 5.1 Effettuare una revisione periodica sulla configurazione e le impostazioni delle regole per tutti i dispositivi di sicurezza. Utilizza strumenti automatici per rivedere e monitorare le modifiche alla configurazione e alle impostazioni delle regole. - Appendice 5. Misure di controllo sulla sicurezza informatica

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

s3-bucket-ssl-requests-only

Per proteggere i dati durante il transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.5 (b) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (b) uso di tunnel protetti come Transport Layer Security (TLS) e Virtual Private Network (VPN) IPsec

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
Appendice 5.5 (c) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (c) la distribuzione di server di gestione temporanea con adeguate difese perimetrali e protezione come firewall, IPS e antivirus.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
Appendice 5.5 (c) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (c) la distribuzione di server di gestione temporanea con adeguate difese perimetrali e protezione come firewall, IPS e antivirus.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
Appendice 5.5 (c) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (c) la distribuzione di server di gestione temporanea con adeguate difese perimetrali e protezione come firewall, IPS e antivirus.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Appendice 5.5 (c) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (c) la distribuzione di server di gestione temporanea con adeguate difese perimetrali e protezione come firewall, IPS e antivirus.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Appendice 5.5 (c) Garantire i controlli di sicurezzaserver-to-serverLe connessioni di rete esterne includono quanto segue: (c) la distribuzione di server di gestione temporanea con adeguate difese perimetrali e protezione come firewall, IPS e antivirus.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato a sistemi interni.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato a sistemi interni.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

alb-http-drop-invalid-header-enabled

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Appendice 5.6 Assicurarsi che i controlli di sicurezza per l'accesso remoto al server includano quanto segue: (a) limitare l'accesso solo ai dispositivi endpoint rinforzati e bloccati; (b) utilizzare tunnel protetti come TLS e VPN IPSec; (c) distribuire server 'gateway' con adeguate difese perimetrali e protezione come firewall, IPS e antivirus; e (d) chiudere le porte pertinenti immediatamente alla scadenza dell'accesso remoto.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.

Modello

Il modello è disponibile suGitHub: Best practice operative per BNM RMIT.