Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CIS Critical Security Controls v8 IG2
I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la conformità con uno standard di conformità o una governance specifica. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mapping tra Center for Internet Security (CIS) Critical Security Controls v8 IG2 eAWSregole di Config gestite. EACHAWS Configsi applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CIS Critical Security Controls v8 IG2. Un controllo CIS Critical Security Controls v8 IG2 può essere correlato a piùAWS Configregole. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.
| ID controllo | Descrizione del controllo | Regola AWS Config | Linee guida di |
|---|---|---|---|
| 1.1 | Stabilire e gestire un inventario dettagliato | Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un'ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e la gestione dell'ambiente. | |
| 1.1 | Stabilire e gestire un inventario dettagliato | In questa regola si assicura che gli IP elastici allocati a Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network Interfaces in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente. | |
| 1.1 | Stabilire e gestire un inventario dettagliato | Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione. | |
| 1.1 | Stabilire e gestire un inventario dettagliato | Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente. | |
| 1.1 | Stabilire e gestire un inventario dettagliato | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 2.2 | Assicurati che il software autorizzato sia attualmente supportato | L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi. | |
| 2.4 | Utilizzo di strumenti automatizzati di inventario software | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 3.1 | Crittografia dei dati sensibili in transito | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
| 3.1 | Crittografia dei dati sensibili in transito | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 3.1 | Crittografia dei dati sensibili in transito | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 3.1 | Crittografia dei dati sensibili in transito | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 3.1 | Crittografia dei dati sensibili in transito | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 3.1 | Crittografia dei dati sensibili in transito | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 3.1 | Crittografia dei dati sensibili in transito | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 3,3 | Configurazione degli liste di controllo access | Verifica che il metodo Instance Metadata Service Versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 3,3 | Configurazione degli liste di controllo access | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione minima di privilegi e autorizzazioni. | |
| 3,3 | Configurazione degli liste di controllo access | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 3,3 | Configurazione degli liste di controllo access | Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 3,3 | Configurazione degli liste di controllo access | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono eseguire l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| 3,3 | Configurazione degli liste di controllo access | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
| 3,3 | Configurazione degli liste di controllo access | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'uso delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
| 3,3 | Configurazione degli liste di controllo access | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 3,3 | Configurazione degli liste di controllo access | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 3,3 | Liste di controllo accessi dati | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 3,3 | Liste di controllo accessi dati | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 3,3 | Liste di controllo accessi dati | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
| 3,3 | Liste di controllo accessi dati | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| 3,3 | Liste di controllo accessi dati | Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. In questa regola si verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 3,3 | Liste di controllo accessi dati | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 3,3 | Liste di controllo accessi dati | Questa regola verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host, ma il cliente non ha optato per privilegi elevati. | |
| 3,3 | Configurazione degli liste di controllo access | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 3.4 | Garantire la conservazione dei dati | Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 3.8 | Flusso di dati dei documenti | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
| 3.8 | Flusso di dati dei documenti | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
| 3.8 | Flusso di dati dei documenti | AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record. | |
| 3.8 | Flusso di dati dei documenti | Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
| 3.8 | Flusso di dati dei documenti | Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) nella console Amazon EC2, che vengono visualizzati dei grafici di monitoraggio relativi all'istanza a intervalli di 1 minuto. | |
| 3.8 | Flusso di dati dei documenti | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto. | |
| 3.8 | Flusso di dati dei documenti | Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità. | |
| 3.8 | Flusso di dati dei documenti | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| 3.8 | Flusso di dati dei documenti | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 3.8 | Flusso di dati dei documenti | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 3.8 | Flusso di dati dei documenti | Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline sul numero di richieste che la funzione sta eseguendo in un dato momento. | |
| 3.8 | Flusso di dati dei documenti | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
| 3.8 | Flusso di dati dei documenti | Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 3.8 | Flusso di dati dei documenti | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 3.8 | Flusso di dati dei documenti | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 3.8 | Flusso di dati dei documenti | Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo Amazon CloudWatch Gruppi di log di. | |
| 3,11 | Crittografia dei dati inattivi | Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri. | |
| 3,11 | Crittografia dei dati inattivi | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS). | |
| 3,11 | Crittografia dei dati inattivi | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per Amazon OpenSearch Domini di servizio (OpenSearch Service). | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Assicurati che la crittografia sia abilitata per i bucket Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker endpoint. Perché i dati sensibili possono esistere a riposo SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuo SageMaker notebook. Perché i dati sensibili possono esistere a riposo SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati. | |
| 3,11 | Crittografia dei dati inattivi | Per proteggere i dati inattivi, assicurati che le chiavi master cliente (CMK) necessarie non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente. | |
| 3.11 | Crittografia dei dati inattivi | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK). | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | Questa regola aiuta a garantire l'utilizzo delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'attivazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni. | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione. | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | Tale regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima. | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente il preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 4.1 | Stabilire e mantenere un processo di configurazione sicuro | Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | |
| 4.6 | Gestione sicura di risorse e software aziendali | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
| 4.6 | Gestione sicura di risorse e software aziendali | I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano il mantenimento di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2. | |
| 4.6 | Gestione sicura di risorse e software aziendali | Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
| 4.6 | Gestione sicura di risorse e software aziendali | Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWS CloudTrail sentieri. | |
| 4.6 | Gestione sicura di risorse e software aziendali | Utilizzo di AWS CloudTrail convalida del file di log per verificare l'integrità di CloudTrail registri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopo CloudTrail lo ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione CloudTrail file di log senza rilevamento. | |
| 4.6 | Gestione sicura di risorse e software aziendali | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
| 4.6 | Gestione sicura di risorse e software aziendali | È possibile attivare la rotazione delle chiavi per assicurarsi che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo di crittografia. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'uso delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (valore AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in entrata e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare con la gestione minima di privilegi e autorizzazioni. | |
| 4.6 | Gestisci in modo sicuro le risorse e il software aziendali | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto. | |
| 4.7 | Gestisci account predefiniti su risorse e software aziendali | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| 5.2 | Usa password uniche | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativa RequireUppercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (valore AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 5.2 | Usa password uniche | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
| 5.2 | Usa password uniche | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 5.2 | Usa password uniche | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| 5.3 | Disabilita account inattivi | AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsageAge (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
| 5.4 | Limita i privilegi di amministratore agli account amministratori dedicati | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| 5.4 | Limita i privilegi di amministratore agli account amministratori dedicati | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| 5.6 | Centralizzazione della gestione dell'account | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
| 6.4 | Richiedere MFA per l'accesso remoto alla rete | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola assicura che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
| 6.4 | Richiedere MFA per l'accesso remoto alla rete | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 6.4 | Richiedere MFA per l'accesso remoto alla rete | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| 6,5 | Richiedere MFA per l'accesso amministrativo | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| 6.7 | Centralizzazione dei controlli degli accessi | La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili. | |
| 7.1 | Stabilire e mantenere un processo di gestione delle vulnerabilità | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 7.1 | Stabilire e mantenere un processo di gestione delle vulnerabilità | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
| 7.1 | Stabilire e mantenere un processo di gestione delle vulnerabilità | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 7.3 | Gestione automatizzata delle patch del sistema operativo | Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione. | |
| 7.3 | Gestione automatizzata delle patch del sistema operativo | L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi. | |
| 7.3 | Gestione automatizzata delle patch del sistema operativo | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente il preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 7,5 | Esecuzione di scansioni automatiche delle vulnerabilità degli asset aziendali interni | vuln-scans-perfezionata (Controllo processo) | Assicurati che le scansioni delle vulnerabilità vengano eseguite in base ai requisiti di conformità. La cadenza di scansione, gli strumenti utilizzati e l'uso dei risultati devono essere definiti dall'organizzazione. |
| 7.7 | Risolvere le vulnerabilità rilevate | vuln-mitigated-accepted (Process Check) | Assicurati che le vulnerabilità appena identificate siano corrette o documentate come rischi accettati. Servizi come AWS Security Hub, Amazon Guard Duty, Amazon Inspector e AWS Config possono aiutare a identificare le vulnerabilità all'interno dell'ambiente. Le vulnerabilità devono essere corrette o accettate come rischi in base ai requisiti di conformità dell'organizzazione. |
| 8.1 | Stabilire e gestire un processo di gestione del registro di controllo | audit-log-policy-exists (Controllo processo) | Stabilire e mantenere un criterio di gestione dei log di controllo che definisce i requisiti di registrazione dell'organizzazione. Ciò include, a titolo esemplificativo ma non esaustivo, la revisione e la conservazione dei registri di controllo. |
| 8.2 | Raccolta dei registri di controllo | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
| 8.2 | Raccolta dei registri di controllo | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
| 8.2 | Raccolta dei registri di controllo | AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record. | |
| 8.2 | Raccolta dei registri di controllo | Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS. | |
| 8.2 | Raccolta dei registri di controllo | Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità. | |
| 8.2 | Raccolta dei registri di controllo | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 8.2 | Raccolta dei registri di controllo | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 8.2 | Raccolta dei registri di controllo | Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 8.2 | Raccolta dei registri di controllo | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 8.2 | Raccolta dei registri di controllo | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 8.2 | Raccolta dei registri di controllo | Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
| 8.3 | Garantire uno storage adeguato del registro di | Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 8.5 | Raccogliere registri di controllo | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
| 8.5 | Raccogliere registri di controllo | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
| 8.5 | Raccogliere registri di controllo | AWS CloudTrail può aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWS CloudTrail Contenuto dei record. | |
| 8.5 | Raccogliere registri di controllo | Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail i dati forniscono dettagli sull'attività di chiamata API all'interno dell'account AWS. | |
| 8.5 | Raccogliere registri di controllo | Verifica di Amazon OpenSearch I domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su Amazon CloudWatch Registri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità. | |
| 8.5 | Raccogliere registri di controllo | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 8.5 | Raccogliere registri di controllo | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 8.5 | Raccogliere registri di controllo | Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 8.5 | Raccogliere registri di controllo | La registrazione di accesso al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| 8.5 | Raccogliere registri di controllo | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore per clusterDbEncrypted (Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 8.5 | Raccogliere registri di controllo | Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per il regolamento abbinato a ciascuna richiesta. | |
| 8.5 | Raccogliere registri di controllo | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 8.7 | Raccogli log di controllo delle richieste URL | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 8.10 | Mantenere i registri di controllo | Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. | |
| 10.1 | Distribuisci e gestisci software anti-malware | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 10.2 | Configurazione degli aggiornamenti automatici della firma anti-malware | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 10.4 | Configurazione della scansione automatica antimalware dei supporti rimovibili | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 10.6 | Gestione centralizzata del software anti-malware | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 10.7 | Utilizzare software anti-malware basato sul comportamento | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 11.2 | Esecuzione di backup automatici | Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.2 | Esecuzione di backup automatici | Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.2 | Esecuzione dei backup automatici | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza. | |
| 11.2 | Esecuzione dei backup automatici | Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| 11.2 | Esecuzione dei backup automatici | Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 11.2 | Esecuzione dei backup automatici | Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.2 | Esecuzione dei backup automatici | Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.2 | Esecuzione dei backup automatici | La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 11.2 | Esecuzione dei backup automatici | Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima. | |
| 11.2 | Esecuzione dei backup automatici | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a eseguire facilmente il recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
| 11.2 | Esecuzione dei backup automatici | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente il preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 11.2 | Esecuzione dei backup automatici | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 11.3 | Protezione dei dati di ripristino | Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 11.3 | Protezione dei dati di ripristino | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati. | |
| 11.3 | Protezione dei dati di ripristino | Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità dedicata aggiuntiva per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo che point-in-time Il ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Quando i backup automatici sono abilitati, Amazon ElastiCache crea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi di conformità dei backup. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda di quale evento si verifica prima. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a eseguire facilmente il recupero dopo errori dell'applicazione e operazioni non intenzionali dell'utente. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare allowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente il preferredMaintenanceWindow (il valore predefinito è sat: 16:00 -sat: 16:30) e automatedSnapshotRetentionPeriod (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 11.4 | Stabilire e gestire un'istanza isolata di dati di ripristino | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per daysToExpiration (valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in entrata e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando Amazon OpenSearch I domini di servizio (OpenSearch Service) sono all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un record OpenSearch Il dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Servizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non possano essere accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Utilizza le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non sono necessari gateway Internet, dispositivo NAT o connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS consentendo solo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che Amazon SageMaker i notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Il routing VPC avanzato impone a tutto il traffico dei comandi COPY e UNLOAD tra il cluster e i repository di dati ad attraversare Amazon Virtual Private Cloud (VPC). È quindi possibile utilizzare funzionalità VPC come gruppi di sicurezza e elenchi di controllo dell'accesso alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare i registri di flusso VPC per monitorare il traffico di rete. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In tal modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza throttling. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il sistema di bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Assicurati che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisicamente distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato. | |
| 12.2 | Stabilire e mantenere un'architettura di rete sicura | È possibile implementare tunnel Site-to-Site VPN ridondanti per soddisfare i requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al gateway virtuale privato utilizzando un secondo gateway del cliente. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.3 | Gestisci in modo sicuro l'infrastruttura di rete | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| 12.6 | Utilizzo di protocolli di comunicazione e gestione sicura della rete | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| 13.1 | Avvisi di eventi di sicurezza centralizzati | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 13.1 | Avvisi di eventi di sicurezza centralizzati | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
| 13.3 | Implementazione di una soluzione di rilevamento delle intrusioni di rete | Amazon GuardDuty può aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente Cloud AWS. | |
| 13.6 | Raccogliere registri dei flussi di traffico | I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 14.1 | Istituire e mantenere un programma di sensibilizzazione sulla sicurezza | security-awareness-program-esiste (Process Check) | Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza. |
| 16.1 | Stabilire e mantenere un processo di sviluppo delle applicazioni sicuro | Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRE_ACCESS_KEY non siano presenti negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato. | |
| 16.1 | Stabilire e mantenere un processo di sviluppo delle applicazioni sicuro | Garantire la GitHub o l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedere GitHub o repository Bitbucket. | |
| 16.2 | Stabilire e mantenere un processo per accettare e risolvere le vulnerabilità del software | vuln-management-plan-exists (Controllo processo) | Assicurati che un piano di gestione delle vulnerabilità sia sviluppato e implementato al fine di disporre di processi formalmente definiti per affrontare le vulnerabilità nel tuo ambiente. Ciò può includere strumenti di gestione delle vulnerabilità, cadenza di scansione ambientale, ruoli e responsabilità. |
| 17.4 | Stabilire e mantenere un processo di risposta agli incidenti | response-plan-exists-supported (Process Check) | Assicurarsi che i piani di risposta agli incidenti siano stabiliti, mantenuti e distribuiti al personale responsabile. Avere piani di risposta aggiornati e documentati formalmente può aiutare a garantire che il personale di risposta comprenda ruoli, responsabilità e processi da seguire durante un incidente. |
| 17.7 | Esercizi di routine di risposta agli incidenti. | response-plan-tested (Controllo processo) | Assicurati che i piani di risposta agli incidenti e ripristino siano testati. Ciò può aiutare a capire se il piano sarà efficace durante un incidente e se è necessario risolvere eventuali lacune o aggiornamenti. |
Modello
Il modello è disponibile su GitHub: Best practice operative per CIS Critical Security Controls v8 IG2
