Best practice operative per i controlli di sicurezza critici CIS v8 IG1 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per i controlli di sicurezza critici CIS v8 IG1

I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I Conformance Pack, in quanto modelli di esempio, non sono progettati per garantire la piena conformità a uno specifico standard di governance o conformità. È responsabilità dell'utente valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra Center for Internet Security (CIS) Critical Security Controls v8 IG1 e le regole Config gestiteAWS. Ciascuna AWS Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CIS Critical Security Controls v8 IG1. Un controllo CIS Critical Security Controls v8 IG1 può essere correlato a più regole. AWS Config Fate riferimento alla tabella seguente per maggiori dettagli e indicazioni relative a queste mappature.

ID controllo Descrizione del controllo AWSRegola di configurazione Guida
1.1 Stabilisci e mantieni un inventario dettagliato degli asset aziendali

collegato a eip

Questa regola garantisce che gli IP elastici allocati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o interfacce di rete elastiche in uso. Questa regola aiuta a monitorare gli EIP non utilizzati nel tuo ambiente.
1.1 Stabilisci e mantieni un inventario dettagliato degli asset aziendali

istanza interrotta da ec2

Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione.
1.1 Stabilisci e gestisci un inventario dettagliato degli asset aziendali

vpc-network-acl-unused-controlla

Questa regola garantisce che le liste di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC) siano in uso. Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare a effettuare un inventario e una gestione accurati del tuo ambiente.
1.1 Stabilisci e gestisci un inventario dettagliato degli asset aziendali

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
1.1 Stabilisci e gestisci un inventario dettagliato degli asset aziendali

ec2- -controlla managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
1.1 Stabilisci e gestisci un inventario dettagliato degli asset aziendali

ec2- -eni security-group-attached-to

Questa regola garantisce che i gruppi di sicurezza siano collegati a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) o a un ENI. Questa regola aiuta a monitorare i gruppi di sicurezza inutilizzati nell'inventario e nella gestione dell'ambiente.
2.2 Assicurati che il software autorizzato sia attualmente supportato

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità della piattaforma più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi.
2.2 Assicurati che il software autorizzato sia attualmente supportato

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
2.2 Assicurati che il software autorizzato sia attualmente supportato

ecs-fargate-latest-platform-versione

Gli aggiornamenti e le patch di sicurezza vengono distribuiti automaticamente per le attività di FargateAWS. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma AWS Fargate, AWS corregge la versione della piattaforma. Per aiutarti nella gestione delle patch delle attività di Amazon Elastic Container Service (ECS) che eseguono AWS Fargate, aggiorna le attività autonome dei servizi per utilizzare la versione più recente della piattaforma.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ec2-imdsv2-check

Assicurati che il metodo Instance Metadata Service Version 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ec2- instance-profile-attached

I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. Associare un profilo di istanza alle istanze può contribuire alla gestione dei privilegi e delle autorizzazioni minimi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

dms-replication-not-public

Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ebs-snapshot-public-restorable-controlla

Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Le istantanee dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

emr-kerberos-enabled

I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati secondo i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono autenticarsi sono noti come principali. I principali esistono all'interno di un regno Kerberos. All'interno del regno, un server Kerberos è noto come Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-group-has-users-controlla

AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base alle autorizzazioni associate o alla funzione lavorativa è un modo per incorporare il privilegio minimo.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-no-inline-policy-controlla

Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ec2- instance-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-policy-no-statements-with-full-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

elasticsearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-user-group-membership-controlla

AWSIdentity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ec2- instances-in-vpc

Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare una comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno di AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

emr-master-no-public-ip

Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi master del cluster Amazon EMR possono contenere informazioni sensibili e il controllo degli accessi è richiesto per tali account.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-policy-no-statements-with-admin-access

AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-user-no-policies-controlla

Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o conservare privilegi eccessivi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-root-access-key-controlla

L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-user-unused-credentials-controlla

AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-customer-policy-blocked-kms-actions

AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

iam-inline-policy-blocked-kms-actions

Assicurati che un utente, un ruolo IAM o un gruppo IAM (AWSIdentity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWSconsiglia di utilizzare politiche gestite anziché politiche in linea. Le politiche gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms:). ReEncryptFrom I valori effettivi devono riflettere le politiche dell'organizzazione.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

lambda-function-public-access-proibito

Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un deterioramento della disponibilità delle risorse.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del AWS Cloud. Grazie al loro isolamento logico, i domini che risiedono all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

rds-instance-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni sensibili e per tali account sono necessari principi e controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

redshift-cluster-public-access-controlla

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

s3- bucket-level-public-access -proibito

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

s3- account-level-public-access -blocchi-periodici

Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le politiche dell'organizzazione.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

s3- bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

s3- bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

sagemaker-notebook-no-direct-accesso a internet

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i SageMaker notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

subnet-auto-assign-public-ip-disabilitato

Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ssm-document-not-public

Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sull'account, sulle risorse e sui processi interni.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ecs-task-definition-user-for-host-mode-check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha espressamente accettato tali configurazioni. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando una definizione di attività ha attivato la rete host ma il cliente non ha optato per privilegi elevati.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

ecs-task-definition-nonroot-utente

Per facilitare l'implementazione del principio del privilegio minimo, assicurati che un utente non root sia designato per l'accesso alle definizioni delle attività di Amazon Elastic Container Service (Amazon ECS).
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

autoscaling-launch-config-public-ip-disabilitato

Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

opensearch-in-vpc-only

Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3.3 Configurazione degli elenchi di controllo dell'accesso ai dati

efs-access-point-enforce-root-directory

L'applicazione di una directory principale per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata.
3.4 Applica la conservazione dei dati

s-3 version-lifecycle-policy-check

Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato).
3.4 Applica la conservazione dei dati

cw-loggroup-retention-period-controlla

Assicurati che venga conservata una durata minima dei dati del registro degli eventi per i tuoi gruppi di registro per facilitare la risoluzione dei problemi e le indagini forensi. La mancanza di dati disponibili nei registri degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

account-part-of-organizations

La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

istanza interrotta da ec2

Abilita questa regola per facilitare la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) controllando se le istanze Amazon EC2 sono state interrotte per più del numero di giorni consentito, in base agli standard della tua organizzazione.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

ec2- volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegato viene terminata, potrebbe violare il concetto di funzionalità minima.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

ec2- -manager instance-managed-by-systems

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager. AWS Utilizzate AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

ec2- -check managedinstance-association-compliance-status

Utilizza AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le linee di base dei livelli di patch del sistema operativo, delle installazioni software, delle configurazioni delle applicazioni e altri dettagli sull'ambiente.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

efs-access-point-enforce-root-directory

L'applicazione di una directory principale per un punto di accesso Amazon Elastic File System (Amazon EFS) aiuta a limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano raggiungere solo i file della sottodirectory specificata.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

secretsmanager-rotation-enabled-check

Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione periodica dei segreti può abbreviare il periodo di validità di un segreto e potenzialmente ridurre l'impatto aziendale in caso di compromissione del segreto.
4.1 Stabilisci e mantieni un processo di configurazione sicuro

access-keys-rotated

Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo le politiche organizzative. La modifica periodica delle chiavi di accesso è una procedura consigliata in materia di sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

alb-http-to-https-controllo del reindirizzamento

Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

elb-tls-https-listeners-solo

Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati con listener SSL o HTTPS. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

api-gw-ssl-enabled

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

redshift-require-tls-ssl

Assicurati che i tuoi cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

s3- bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste di utilizzo di Secure Socket Layer (SSL). Poiché possono esistere dati sensibili, abilita la crittografia in transito per proteggere tali dati.
4.6 Gestisci in modo sicuro le risorse e il software aziendali

opensearch-https-required

Poiché possono esistere dati sensibili e per contribuire a proteggere i dati in transito, assicurati che HTTPS sia abilitato per le connessioni ai tuoi domini Amazon OpenSearch Service.
4.7 Gestisci gli account predefiniti su risorse e software aziendali

iam-root-access-key-controlla

L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità.
5.1 Stabilisci e mantieni un inventario dei conti

account-part-of-organizations

La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata degli account può portare a configurazioni degli account incoerenti, che possono esporre risorse e dati sensibili.
5.2 Usa password univoche

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una politica di password IAM organizzativa. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWSFoundational Security Best Practices value: true), RequireLowercaseCharacters (AWSFoundational Security Best Practices value: true), RequireSymbols (AWSFoundational Security Best Practices value: true), RequireNumbers (AWSFoundational Security Best Practices value: true), MinimumPasswordLength (AWSFoundational Security Best Practices value: 14), PasswordReusePrevention (AWSFoundational Security Best Practices value: 24) e MaxPasswordAge (AWSFoundational Security Best Practices value: 90) per Politica sulle password di IAM. I valori effettivi devono riflettere le politiche dell'organizzazione.
5.2 Usa password univoche

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti.
5.2 Usa password univoche

mfa-enabled-for-iam-accesso alla console

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
5.2 Usa password univoche

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS
5.3 Disattiva gli account dormienti

iam-user-unused-credentials-controlla

AWSIdentity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche dell'organizzazione.
5.4 Limita i privilegi di amministratore agli account di amministratore dedicati

iam-root-access-key-controlla

L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità.
5.4 Limita i privilegi di amministratore agli account di amministratore dedicati

iam-policy-no-statements-with-admin-access

AWSIdentity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Consentire agli utenti di disporre di più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
6.4 Richiedi MFA per l'accesso remoto alla rete

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti.
6.4 Richiedi MFA per l'accesso remoto alla rete

mfa-enabled-for-iam-accesso alla console

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. L'MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo l'autenticazione a più fattori per gli utenti, è possibile ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
6.4 Richiedi MFA per l'accesso remoto alla rete

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS
6,5 Richiedi MFA per l'accesso amministrativo

root-account-hardware-mfa-abilitato

Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'MFA aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS
7.1 Stabilisci e mantieni un processo di gestione delle vulnerabilità

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
7.1 Stabilisci e mantieni un processo di gestione delle vulnerabilità

abilitato per Security Hub

AWSSecurity Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon MacieAWS, Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS
7.1 Stabilisci e mantieni un processo di gestione delle vulnerabilità

ec2- -controlla managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
7.3 Esegui la gestione automatizzata delle patch del sistema operativo

ec2- -check managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
7.3 Esegui la gestione automatizzata delle patch del sistema operativo

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità della piattaforma più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi.
7.3 Eseguire la gestione automatizzata delle patch del sistema operativo

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione.
7.4 Esegui la gestione automatizzata delle patch delle applicazioni

ec2- -check managedinstance-patch-compliance-status

Abilita questa regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
7.4 Esegui la gestione automatizzata delle patch delle applicazioni

elastic-beanstalk-managed-updates-abilitato

L'abilitazione degli aggiornamenti gestiti della piattaforma per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità della piattaforma più recenti disponibili per l'ambiente. Tenersi aggiornati sull'installazione delle patch è una best practice per proteggere i sistemi.
7.4 Esegui la gestione automatizzata delle patch delle applicazioni

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione.
8.1 Stabilisci e mantieni un processo di gestione dei registri di controllo audit-log-policy-exists (Controllo del processo) Stabilisci e mantieni una politica di gestione dei registri di controllo che definisca i requisiti di registrazione dell'organizzazione. Ciò include, a titolo esemplificativo, la revisione e la conservazione dei registri di controllo.
8.2 Raccogli i registri di controllo

api-gw-execution-logging-abilitato

La registrazione di API Gateway mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso all'API. Queste informazioni consentono la visibilità delle attività degli utenti.
8.2 Raccogli i registri di controllo

multi-region-cloudtrail-enabled

AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamatiAWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di registro contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione.
8.2 Raccogli i registri di controllo

cloudtrail-s3-dataevents abilitato

La raccolta di eventi di dati di Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'AWSaccount che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
8.2 Raccogli i log di controllo

abilitato per cloudtrail

AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione e le chiamate API. AWS È possibile identificare gli utenti e gli AWS account che hanno chiamato un AWS servizio, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono visualizzati in AWS CloudTrail Record Contents.
8.2 Raccogli i registri di controllo

cloud-trail-cloud-watch-abilitati ai registri

Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account.
8.2 Raccogli i registri di controllo

elasticsearch-logs-to-cloudwatch

Assicurati che i registri degli errori nei domini di Amazon OpenSearch Service siano abilitati e trasmessi in streaming ad Amazon CloudWatch Logs per la conservazione e la risposta. I log degli errori di dominio possono aiutare con i controlli di sicurezza e accesso e possono aiutare a diagnosticare problemi di disponibilità.
8.2 Raccogli i registri di controllo

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include i valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo.
8.2 Raccogli i registri di controllo

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
8.2 Raccogli i registri di controllo

rds-logging-enabled

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
8.2 Raccogli i log di controllo

s-3 bucket-logging-enabled

La registrazione degli accessi al server di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi vengono monitorati acquisendo record dettagliati per le richieste effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'azione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
8.2 Raccogli i registri di controllo

redshift-cluster-configuration-check

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di controllo deve essere abilitata per fornire informazioni sulle connessioni e sulle attività degli utenti nel database. Questa regola richiede che sia impostato un valore per clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). I valori effettivi devono riflettere le politiche dell'organizzazione.
8.2 Raccogli i registri di controllo

abilitato alla registrazione wafv2

Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dal tuo ACL web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta.
8.2 Raccogli i registri di controllo

codebuild-project-logging-enabled

Assicurati che la registrazione AWS CodeBuild del progetto sia abilitata in modo che i log di output della build vengano inviati ad Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). I log di output della build forniscono informazioni dettagliate sul progetto di compilazione.
8.3 Garantire un'adeguata archiviazione dei registri di controllo

s3- version-lifecycle-policy-check

Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato).
10.1 Implementa e gestisci software anti-malware

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
10.2 Configurazione degli aggiornamenti automatici delle firme antimalware

guardduty-enabled-centralized

Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud.
11.2 Esegui backup automatici 

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.2 Esegui backup automatici 

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.2 Esegui backup automatici 

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza.
11.2 Esegui backup automatici 

dynamodb-pitr-enabled

Attiva questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
11.2 Esegui backup automatici 

elasticache-redis-cluster-automatic-controllo del backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente.
11.2 Esegui backup automatici 

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.2 Esegui backup automatici 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
11.2 Esegui backup automatici 

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo.
11.2 Esegui backup automatici 

s-3 bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni.
11.2 Esegui backup automatici 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione.
11.2 Esegui backup automatici 

s-3 bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
11.2 Esegui backup automatici 

s-3 version-lifecycle-policy-check

Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato).
11.3 Proteggi i dati di ripristino

backup-recovery-point-encrypted

Assicurati che la crittografia sia abilitata per i punti AWS di ripristino del Backup. Poiché i dati sensibili possono esistere anche quando sono inattivi, abilita la crittografia a riposo per proteggere tali dati.
11.3 Proteggi i dati di ripristino

volumi crittografati

Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (Amazon EBS).
11.3 Proteggi i dati di ripristino

ec2- ebs-encryption-by-default

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché in questi volumi possono esistere dati sensibili inattivi, abilita la crittografia a riposo per proteggere tali dati.
11.3 Proteggi i dati di ripristino

rds-storage-encrypted

Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere anche quando sono inattivi nelle istanze Amazon RDS, abilita la crittografia inattiva per proteggere tali dati.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

dynamodb-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

ebs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di backup. AWS AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O di Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i tuoi volumi EBS riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e altro traffico proveniente dall'istanza.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

dynamodb-pitr-enabled

Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, mantiene i backup assicurando che il point-in-time ripristino sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
11.4 Stabilisci e mantieni un'istanza isolata di dati di ripristino 

elasticache-redis-cluster-automatic-controllo di backup

Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere conservato per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

efs-in-backup-plan

Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano di AWS backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità in materia di backup aziendali e normativi.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza DB, eseguendo il backup dell'intera istanza DB. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

redshift-backup-enabled

Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando le istantanee automatiche sono abilitate per un cluster, Redshift scatta periodicamente istantanee di quel cluster. Per impostazione predefinita, Redshift scatta un'istantanea ogni otto ore o ogni 5 GB per nodo delle modifiche ai dati, o l'evento che si verifica per primo.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

s3- bucket-versioning-enabled

Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato nel tuo bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le azioni involontarie degli utenti e gli errori delle applicazioni.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno preferito finestre di manutenzione e periodi di conservazione automatizzati delle istantanee per il database. Questa regola richiede l'impostazione di. allowVersionUpgrade Il valore predefinito è true. Inoltre, consente di impostare facoltativamente il preferredMaintenanceWindow (l'impostazione predefinita è sab: 16:00 -sab: 16:30) e il automatedSnapshotRetention periodo (l'impostazione predefinita è 1). I valori effettivi devono riflettere le politiche dell'organizzazione.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

s3- bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR consente la copia automatica e asincrona degli oggetti tra i bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
11.4 Stabilisci e gestisci un'istanza isolata di dati di ripristino 

s3- version-lifecycle-policy-check

Assicurati che le politiche del ciclo di vita di Amazon S3 siano configurate per aiutare a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto (ad esempio, trasferire oggetti a un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato).

Modello

Il modello è disponibile su GitHub: Operational Best Practices for CIS Critical Security Controls v8 IG1.