Best practice operative per PCI-DSSAWSFoundations Benchmark v1.4 Livello 1 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per PCI-DSSAWSFoundations Benchmark v1.4 Livello 1

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la conformità con uno standard di governance o di conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 1 e le regole di Config gestite da AWS/AWS ConfigControlli di processo. Ogni regola di Config si applica a uno specificoAWSe si riferisce a uno o più controlli CIS Amazon Web Services Foundation v1.4 Level 1. Un controllo CIS Amazon Web Services Foundation v1.4 Livello 1 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Per ulteriori informazioni sui controlli dei processi, consultaAWS ConfigControlli di processo all'interno di un pacchetto di conformità.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
1.1 Mantenere i dati di contatto attuali account-contact-details-configuration (controllo del processo) Assicurati che l'e-mail di contatto e il numero di telefono per gli account AWS siano aggiornati e mappati a più di una persona nella tua organizzazione. Nella sezione Il mio account della console assicurati che le informazioni corrette siano specificate nella sezione Informazioni di contatto. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.2 Garantire che le informazioni di contatto di sicurezza account-security-contact-configuration (Controllo processo) Assicurati che l'e-mail di contatto e il numero di telefono per il team di sicurezza della tua organizzazione siano aggiornati. Nella sezione My Account della Console di gestione AWS, assicurati che le informazioni corrette siano specificate nella sezione Sicurezza. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.3 Assicurati che le domande di sicurezza siano registrate nell'account AWS account-security-questions-configuration (Process Check) Assicurati che le domande di sicurezza che possono essere utilizzate per autenticare le persone che chiamano il servizio clienti AWS per l'assistenza siano configurate. Nella sezione My Account della Console di gestione AWS, assicurati che siano configurate tre domande sulle sfide di sicurezza. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.4 Assicurati che non esista alcuna chiave di accesso all'account utente «root»

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
1.5 Verifica che MFA sia abilitata per l'account utente «root»

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
1,7 Eliminare l'uso dell'utente «root» per attività amministrative e quotidiane root-account-regular-use (Controllo processo) Assicurati che l'uso dell'account root sia evitato per le attività quotidiane. All'interno di IAM, eseguire un report delle credenziali per esaminare l'ultima volta che l'utente root è stato utilizzato. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.8 Assicurati che la politica delle password IAM richieda una lunghezza minima pari o superiore a 14

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola consente l'impostazione facoltativa RequireUppercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (valore AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.9 Assicurati che i criteri di password IAM impediscano il riutilizzo

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola consente l'impostazione facoltativa RequireUppercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireLowercaseCharacters (valore AWS Foundational Security Best Practices: true), RequireSymbols (valore AWS Foundational Security Best Practices: true), RequireNumbers (valore AWS Foundational Security Best Practices: true), MinimumPasswordLength (valore AWS Foundational Security Best Practices: 14), PasswordReusePrevention (valore delle best practice per la sicurezza di AWS Foundational: 24) e MaxPasswordAge (Valore Best Practices di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.10 Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM che dispongono di una password della console

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.11 Non configurare le chiavi di accesso durante la configurazione iniziale dell'utente per tutti gli utenti IAM che dispongono di una password della console iam-user-console-and-api-access-at-creation (Controllo processo) Assicurati che le chiavi di accesso non siano configurate durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console. Per tutti gli utenti IAM con accesso alla console, confrontare l'utente «Tempo di creazione» con la data «Creata» della chiave di accesso. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.12 Assicurati che le credenziali inutilizzate per 45 giorni o superiori siano disabilitate

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su MaxCredentialUsageAge (valore CIS Standard: 45). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
1.13 Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM iam-user-single-access-key (Controllo processo) Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM. Per tutti gli utenti IAM verificare che nella scheda Credenziali di sicurezza sia utilizzata una sola chiave attiva per ogni utente all'interno di IAM. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.14 Garantire che le chiavi di accesso siano ruotate ogni 90 giorni o meno

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
1.16 Garantire che le policy IAM che consentono privilegi amministrativi completi «*»

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione» :"*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
1,17 Garantire che un ruolo di supporto sia stato creato per gestire gli incidenti con AWS Support

iam-policy-in-use

AWS Identity and Access Management (IAM) può aiutarti a gestire le autorizzazioni e le autorizzazioni di accesso assicurando che le policy IAM vengano assegnate agli utenti, ruoli o gruppi appropriati. La limitazione di queste politiche comprende anche i principi del minimo privilegio e la separazione dei doveri. Questa regola richiede di impostare policyARN su arn:aws:iam። aws:policy/AWSSupportAccess, per la gestione degli incident con AWS Support.
1.19 Assicurati che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi iam-expired-certificate (Controllo processo) Assicurarsi che tutti i certificati SSL/TLS scaduti archiviati in IAM siano rimossi. Dalla riga di comando con la CLI AWS installata esegui il comando 'aws iam list-server-certificates' e determina se sono presenti certificati server scaduti. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.20 Verifica che AWS IAM Access Analyzer sia abilitato iam-access-analyzer-enabled (Process Check) Assicurarsi che IAM Access Analyzer sia abilitato. Nella sezione IAM della console, selezionare Access Analyzer e assicurarsi che STATUS sia impostato su Attivo. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
2.1.3 Assicurati che MFA Delete sia abilitato sui bucket S3

s3-bucket-versioning-enabled

Il controllo delle versioni bucket di Amazon Simple Storage Service (Amazon S3) consente di mantenere più varianti di un oggetto nello stesso bucket Amazon S3. L'aggiunta di eliminazione MFA (Multi Factor Authentication) a un bucket S3 richiede un ulteriore fattore di autenticazione per modificare lo stato della versione del bucket o eliminare e la versione dell'oggetto. L'eliminazione MFA può aggiungere un ulteriore livello di sicurezza nel caso in cui le credenziali di sicurezza siano compromesse o venga concesso un accesso non autorizzato.
2.1.5 Verifica che i bucket S3 siano configurati con «Blocca accesso pubblico (impostazioni bucket) '

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente l'impostazione facoltativa ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.1.5 Verifica che i bucket S3 siano configurati con «Blocca accesso pubblico (impostazioni bucket) '

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
2.2.1 Verifica dell'abilitazione della crittografia dei volumi EBS

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
2.2.1 Verifica dell'abilitazione della crittografia dei volumi EBS

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
2.3.1 Assicurarsi che la crittografia sia abilitata per le istanze RDS

rds-snapshot-encrypted

Verifica che la crittografia sia abilitata per le istantanee Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
2.3.1 Assicurarsi che la crittografia sia abilitata per le istanze RDS

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
3.1 Garantire CloudTrail è abilitata in tutte le regioni

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail registra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTrail distribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione, CloudTrail creerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.3 Assicurati che il secchio S3 utilizzato per riporre CloudTrail i log non sono accessibili pubblicamente

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.3 Assicurati che il secchio S3 utilizzato per riporre CloudTrail i log non sono accessibili pubblicamente

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.3 Assicurati che il secchio S3 utilizzato per riporre CloudTrail i log non sono accessibili pubblicamente

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.4 Garantire CloudTrail i trail sono integrati con CloudWatch Log

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWS CloudTrail fornisce dettagli sull'attività delle chiamate API all'interno del tuo account AWS.
3.6 Verifica che la registrazione degli accessi al bucket S3 sia abilitata nel CloudTrail Bucket S3

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che vengono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
4.1 Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate alarm-unauthorized-api-calls (Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per le chiamate API non autorizzate. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.2 Assicurarsi che esistano un filtro metrico di log e un allarme per l'accesso alla Management Console senza MFA alarm-sign-in-without-mfa (Controllo processo) Assicurati che esista un filtro metrico di log e un allarme per l'accesso alla console di gestione AWS senza Multi-Factor Authentication (MFA). Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.3 Assicurarsi che esistano un filtro metrico di log e un allarme per l'utilizzo dell'account 'root' alarm-root-account-use (Controllo processo) Assicurati che esista un filtro metrico di log e un allarme per l'utilizzo dell'account root. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.4 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche ai criteri IAM alarm-iam-policy-change (Controllo del processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche ai criteri IAM. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.5 Verifica dell'esistenza di un filtro log metrico e allarme per CloudTrail modifiche alla configurazione alarm-cloudtrail-config-change (Verifica del processo) Assicurati che esista un filtro metrico di registro e un allarme per AWS CloudTrail modifiche alla configurazione. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.8 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche ai criteri del bucket S3 alarm-s3-bucket-policy-change (verifica del processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche alle policy del bucket Amazon S3. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.12 Verifica dell'esistenza di un filtro log e allarme per modifiche apportate ai gateway di rete alarm-vpc-network-gateway-change (Controllo processo) Verifica che esistano filtri log e allarme per modifiche apportate ai gateway di rete. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.13 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche alla tabella alarm-vpc-route-table-change (Controllo del processo) Assicurati che esista un filtro metrico di log e un allarme per le modifiche della tabella di instrad Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.14 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche VPC alarm-vpc-change (Controllo processo) Verifica che esista un filtro delle metriche dei log e un allarme per le modifiche di Amazon Virtual Private Cloud (VPC). Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.15 Assicurati che esistano filtri e allarme per le modifiche di AWS Organizations alarm-organizations-change (Controllo processo) Assicurati che esista un filtro metrico log e un allarme per le modifiche di AWS Organizations. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
5.1 Verifica che nessun ACL di rete consenta l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server vpc-networkacl-open-admin-ports (Controllo processo) Assicurarsi che nessun ACL di rete consenta l'ingresso pubblico alle porte di amministrazione remota del server. All'interno della sezione VPC della console, assicurarsi che ci siano ACL di rete con una fonte di '0.0.0.0/0' che consenta porte o intervalli di porte, incluse le porte di amministrazione del server remoto. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
5.2 Garantire che i gruppi di sicurezza consentano l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettendo l'ingresso (o in remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
5.2 Garantire che i gruppi di sicurezza consentano l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (valore CIS Standard: 3389). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.

Modello

Il modello è disponibile su GitHub: Best practice operative per CIS AWS Foundations Benchmark v1.4 Livello 1.