Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CIS AWS Foundations Benchmark v1.4 Level 1
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra Amazon Web Services Foundation v1.4 Level 1 del Center for Internet Security (CIS) e le regole di AWS Config/Process Checks gestite.AWS Config Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CIS di Amazon Web Services Foundation v1.4 Level 1. Un controllo CIS Amazon Web Services Foundation v1.4 Livello 1 può essere associato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
Per ulteriori informazioni sui controlli di processo, consulta process-checks.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| 1.1 | Mantiene i dettagli di contatto attuali | account-contact-details-configured (controllo del processo) | Verifica che l'indirizzo e-mail e il numero di telefono di contatto degli account AWS siano aggiornati e che corrispondano a più di un individuo della tua organizzazione. Nella sezione Il mio account della console, verifica la correttezza delle informazioni specificate nella sezione Informazioni di contatto. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Verifica che le informazioni di contatto di sicurezza siano registrate | account-security-contact-configured (Controllo del processo) | Assicurati che l'indirizzo e-mail e il numero di telefono di contatto del team di sicurezza della tua organizzazione siano aggiornati. Nella sezione Il mio account della Console di AWS gestione, assicurati che le informazioni corrette siano specificate nella sezione Sicurezza. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Verifica non esistano chiavi di accesso dell'utente "root" | L'accesso ai sistemi e alle risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| 1.5 | Verifica che l'autenticazione a più fattori sia abilitata per l'utente "root" | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| 1,7 | Elimina l'uso dell'utente "root" per le attività amministrative e quotidiane | root-account-regular-use (Controllo del processo) | Assicurati che per le attività quotidiane non venga utilizzato l'account root. All'interno di IAM, esegui un report sulle credenziali per verificare quando l'utente root è stato utilizzato per l'ultima volta. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Verifica che la policy delle password IAM richieda una lunghezza minima di 14 o più caratteri | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 1.9 | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 1.10 | Verifica se autenticazione a più fattori (MFA) è abilitata per tutti gli utenti che dispongono di una password per la console | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 1.11 | Non configurare le chiavi di accesso durante la configurazione iniziale per tutti gli utenti che dispongono di una password per la console | iam-user-console-and- (Controllo del processo) api-access-at-creation | Assicurati che le chiavi di accesso non vengano configurate durante la configurazione iniziale per tutti gli utenti che dispongono di una password per la console. Per tutti gli utenti con accesso alla console, confronta l'ora di creazione dell'utente con la data di creazione della chiave di accesso. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Verifica che le credenziali non utilizzate per 45 giorni o più siano disabilitate | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore per l' maxCredentialUsageetà (valore standard CIS: 45). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 1.13 | Assicurati che sia disponibile una sola chiave di accesso attiva per ogni utente. | iam- user-single-access-key (Controllo del processo) | Assicurati che sia disponibile una sola chiave di accesso attiva per ogni utente. Per tutti gli utenti, verifica che nella scheda Credenziali di sicurezza venga utilizzata una sola chiave attiva per ogni utente all'interno di IAM. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Verifica che le chiavi di accesso vengano ruotate ogni 90 giorni o meno | Le credenziali vengono verificate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 1.16 | Verifica che non siano associate policy IAM che consentono privilegi amministrativi "*:*" completi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 1,17 | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support | AWS Identity and Access Management (IAM) può aiutarti a gestire i permessi e le autorizzazioni di accesso assicurando che le policy IAM siano assegnate agli utenti, ai ruoli o ai gruppi appropriati. La limitazione di queste policy include anche i principi del privilegio minimo e della separazione dei compiti. Questa regola richiede l'impostazione di Policyarn su arn:aws:iam: :aws:policy/, per la gestione degli incidenti con Support. AWSSupportAccess AWS | |
| 1.19 | Assicurati che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi | iam-expired-certificates (Controllo del processo) | Assicurati che tutti i certificati SSL/TLS scaduti archiviati in IAM vengano rimossi. Dalla riga di comando con la AWS CLI installata esegui il comando 'AWS iam list-server-certificates' e determina se ci sono certificati server scaduti. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | Assicurati che AWS IAM Access Analyzer sia abilitato | iam-access-analyzer-enabled (Controllo del processo) | Assicurati che Sistema di analisi degli accessi IAM sia abilitato. Nella sezione IAM della console, seleziona Analizzatore di accessi e assicurati che STATO sia impostato su Attivo. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | Verifica che la funzionalità MFA Delete sia abilitata sui bucket S3 | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. L'aggiunta dell'eliminazione dell'autenticazione a più fattori (MFA) a un bucket S3 richiede un fattore di autenticazione aggiuntivo per modificare lo stato della versione del bucket o eliminare una versione dell'oggetto. La funzionalità MFA Delete può aggiungere un ulteriore livello di sicurezza nel caso in cui le credenziali di sicurezza vengano compromesse o venga concesso un accesso non autorizzato. | |
| 2.1.5 | Verifica se i bucket S3 sono configurati con "Blocca accesso pubblico (Impostazioni bucket)" | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 2.1.5 | Verifica se i bucket S3 sono configurati con "Blocca accesso pubblico (Impostazioni bucket)" | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 2.2.1 | Verifica se la crittografia dei volumi EBS è attiva | Poiché possono esistere dati sensibili, per proteggere i dati a riposo assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Verifica se la crittografia dei volumi EBS è attiva | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 2.3.1 | Verifica se la crittografia è abilitata per le istanze RDS | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 2.3.1 | Verifica se la crittografia è abilitata per le istanze RDS | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.1 | Ensure CloudTrail è abilitato in tutte le regioni | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 3.4 | Assicurati che i CloudTrail percorsi siano integrati con Logs CloudWatch | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| 3.6 | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 4.1 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | alarm-unauthorized-api-calls (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | allarme- sign-in-without-mfa (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente all'accesso alla Console di gestione AWS senza l'autenticazione a più fattori (MFA). Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente all'utilizzo dell'account "root" | alarm-root-account-use (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente all'utilizzo dell'account "root". Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | alarm-iam-policy-change (Controllo del processo) | Verifica che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla policy IAM. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche CloudTrail alla configurazione | alarm-cloudtrail-config-change (Controllo del processo) | Assicurati che esista un filtro metrico di registro e un allarme per le modifiche AWS CloudTrail alla configurazione. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | alarm-s3- (controllo del processo) bucket-policy-change | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla policy del bucket Amazon S3. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | allarme- vpc-network-gateway-change (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | allarme- vpc-route-table-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | alarm-vpc-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad Amazon Virtual Private Cloud (VPC). Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad AWS Organizations | alarm-organizations-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad AWS Organizations Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Verifica se le liste di controllo degli accessi alla rete consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | Assicurati che le liste di controllo degli accessi alla rete consentano l'ingresso pubblico alle porte di amministrazione del server remoto. All'interno della sezione VPC della console, assicurati che siano presenti liste di controllo degli accessi alla rete con origine "0.0.0.0/0" e con porte o intervalli di porte abilitate, comprese le porte di amministrazione del server remoto. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Verifica se i gruppi di sicurezza consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 5.2 | Verifica se i gruppi di sicurezza consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valore standard CIS: 3389). I valori effettivi devono riflettere le policy dell'organizzazione. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for CIS AWS Foundations Benchmark v1.4
