Best practice operative per PCI-DSSAWSFondations Benchmark v1.4 Livello 2 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per PCI-DSSAWSFondations Benchmark v1.4 Livello 2

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 2 e le regole di Config gestite da AWS/AWS ConfigControlli di processo. Ciascuna regola di Config si applica a uno specificoAWSe si riferisce a uno o più controlli CIS Amazon Web Services Foundation v1.4 Level 2. Un controllo CIS Amazon Web Services Foundation v1.4 Level 2 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Per altre informazioni sui controlli dei processi, consultaAWS ConfigControlli di processo all'interno di un pacchetto di conformità.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
1.1 Mantenere i dati di contatto attuali account-contact-details-configurato (controllo del processo) Assicurati che l'e-mail di contatto e il numero di telefono per gli account AWS siano aggiornati e mappati a più di una persona nella tua organizzazione. Nella sezione Il mio account della console, assicurati che le informazioni corrette siano specificate nella sezione Informazioni di contatto. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.2 Garantire che le informazioni di contatto di sicurezza account-security-contact-configurato (Controllo processo) Assicurati che l'e-mail di contatto e il numero di telefono per il team di sicurezza della tua organizzazione siano aggiornati. Nella sezione My Account della Console di gestione AWS, assicurati che le informazioni corrette siano specificate nella sezione Sicurezza. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.3 Assicurati che le domande di sicurezza siano registrate nell'account AWS account-security-questions-configurato (Controllo processo) Assicurati che le domande di sicurezza che possono essere utilizzate per autenticare le persone che chiamano il servizio clienti AWS per l'assistenza siano configurate. Nella sezione My Account della Console di gestione AWS, assicurati che siano configurate tre domande sulle sfide di sicurezza. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.4 Assicurati che non esista alcuna chiave di accesso all'account utente «root»

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
1.5 Verifica che la MFA sia abilitata per l'account utente 'root'

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
1.6 Assicurarsi che l'MFA hardware sia abilitato per l'account utente «root»

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
1,7 Eliminare l'uso dell'utente «root» per attività amministrative e quotidiane root-account-regular-use (Controllo processo) Assicurati che l'uso dell'account root sia evitato per le attività quotidiane. All'interno di IAM, eseguire un report delle credenziali per esaminare l'ultima volta che l'utente root è stato utilizzato. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.8 Assicurati che la politica delle password IAM richieda una lunghezza minima pari o superiore a 14

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.9 Assicurati che i criteri di password IAM impediscano il riutilizzo

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
1.10 Assicurare che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM che dispongono di una password della console

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1.11 Non configurare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console iam-user-console-and-api-access-at-creation (Controllo processo) Assicurare che le chiavi di accesso non siano configurate durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console. Per tutti gli utenti IAM con accesso alla console, confrontare l'utente «Tempo di creazione» con la data «Creata» della chiave di accesso. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.12 Assicurati che le credenziali inutilizzate per 45 giorni o superiori siano disabilitate

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (valore CIS Standard: 45). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
1.13 Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM iam-user-single-access-key (Process Check) Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM. Per tutti gli utenti IAM verificare che nella scheda Credenziali di sicurezza sia utilizzata una sola chiave attiva per ogni utente all'interno di IAM. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.14 Garantire che le chiavi di accesso siano ruotate ogni 90 giorni al massimo

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
1.15 Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite gruppi

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
1.16 Assicurare che le policy IAM che consentono privilegi amministrativi completi «*: *»

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Operazione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
1,17 Assicurare che un ruolo di supporto sia stato creato per gestire gli eventi imprevisti con AWS Support

iam-policy-in-use

AWS Identity and Access Management (IAM) può aiutarti a gestire le autorizzazioni e le autorizzazioni di accesso assicurando che le policy IAM vengano assegnate agli utenti, ruoli o gruppi appropriati. La limitazione di queste politiche comprende anche i principi del minimo privilegio e la separazione dei doveri. Questa regola richiede l'impostazione di policyARN su arn:aws:iam። aws:policy/AWSSupportAccess, per la gestione degli incidenti con AWS Support.
1.18 Assicurati che i ruoli delle istanze IAM vengano utilizzati per l'accesso alle risorse AWS dalle istanze

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
1.19 Assicurati che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi iam-expired-certificates(Controllo processo) Assicurarsi che tutti i certificati SSL/TLS scaduti archiviati in IAM siano rimossi. Dalla riga di comando con l'interfaccia a riga di comando di AWS installata, esegui «aws iam»list-server-certificates'comando e determina se sono presenti certificati server scaduti. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.20 Verifica che AWS IAM Access Analyzer sia abilitato iam-access-analyzer-enabled (Process Check) Assicurarsi che IAM Access Analyzer sia abilitato. Nella sezione IAM della console, selezionare Access Analyzer e assicurarsi che STATUS sia impostato su Attivo. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
1.21 Assicurati che gli utenti IAM siano gestiti centralmente tramite la federazione di identità o AWS Organizations per ambienti multi-account account-part-of- organizzazioni La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
2.1.1 Garantire che tutti i bucket S3 siano utilizzatiencryption-at-rest

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
2.1.2 Assicurati che S3 Bucket Policy sia impostato per negare le richieste HTTP

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano le richieste per utilizzare Secure Socket Layer (SSL). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
2.1.3 Assicurati che MFA Delete sia abilitato sui bucket S3

s3-bucket-versioning-enabled

*TEAM DI DOCUMENTAZIONE DA ESAMINARE*Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon S3) consente di mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). L'aggiunta di eliminazione MFA (Multi Factor Authentication) a un bucket S3 richiede un ulteriore fattore di autenticazione per modificare lo stato della versione del bucket o eliminare e la versione dell'oggetto. L'eliminazione MFA può aggiungere un ulteriore livello di sicurezza nel caso in cui le credenziali di sicurezza siano compromesse o venga concesso un accesso non autorizzato.
2.1.5 Assicurare che i bucket S3 siano configurati con «Blocca accesso pubblico (impostazioni bucket)»

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
2.1.5 Assicurare che i bucket S3 siano configurati con «Blocca accesso pubblico (impostazioni bucket)»

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
2.2.1 Verifica dell'abilitazione della crittografia dei volumi EBS

encrypted-volumes

Poiché possono esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
2.2.1 Verifica dell'abilitazione della crittografia dei volumi EBS

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
2.3.1 Assicurarsi che la crittografia sia abilitata per le istanze RDS

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
2.3.1 Assicurarsi che la crittografia sia abilitata per le istanze RDS

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
3.1 GarantireCloudTrailè abilitata in tutte le regioni

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
3.2 GarantireCloudTrailLa convalida dei file di log è abilitata

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
3.3 Assicurati che il secchio S3 utilizzato per riporreCloudTraili log non sono accessibili pubblicamente

s3-bucket-public-read-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.3 Assicurati che il secchio S3 utilizzato per riporreCloudTraili log non sono accessibili pubblicamente

s3-bucket-public-write-prohibited

Gestisci l'accesso alle risorse nel cloud AWS consentendo agli utenti, ai processi e ai dispositivi autorizzati l'accesso a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3.3 Assicurati che il secchio S3 utilizzato per riporreCloudTraili log non sono accessibili pubblicamente

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3.4 GarantireCloudTraili trail sono integrati conCloudWatchLog

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
3.5 Assicurati che AWS Config sia abilitato in tutte le regioni config-enabled-all-region (Process Check) Verifica che AWS Config sia abilitata in tutte le regioni AWS. All'interno della sezione AWS Config della console, per ogni regione abilitata, assicurati che il registratore AWS Config sia configurato correttamente. Assicurati che la registrazione delle risorse AWS globali sia abilitata almeno in una regione. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
3.6 Verifica che la registrazione degli accessi al bucket S3 sia abilitata nellaCloudTrailBucket S3

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
3.7 GarantireCloudTraili log sono crittografati a riposo utilizzando KMS CMK

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
3.8 Verifica che la rotazione per i CMK creati dal cliente sia abilitata

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo crittografico.
3.9 Assicurarsi che la registrazione del flusso VPC sia abilitata in tutti i VPC

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita, il record del log di flusso include valori per i diversi componenti del flusso IP, tra cui origine, destinazione e protocollo.
3.10 Assicurarsi che la registrazione a livello di oggetto per gli eventi di scrittura sia abilitata per il bucket S3

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
3.11 Assicurarsi che la registrazione a livello di oggetto per gli eventi di lettura sia abilitata per il bucket S3

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
4.1 Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate alarm-unauthorized-api-calls (Process Check) Assicurati che esista un filtro metrico di registro e un allarme per le chiamate API non autorizzate. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.2 Assicurarsi che esistano un filtro metrico di log e un allarme per l'accesso alla Management Console senza MFA alarm-sign-in-without-mfa (Controllo processo) Assicurati che esista un filtro metrico di log e un allarme per l'accesso alla console di gestione AWS senza Multi-Factor Authentication (MFA). Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.3 Assicurarsi che esistano un filtro metrico di log e un allarme per l'utilizzo dell'account 'root' alarm-root-account-use (Controllo processo) Assicurati che esista un filtro metrico di log e un allarme per l'utilizzo dell'account root. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.4 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche ai criteri IAM alarm-iam-policy-change (Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche ai criteri IAM. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.5 Verificare che esistano un filtro parametri di log e allarme perCloudTrailmodifiche alla configurazione alarm-cloudtrail-config-change (Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per AWSCloudTrailmodifiche alla configurazione. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.6 Assicurati che esistano filtri e allarme per i guasti di autenticazione della console di gestione AWS alarm-console-auth-failures (Process Check) Assicurati che esista un filtro metrico di log e un allarme per gli errori di autenticazione della console di gestione AWS. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.7 Assicurarsi che esistano un filtro metrico di log e un allarme per la disattivazione o l'eliminazione pianificata dei CMK creati dal cliente alarm-kms-disable-or-delete-cmk(Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per la disattivazione o l'eliminazione pianificata dei CMK creati dal cliente. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.8 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche ai criteri del bucket S3 allarme-s3-bucket-policy-change(Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche alle policy del bucket Amazon S3. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.9 Assicurati che esistano filtri di log metrica e allarme per le modifiche alla configurazione di AWS Config alarm-aws-config-change (Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche alla configurazione di AWS Config. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.10 Assicurarsi che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi alarm-vpc-secrity-group-change (Controllo processo) Assicurati che esista un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.11 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche apportate agli elenchi di controllo accesso alla rete (NACL alarm-vpc-nacl-change (Controllo processo) Assicurarsi che esista un filtro metrico di registro e un allarme per le modifiche apportate agli elenchi di controllo dell'accesso alla rete (NACL). Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.12 Verificare che siano presenti un filtro parametri di log e allarme per modifiche ai gateway di rete alarm-vpc-network-gateway-change (Controllo processo) Assicurare che un filtro metrico log e un allarme esista per modifiche dei gateway di rete. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.13 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche alla tabella alarm-vpc-route-table-change (Controllo processo) Assicurati che esista un filtro metrico di log e un allarme per le modifiche della tabella di instrad Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.14 Assicurarsi che esistano un filtro metrico di log e un allarme per le modifiche VPC alarm-vpc-change(Controllo processo) Assicurare che un filtro metrico log e un allarme esista per le modifiche di Amazon Virtual Private Cloud (VPC). Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
4.15 Assicurati che esistano filtri e allarme per le modifiche di AWS Organizations alarm-organizations-change(Controllo processo) Assicurati che esista un filtro metrico log e un allarme per le modifiche di AWS Organizations. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
5.1 Assicurare che nessun ACL di rete consenta l'ingresso da 0.0.0.0/0 a porte di amministrazione del server remoto vpc-networkacl-open-admin-ports (Controllo processo) Assicurarsi che nessun ACL di rete consenta l'ingresso pubblico alle porte di amministrazione remota del server. All'interno della sezione VPC della console, assicurarsi che ci siano ACL di rete con una fonte di '0.0.0.0/0' che consenta porte o intervalli di porte, incluse le porte di amministrazione del server remoto. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/
5.2 Assicurare che nessun gruppo di sicurezza consenta l'ingresso da 0.0.0.0/0 a porte di amministrazione del server remoto

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse consente di limitare l'accesso remoto.
5.2 Assicurare che nessun gruppo di sicurezza consenta l'ingresso da 0.0.0.0/0 a porte di amministrazione del server remoto

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate per i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (valore CIS Standard: 3389). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
5.3 Verifica che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in entrata e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
5.4 Assicurarsi che le tabelle di routing per il peering VPC siano «meno accessibili» vpc-peering-least-access (Controllo processo) Assicurati che le tabelle di routing per il peering Amazon VPC siano «meno accessibili». All'interno della sezione VPC della console, esaminare le voci della tabella dei percorsi per assicurarsi che il numero minimo di subnet o host sia necessario per raggiungere lo scopo del peering sia instradabile. Per ulteriori dettagli sull'audit di questo controllo, consultare il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0 disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/

Modello

Il modello è disponibile suGitHub: Best practice operative per CIS AWS Foundations Benchmark v1.4 Livello 2.