Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CIS AWS Foundations Benchmark v1.4 Level 2
I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra Amazon Web Services Foundation v1.4 Level 2 del Center for Internet Security (CIS) e le regole di AWS Config/Process Checks gestite. AWS Config Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CIS di Amazon Web Services Foundation v1.4 Level 2. Un controllo CIS Amazon Web Services Foundation v1.4 Livello 2 può essere associato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
Per ulteriori informazioni sui controlli di processo, consulta process-checks.
Regione AWS: Tutti i paesi Regioni AWS in cui sono supportati i pacchetti di conformità (supporto regionale) tranne (Stati Uniti orientali), AWS GovCloud (Stati Uniti occidentali) e Medio Oriente AWS GovCloud (Bahrein)
| ID controllo | Descrizione del controllo | AWS Regola di configurazione | Linea guida |
|---|---|---|---|
| 1.1 | Mantiene i dettagli di contatto attuali | account-contact-details-configured (controllo del processo) | Verifica che l'indirizzo e-mail e il numero di telefono di contatto degli account AWS siano aggiornati e che corrispondano a più di un individuo della tua organizzazione. Nella sezione Il mio account della console, verifica la correttezza delle informazioni specificate nella sezione Informazioni di contatto. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Verifica che le informazioni di contatto di sicurezza siano registrate | account-security-contact-configured (Controllo del processo) | Assicurati che l'indirizzo e-mail e il numero di telefono di contatto del team di sicurezza della tua organizzazione siano aggiornati. Nella sezione Il mio account della Console di AWS gestione, assicurati che le informazioni corrette siano specificate nella sezione Sicurezza. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Verifica non esistano chiavi di accesso dell'utente "root" | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, create e utilizzate AWS account basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | |
| 1.5 | Verifica che l'autenticazione a più fattori sia abilitata per l'utente "root" | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 1.6 | Assicurati che l'autenticazione a più fattori sia abilitata per l'utente "root" | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un AWS account. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'autenticazione a più fattori per l'utente root, è possibile ridurre gli incidenti dovuti alla compromissione degli account. AWS | |
| 1,7 | Elimina l'uso dell'utente "root" per le attività amministrative e quotidiane | root-account-regular-use (Controllo del processo) | Assicurati che per le attività quotidiane non venga utilizzato l'account root. All'interno di IAM, esegui un report sulle credenziali per verificare quando l'utente root è stato utilizzato per l'ultima volta. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Verifica che la policy delle password IAM richieda una lunghezza minima di 14 o più caratteri | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 1.9 | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica in materia di password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 1.10 | Verifica se autenticazione a più fattori (MFA) è abilitata per tutti gli utenti che dispongono di una password per la console | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| 1.11 | Non configurare le chiavi di accesso durante la configurazione iniziale per tutti gli utenti che dispongono di una password per la console | iam-user-console-and- api-access-at-creation (Controllo del processo) | Assicurati che le chiavi di accesso non vengano configurate durante la configurazione iniziale per tutti gli utenti che dispongono di una password per la console. Per tutti gli utenti con accesso alla console, confronta l'ora di creazione dell'utente con la data di creazione della chiave di accesso. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Verifica che le credenziali non utilizzate per 45 giorni o più siano disabilitate | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore per l' maxCredentialUsageetà (valore standard CIS: 45). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 1.13 | Assicurati che sia disponibile una sola chiave di accesso attiva per ogni utente. | iam-user-single-access-key (Process Check) | Assicurati che sia disponibile una sola chiave di accesso attiva per ogni utente. Per tutti gli utenti, verifica che nella scheda Credenziali di sicurezza venga utilizzata una sola chiave attiva per ogni utente all'interno di IAM. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Verifica che le chiavi di accesso vengano ruotate ogni 90 giorni o meno | Viene eseguito l'audit delle credenziali per i dispositivi, gli utenti e i processi autorizzati in modo da garantire che le chiavi di accesso IAM vengano ruotate secondo la policy organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il ripristino e la delega della gestione delle autorizzazioni. | |
| 1.15 | Verifica che gli utenti ricevano le autorizzazioni solo tramite gruppi | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 1.16 | Verifica che non siano associate policy IAM che consentono privilegi amministrativi "*:*" completi | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| 1,17 | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support | AWS Identity and Access Management (IAM) può aiutarti a gestire i permessi e le autorizzazioni di accesso assicurando che le policy IAM siano assegnate agli utenti, ai ruoli o ai gruppi appropriati. La limitazione di queste policy include anche i principi del privilegio minimo e della separazione dei compiti. Questa regola richiede l'impostazione di Policyarn su arn:aws:iam: :aws:policy/, per la gestione degli incidenti con Support. AWSSupportAccess AWS | |
| 1.18 | Assicurati che i ruoli delle istanze IAM vengano utilizzati per l'accesso alle AWS risorse dalle istanze | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| 1,19 | Assicurati che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi | iam-expired-certificates (Controllo del processo) | Assicurati che tutti i certificati SSL/TLS scaduti archiviati in IAM vengano rimossi. Dalla riga di comando con la AWS CLI installata esegui il comando 'AWS iam list-server-certificates' e determina se ci sono certificati server scaduti. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | Assicurati che AWS IAM Access Analyzer sia abilitato | iam-access-analyzer-enabled (Controllo del processo) | Assicurati che Sistema di analisi degli accessi IAM sia abilitato. Nella sezione IAM della console, seleziona Analizzatore di accessi e assicurati che STATO sia impostato su Attivo. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.21 | Garantisci la gestione centralizzata degli utenti tramite la federazione delle identità o AWS Organizations per ambienti multi-account | account-part-of-organizations | La gestione centralizzata degli AWS account all'interno di AWS Organizations aiuta a garantire la conformità degli account. L'assenza di una governance centralizzata degli account può comportare configurazioni incoerenti di account, il che può mettere a rischio risorse e dati sensibili. |
| 2.1.1 | Assicurati che tutti i bucket S3 utilizzino encryption-at-rest | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 2.1.2 | Verifica se la policy dei bucket S3 è impostata in modo da rifiutare le richieste HTTP | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 2.1.3 | Verifica che la funzionalità MFA Delete sia abilitata sui bucket S3 | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. L'aggiunta dell'eliminazione dell'autenticazione a più fattori (MFA) a un bucket S3 richiede un fattore di autenticazione aggiuntivo per modificare lo stato della versione del bucket o eliminare una versione dell'oggetto. La funzionalità MFA Delete può aggiungere un ulteriore livello di sicurezza nel caso in cui le credenziali di sicurezza vengano compromesse o venga concesso un accesso non autorizzato. | |
| 2.1.5 | Verifica se i bucket S3 sono configurati con "Blocca accesso pubblico (Impostazioni bucket)" | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 2.1.5 | Verifica se i bucket S3 sono configurati con "Blocca accesso pubblico (Impostazioni bucket)" | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 2.2.1 | Verifica se la crittografia dei volumi EBS è attiva | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Verifica se la crittografia dei volumi EBS è attiva | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 2.3.1 | Verifica se la crittografia è abilitata per le istanze RDS | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 2.3.1 | Verifica se la crittografia è abilitata per le istanze RDS | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 3.1 | Ensure CloudTrail è abilitato in tutte le regioni | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| 3.2 | Assicurati che la convalida dei file di CloudTrail registro sia abilitata | Utilizza la convalida dei file di AWS CloudTrail registro per verificare l'integrità dei log. CloudTrail La convalida dei file di registro consente di determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 3.3 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| 3.4 | Assicurati che i CloudTrail percorsi siano integrati con Logs CloudWatch | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo AWS account. | |
| 3.5 | Assicurati che AWS Config sia abilitato in tutte le regioni | config-enabled-all-regions (Controllo del processo) | Assicurati che AWS Config sia abilitato in tutte le AWS regioni. Nella sezione AWS Config della console, per ogni regione abilitata assicurati che il registratore AWS Config sia configurato correttamente. Assicurati che la registrazione delle risorse AWS globali sia abilitata almeno in una regione. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 3.6 | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| 3.7 | Assicurati che CloudTrail i log siano crittografati quando sono inattivi utilizzando KMS CMK | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i trail AWS CloudTrail. | |
| 3.8 | Verifica se la rotazione delle chiavi CMK create dal cliente è abilitata | Abilita la rotazione delle chiavi per garantire che vengano ruotate una volta terminato il loro periodo di crittografia. | |
| 3.9 | Verifica se il log del flusso VPC è abilitata in tutti i VPC | I log di flusso VPC forniscono record dettagliati sul traffico IP da e verso le interfacce di rete nell'Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 3.10 | Verifica se i log a livello di oggetto per gli eventi di scrittura sono abilitati per il bucket S3 | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 3,11 | Verifica se i log a livello di oggetto per gli eventi di lettura sono abilitati per il bucket S3 | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni degli account AWS che hanno effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 4.1 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | alarm-unauthorized-api-calls (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | alarm-sign-in-without-mfa (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente all'accesso alla Console di gestione AWS senza l'autenticazione a più fattori (MFA). Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente all'utilizzo dell'account "root" | alarm-root-account-use (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente all'utilizzo dell'account "root". Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | alarm-iam-policy-change (Controllo del processo) | Verifica che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla policy IAM. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche CloudTrail alla configurazione | alarm-cloudtrail-config-change (Controllo del processo) | Assicurati che esista un filtro metrico di registro e un allarme per le modifiche AWS CloudTrail alla configurazione. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.6 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente agli errori di autenticazione della Console di gestione AWS | alarm-console-auth-failures (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente agli errori di autenticazione della Console di gestione AWS . Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.7 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alla disabilitazione o all'eliminazione pianificata delle chiavi gestite dal cliente (CMK) create dal cliente | alarm-kms-disable-or-delete-cmk (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alla disabilitazione o all'eliminazione pianificata delle chiavi gestite dal cliente (CMK) create dal cliente Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | alarm-s3- (controllo del processo) bucket-policy-change | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla policy del bucket Amazon S3. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.9 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alla configurazione di AWS Config | alarm-aws-config-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla configurazione di AWS Config. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.10 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | alarm-vpc-secrity-group-change (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gruppi di sicurezza. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.11 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | alarm-vpc-nacl-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL). Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | alarm-vpc-network-gateway-change (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | alarm-vpc-route-table-change (controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | alarm-vpc-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad Amazon Virtual Private Cloud (VPC). Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad AWS Organizations | alarm-organizations-change (Controllo del processo) | Assicurati che esistano un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ad AWS Organizations Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Verifica se le liste di controllo degli accessi alla rete consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | Assicurati che le liste di controllo degli accessi alla rete consentano l'ingresso pubblico alle porte di amministrazione del server remoto. All'interno della sezione VPC della console, assicurati che siano presenti liste di controllo degli accessi alla rete con origine "0.0.0.0/0" e con porte o intervalli di porte abilitate, comprese le porte di amministrazione del server remoto. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Verifica se i gruppi di sicurezza consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| 5.2 | Verifica se i gruppi di sicurezza consentono l'ingresso da 0.0.0.0/0 alle porte di amministrazione del server remoto | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valore standard CIS: 3389). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| 5.3 | Verifica se il gruppo di sicurezza predefinito di ogni VPC limita tutto il traffico | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| 5.4 | Verifica se le tabelle di routing per la connessione peering VPC dispongono dell'accesso minimo | vpc-peering-least-access (Controllo del processo) | Assicurati che le tabelle di routing per la connessione peering VPC dispongano dell'accesso minimo. All'interno della sezione VPC della console, esamina le voci della tabella di routing per assicurarti che sia instradabile il minor numero di sottoreti o host ai fini della connessione peering. Per ulteriori dettagli sulla procedura di audit di questo controllo, consulta il documento CIS Amazon Web Services Foundations Benchmark versione 1.4.0, disponibile all'indirizzo https://www.cisecurity.org/benchmark/amazon_web_services/ |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for CIS AWS Foundations Benchmark v1.4
