Best practice operative per CISA Cyber Essentials - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per CISA Cyber Essentials

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS ConfigeAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire pienamente la conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra Cybersecurity & Infrastructure Security Agency (CISA) Cyber Essentials (CE) eAWSRegole gestite di Config. CiascunoAWS Configregola si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CISA CE. Un controllo CISA CE può essere correlato a piùAWS Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

eip-attached

Tale regola garantisce che gli IP elastici assegnati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

ec2-instance-managed-by-systems-manager

Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
I tuoi Systems-1 Scopri cosa c'è nella tua rete. Mantieni gli inventari di risorse hardware e software per sapere cosa è in gioco e a rischio di attacco. 

ec2-volume-inuse-check

Tale regola garantisce che i volumi Amazon Elastic Block Store collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) siano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
I tuoi Systems-2 Utilizzo degli aggiornamenti automatici per tutti i sistemi operativi e software di terze parti. 

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
I tuoi Systems-2 Utilizzo degli aggiornamenti automatici per tutti i sistemi operativi e software di terze parti. 

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
I tuoi Systems-2 Utilizzo degli aggiornamenti automatici per tutti i sistemi operativi e software di terze parti. 

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-2 Utilizzo degli aggiornamenti automatici per tutti i sistemi operativi e software di terze parti. 

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con una pianificazione regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

api-gw-associato-con-waf

AWS WAF consente di configurare un set di regole (denominato lista di controllo accessi Web (ACL Web)) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite da te. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

codebuild-project-envvar-awscred-check

Assicurati che le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non esistano negli ambienti di progetto AWS Codebuild. Non memorizzare queste variabili in testo chiaro. La memorizzazione di queste variabili in testo non crittografato comporta l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

codebuild-project-source-repo-url-check

Garantire laGitHubo l'URL del repository di origine Bitbucket non contiene token di accesso personali, nome utente e password negli ambienti di progetto AWS Codebuild. Utilizzare OAuth anziché token di accesso personali o un nome utente e una password per concedere l'autorizzazione per accedereGitHubo repository Bitbucket.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

route-to-igw senza restrizioni

Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

cmk-backing-key-rotation-enabled

È possibile attivare la rotazione delle chiavi per assicurarsi che le chiavi siano ruotate una volta che hanno raggiunto la fine del periodo di crittografia.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

encrypted-volumes

Poiché possono esistere dati sensibili e per aiutare a proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

azioni iam-inline-policy-blocked-kms-actions

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette la configurazioneblockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle Best Practices AWS Foundational Security Best Practices: true),RequireNumbers(valore delle Best Practices AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione dell'autenticazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano associate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza richiedere un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

kms-cmk-not-scheduled-for-deletion

Per proteggere i dati inattivi, assicurati che le chiavi CMK necessarie per il cliente non siano pianificate per l'eliminazione in AWS Key Management Service (AWS KMS). Poiché a volte è necessaria l'eliminazione della chiave, questa regola può aiutare a controllare tutte le chiavi pianificate per l'eliminazione, nel caso in cui una chiave sia stata pianificata involontariamente.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-enhanced-monitoring-enabled

È possibile attivare Amazon RDS (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon RDS (Amazon RDS) abbiano abilitata la protezione contro l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-instance-public-access-check

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-multi-az-support

Il supporto multi-AZ in Amazon Relational Database Service (Amazon RDS) fornisce una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura fisicamente distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-snapshots-public-prohibited

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

restricted-common-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per l'utilizzo di SSL (Secure Socket Layer). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'utente e operazioni involontarie dell'utente.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

secretsmanager-segreto-rotazione periodica

Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati nel numero di giorni specificato negli ultimi giorni. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso. Questa regola permette l'impostazione facoltativamaxDaysSinceParametro di rotazione Config impostazione predefinita: 90 giorni). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

secretsmanager-segreto-inutilizzato

Questa regola garantisce l'accesso ai segreti di AWS Secrets Manager entro un determinato numero di giorni. Se vengono identificati questi segreti inutilizzati, è necessario disattivarli e/o rimuoverli, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola permette l'impostazione facoltativaunusedForDaysparametro (Config Default: 90 giorni). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate sui Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso a risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi Systems-3 Implementa configurazioni di sicurezza per tutte le risorse hardware e software. 

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
I tuoi dintorni - 1 Scopri chi è nella tua rete. Mantenere gli inventari delle connessioni di rete (account utente, fornitori, partner commerciali, ecc.).

eip-attached

Tale regola garantisce che gli IP elastici assegnati a un Amazon Virtual Private Cloud (Amazon VPC) siano collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) o alle interfacce Elastic Network in uso. Questa regola aiuta a monitorare gli EIP inutilizzati nel tuo ambiente.
I tuoi dintorni - 1 Scopri chi è nella tua rete. Mantenere gli inventari delle connessioni di rete (account utente, fornitori, partner commerciali, ecc.).

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Il tuo ambiente circostante-1 Scopri chi è nella tua rete. Mantenere gli inventari delle connessioni di rete (account utente, fornitori, partner commerciali, ecc.).

vpc-network-acl-unused-check

Questa regola garantisce l'utilizzo degli elenchi di controllo degli accessi alla rete Amazon Virtual Private Cloud (VPC). Il monitoraggio degli elenchi di controllo degli accessi alla rete non utilizzati può aiutare nell'inventario accurato e nella gestione dell'ambiente.
I tuoi dintorni - 2 Sfrutta l'autenticazione a più fattori per tutti gli utenti, a partire da utenti con accesso privilegiato, amministrativo e remoto. 

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
I tuoi dintorni - 2 Sfrutta l'autenticazione a più fattori per tutti gli utenti, a partire da utenti con accesso privilegiato, amministrativo e remoto. 

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Il tuo ambiente circostante-2 Sfrutta l'autenticazione a più fattori per tutti gli utenti, a partire da utenti con accesso privilegiato, amministrativo e remoto. 

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Il tuo ambiente circostante-2 Sfrutta l'autenticazione a più fattori per tutti gli utenti, a partire da utenti con accesso privilegiato, amministrativo e remoto. 

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
I tuoi dintorni - 3 Concedere autorizzazioni di accesso e amministratore in base aneed-to-knowe il privilegio minimo. 

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
I tuoi dintorni - 3 Concedere autorizzazioni di accesso e amministratore in base aneed-to-knowe il privilegio minimo. 

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Azione»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
I tuoi dintorni - 3 Concedere autorizzazioni di accesso e amministratore in base aneed-to-knowe il privilegio minimo. 

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
I tuoi dintorni - 3 Concedere autorizzazioni di accesso e amministratore in base aneed-to-knowe il privilegio minimo. 

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
I tuoi dintorni - 3 Concedere autorizzazioni di accesso e amministratore in base aneed-to-knowe il privilegio minimo. 

s3-bucket-policy-grantee-check

Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Tale regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente.
Il tuo ambiente circostante-4 Sfrutta password univoche per tutti gli account utente. 

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore delle Best Practices AWS Foundational Security Best Practices: true),RequireNumbers(valore delle Best Practices AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

encrypted-volumes

Poiché possono esistere dati sensibili e per aiutare a proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Il tuo Data-1 Scopri la modalità di protezione dei dati. 

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-1 Scopri come i tuoi dati sono protetti. 

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

acm-certificate-expiration-check

Assicurati che l'integrità della rete sia protetta assicurando che i certificati X509 vengano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore perdaysToExpiration(Valore AWS Foundational Security Best Practices: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elbv2-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

cloud-trail-cloud-watch-logs-enabled

Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono dettagli sull'attività delle chiamate API all'interno dell'account AWS.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

cloudtrail-s3-dataevents-enabled

La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

vpc-flow-logs-enabled

I log di flusso VPC forniscono record dettagliati per informazioni sul traffico IP da e verso le interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

wafv2-logging abilitato

Per facilitare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (OpenSearchDomini Service).
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

encrypted-volumes

Poiché possono esistere dati sensibili e per aiutare a proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

rds-snapshot-encrypted

Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

S3-bucket-server-side-encryption-enabled

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il tuoSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-bucket-ssl-requests-only

Per proteggere i dati durante il trasporto, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano richieste per l'utilizzo di SSL (Secure Socket Layer). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizi e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

ec2-instances-in-vpc

Distribuisci le istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC Amazon, senza richiedere un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda in Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

rds-instance-public-access-check

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

rds-snapshots-public-prohibited

Gestisci l'accesso a risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

restricted-common-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non permettere l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle tue risorse aiuta a limitare l'accesso remoto.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-bucket-level-public-access-vietato

Gestisci l'accesso a risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso a risorse nel cloud AWS assicurando che le porte comuni siano limitate sui Gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso a risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0) l'accesso remoto può essere controllato ai sistemi interni.
Il tuo Data-2 Scopri cosa sta succedendo sulla tua rete. gestisci componenti di rete e perimetrali, componenti host e dispositivi,data-at-reste attività in transito e comportamento degli utenti. 

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
Il tuo Data-3 Protezione del sistema dei nomi di dominio. 

abilitato alb-waf

Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

elb-deletion-protection-enabled

Questa regola assicura che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

rds-instance-deletion-protection-enabled

Assicurati che le istanze di Amazon RDS (Amazon RDS) abbiano abilitata la protezione contro l'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'utente e operazioni involontarie dell'utente.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-4 Stabilire backup automatici e ridondanze regolari dei sistemi chiave. 

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Il tuo Data-5 Sfrutta le protezioni per i backup, tra cui sicurezza fisica, crittografia e copie offline. 

backup-recovery-point crittografato

Assicurati che la crittografia sia abilitata per i punti di ripristino di AWS Backup. Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
Il tuo Data-5 Sfrutta le protezioni per i backup, tra cui sicurezza fisica, crittografia e copie offline. 

backup-recovery-point-manual-deletion-disabilitato

Assicurati che i punti di ripristino di AWS Backup dispongano di una policy basata sulle risorse che impedisce l'eliminazione dei punti di ripristino. L'utilizzo di un criterio basato sulle risorse per impedire l'eliminazione dei punti di ripristino può aiutare a prevenire l'eliminazione accidentale o intenzionale.
La tua risposta alle crisi -2 Conduci lo sviluppo di una struttura di reporting interna per rilevare, comunicare e contenere gli attacchi. 

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
La tua risposta alle crisi -2 Conduci lo sviluppo di una struttura di reporting interna per rilevare, comunicare e contenere gli attacchi. 

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea in modo automatico uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) fornisce capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Tale ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O Amazon EBS e l'altro traffico proveniente dall'istanza.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

redshift-backup-enabled

Per aiutarti con i processi di backup dei dati, assicurati che i tuoi cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB di modifiche dei dati per nodo, a seconda della condizione che si verifica per prima.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire la disponibilità dei dati.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il semplice recupero dopo errori dell'utente e operazioni involontarie dell'utente.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

aurora-risorse-protected-by-backup-plan

Per aiutarti con i processi di backup dei dati, assicurati che le tue risorse Amazon Aurora facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

controllo di backup-plan-min-frequency-and-min-retention

Per aiutare con i processi di backup dei dati, assicurati che il piano AWS Backup sia impostato per una frequenza e una conservazione minime. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredFrequencyValue(impostazione predefinita di Config: 1),requiredRetentionDays(impostazione predefinita di Config: 35) erequiredFrequencyUnit(Config default: giorni) parametri. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

backup-recovery-point-minimum-retention check

Per aiutare con i processi di backup dei dati, assicurati che i punti di ripristino di AWS Backup abbiano un periodo di conservazione minimo impostato. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup. Questa regola permette la configurazionerequiredRetentionDays(configurazione predefinita: 35) parametro. Il valore effettivo dovrebbe riflettere i requisiti della tua organizzazione.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

dynamodb-risorse-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

ec2-Resources-protectd-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le risorse Amazon Elastic Compute Cloud (Amazon EC2) siano parte integrante di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-1 Utilizzare una soluzione di backup che esegue automaticamente e continuamente il backup delle configurazioni critiche di sistema e dati.

fsx-resources-protected-by-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon FSx facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi sui backup.
Avvio: Cose da fare First-2 È necessario richiedere la Multi-Factor Authentication (MFA) per accedere ai sistemi quando possibile. L'MFA dovrebbe essere richiesto a tutti gli utenti, ma iniziare con utenti con accesso privilegiato, amministrativo e remoto.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce l'abilitazione a più fattori (MFA) per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
Avvio: Cose da fare First-2 È necessario richiedere la Multi-Factor Authentication (MFA) per accedere ai sistemi quando possibile. L'MFA dovrebbe essere richiesto a tutti gli utenti, ma iniziare con utenti con accesso privilegiato, amministrativo e remoto.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
Avvio: Cose da fare First-2 È necessario richiedere la Multi-Factor Authentication (MFA) per accedere ai sistemi quando possibile. L'MFA dovrebbe essere richiesto a tutti gli utenti, ma iniziare con utenti con accesso privilegiato, amministrativo e remoto.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Avvio: Cose da fare First-2 È necessario richiedere la Multi-Factor Authentication (MFA) per accedere ai sistemi quando possibile. L'MFA dovrebbe essere richiesto a tutti gli utenti, ma iniziare con utenti con accesso privilegiato, amministrativo e remoto.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
Avvio: Cose da fare First-3 Abilitare gli aggiornamenti automatici quando possibile. Sostituisci sistemi operativi, applicazioni e hardware non supportati. Testare e distribuire rapidamente le patch.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare con l'identificazione e la documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
Avvio: Cose da fare First-3 Abilitare gli aggiornamenti automatici quando possibile. Sostituisci sistemi operativi, applicazioni e hardware non supportati. Testare e distribuire rapidamente le patch.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
Avvio: Cose da fare First-3 Abilitare gli aggiornamenti automatici quando possibile. Sostituisci sistemi operativi, applicazioni e hardware non supportati. Testare e distribuire rapidamente le patch.

elastic-beanstalk-managed-updates-enabled

L'abilitazione degli aggiornamenti della piattaforma gestita per un ambiente Amazon Elastic Beanstalk garantisce l'installazione delle più recenti correzioni, aggiornamenti e funzionalità della piattaforma disponibili per l'ambiente. Mantenersi aggiornati con l'installazione delle patch è una buona pratica nella protezione dei sistemi.
Avvio: Cose da fare First-3 Abilitare gli aggiornamenti automatici quando possibile. Sostituisci sistemi operativi, applicazioni e hardware non supportati. Testare e distribuire rapidamente le patch.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamente ilpreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.

Modello

Il modello è disponibile suGitHub: Best practice operative per CISA Cyber Essentials.