Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CMMC – Livello 1
I Conformance Pack forniscono un framework di conformità generico progettato per consentire all'utente di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra la Cybersecurity Maturity Model Certification (CMMC) 2.0 Level 1 e le regole Config gestite AWS . Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli CMMC 2.0 Level 1. Un controllo CMMC 2.0 Livello 1 può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.
| ID controllo | Descrizione del controllo | AWS Regola di Config | Linea guida |
|---|---|---|---|
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Le credenziali vengono verificate per i dispositivi, gli utenti e i processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate come specificato dalla politica organizzativa. La modifica delle chiavi di accesso a intervalli regolari è una best practice di sicurezza. Riduce il periodo di attività di una chiave di accesso e l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione delle chiavi di accesso (valore di configurazione predefinito: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'associazione di un profilo dell'istanza alle istanze può facilitare la gestione delle autorizzazioni e del privilegio minimo. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. Avere più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. Questa regola consente di impostare il parametro. blockedActionsPatterns (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con i permessi e le autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente. Collocare gli utenti in gruppi in base ai permessi associati o alla funzione lavorativa è un modo per incorporare il privilegio minimo. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per consentire azioni bloccate su AWS tutte le chiavi del servizio di gestione delle chiavi. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. Questa regola consente di impostare il blockedActionsPatterns parametro. (Valore delle migliori pratiche di sicurezza di AWS base: kms:Decrypt, kms: From). ReEncrypt I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Assicurati che le azioni IAM siano limitate alle sole azioni necessarie. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se rilevi credenziali inutilizzate, devi disabilitarle e/o rimuoverle, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore su maxCredentialUsage Age (Config Default: 90). Il valore effettivo deve essere conforme alle policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Questa regola garantisce che AWS i segreti di Secrets Manager abbiano la rotazione abilitata. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione del segreto. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Questa regola garantisce che AWS i segreti di Secrets Manager siano ruotati correttamente in base alla pianificazione di rotazione. La rotazione dei segreti secondo una pianificazione regolare può abbreviare il periodo di attività di un segreto e ridurre potenzialmente l'impatto aziendale in caso di compromissione. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| AC.L1-3.1.1 | Limitazione dell'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto degli utenti autorizzati o ai dispositivi (compresi altri sistemi informativi). | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che un utente, un ruolo IAM o un gruppo IAM ( AWS Identity and Access Management) non disponga di una policy in linea per controllare l'accesso a sistemi e asset. AWS consiglia di utilizzare politiche gestite anziché politiche in linea. Le policy gestite consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega della gestione delle autorizzazioni. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti dichiarati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica sulle password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo che le policy contengano «Effetto»: «Consenti» con «Azione»: «*» rispetto a «Resource»: «*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | L'accesso ai sistemi e agli asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso associate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Create e utilizzate invece sistemi basati sui ruoli Account AWS per contribuire a incorporare il principio della minima funzionalità. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a limitare i permessi e le autorizzazioni di accesso, assicurando che gli utenti siano membri di almeno un gruppo. Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Questa regola garantisce che le policy di AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e asset. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le possibilità che un'identità riceva o mantenga privilegi eccessivi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| AC.L1-3.1.2 | Limitazione dell'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò può consentire un accesso non intenzionale alle applicazioni o ai server. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso al AWS cloud assicurando che le istanze di Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso al AWS cloud assicurando che i nodi master del cluster Amazon EMR non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso al AWS cloud assicurando che alle sottoreti Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze Amazon Elastic Compute Cloud (EC2) lanciate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| AC.L1-3.1.20 | Verifica e controllo/limitazione delle connessioni ai sistemi informativi esterni e del relativo utilizzo. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono Account AWS le informazioni relative all'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | Usa Amazon CloudWatch per raccogliere e gestire centralmente l'attività degli eventi di registro. L'inclusione dei AWS CloudTrail dati fornisce dettagli sull'attività delle chiamate API all'interno del tuo Account AWS. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | AWS CloudTrail registra le azioni AWS della console di gestione e le chiamate API. È possibile identificare gli utenti e gli account chiamati AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. CloudTrail consegnerà i file di registro da tutte le AWS regioni al tuo bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS avvia una nuova regione, creerà lo stesso percorso nella nuova regione. CloudTrail Di conseguenza, riceverai file di log contenenti l'attività delle API per la nuova regione senza intraprendere alcuna azione. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione di log degli accessi al server Amazon Simple Storage Service (Amazon S3) è un metodo per monitorare la rete a fronte di potenziali eventi di cibersicurezza. Gli eventi sono monitorati mediante l'acquisizione dei record dettagliati relativi alle richieste effettuate a un bucket Amazon S3. Ogni record del log di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono richiedente, nome del bucket, ora della richiesta, azione della richiesta, stato della risposta e codice di errore, se pertinente. | |
| IA.L1-3.5.1 | Individuazione degli utenti del sistema informativo, dei processi che agiscono per conto degli utenti o dei dispositivi. | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) sugli ACL web regionali e globali. AWS La registrazione WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla AWS risorsa, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | I permessi e le autorizzazioni di accesso possono essere gestiti e incorporati con i principi del privilegio minimo e della separazione dei compiti, abilitando Kerberos per i cluster Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. All'interno del realm, un server Kerberos è noto come centro di distribuzione delle chiavi (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC effettua l'autenticazione emettendo dei ticket. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy IAM sulle password dell'organizzazione. Soddisfano o superano i requisiti indicati dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza delle password. Questa regola consente di impostare facoltativamente RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24) e MaxPasswordAge (AWS Foundational Security Best Practices value: 90) per il tuo IAM Politica sulle password. I valori effettivi devono riflettere le policy dell'organizzazione. | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Abilita questa regola per limitare l'accesso alle risorse nel AWS cloud. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Riduci gli incidenti dovuti alla compromissione degli account richiedendo l'autenticazione a più fattori per gli utenti. | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. La tecnologia MFA aggiunge un ulteriore livello di protezione alle credenziali di accesso. Richiedendo agli utenti di effettuare l'autenticazione a più fattori, puoi ridurre gli incidenti dovuti alla compromissione degli account e impedire l'accesso ai dati sensibili agli utenti non autorizzati. | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che la MFA hardware sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| IA.L1-3.5.2 | Autenticazione (o verifica) dell'identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi dell'organizzazione. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che l'MFA sia abilitata per l'utente root. L'utente root è l'utente più privilegiato in un Account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per le credenziali di accesso. Richiedendo l'MFA per l'utente root, è possibile ridurre i casi di compromissione. Account AWS | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che i tuoi Elastic Load Balancer (ELB) siano configurati per eliminare le intestazioni http. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che il AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | AWS WAF consente di configurare un insieme di regole (chiamate elenco di controllo degli accessi Web (Web ACL)) che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. La fase Gateway Amazon API deve essere associata a un ACL web WAF per garantire la protezione da attacchi dannosi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso al AWS cloud assicurando che le istanze di replica DMS non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso al AWS cloud assicurandoti che le istantanee EBS non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini Amazon OpenSearch Service (OpenSearch Service) si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio di OpenSearch servizio all'interno di un Amazon VPC consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Per la possibile presenza di dati sensibili e per proteggere i dati in transito, assicurati che la crittografia sia abilitata per Elastic Load Balancing. Usa AWS Certificate Manager per gestire, fornire e distribuire certificati SSL/TLS pubblici e privati con AWS servizi e risorse interne. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Non consentire il traffico in entrata (o remoto) da 0.0.0.0/0 alla porta 22 sulle risorse contribuisce a limitare l'accesso remoto. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i gateway Internet siano collegati solo a Amazon Virtual Private Cloud (Amazon VPC) autorizzato. I gateway Internet consentono l'accesso bidirezionale a Internet da e verso Amazon VPC, il che può potenzialmente portare all'accesso non autorizzato alle risorse Amazon VPC. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS Cloud assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Questa configurazione non richiede un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane in modo sicuro all'interno del cloud. AWS Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che le tabelle di routing di Amazon EC2 non abbiano percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno degli Amazon VPC può ridurre gli accessi non intenzionali all'interno del tuo ambiente. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che i cluster Amazon Redshift richiedano la crittografia TLS/SSL per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri blockedPort1 - blockedPort5 (valori di configurazione predefiniti: 20,21,3389,3306,4333). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola consente di impostare facoltativamente (Config Default: True), ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True) e i restrictPublicBuckets parametri blockPublicAcls (Config Default: True). I valori effettivi devono riflettere le policy dell'organizzazione. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che AWS i documenti di Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita verso le risorse. AWS Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse. AWS | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel AWS cloud assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse in un gruppo di sicurezza da Internet (0.0.0.0/0) è possibile controllare l'accesso remoto a sistemi interni. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Gestisci l'accesso al AWS cloud assicurandoti che i domini di Amazon OpenSearch Service si trovino all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un dominio Amazon OpenSearch Service all'interno di un Amazon VPC consente una comunicazione sicura tra Amazon OpenSearch Service e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.L1-3.13.1 | Monitoraggio, controllo e protezione delle comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai limiti esterni e ai limiti interni chiave dei sistemi informativi. | Assicurati che node-to-node la crittografia per Amazon OpenSearch Service sia abilitata. ode-to-node La crittografia N abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| SI.L1-3.14.1 | Identificazione, segnalazione e correzione tempestiva dei difetti delle informazioni e del sistema informativo. | Amazon avvisa CloudWatch quando una metrica supera la soglia per un determinato numero di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore per alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Il valore effettivo deve riflettere le operazioni di allarme per il tuo ambiente. | |
| SI.L1-3.14.1 | Identificazione, segnalazione e correzione tempestiva dei difetti delle informazioni e del sistema informativo. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.L1-3.14.1 | Identificazione, segnalazione e correzione tempestiva dei difetti delle informazioni e del sistema informativo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi. AWS Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie AWS , Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni Partner. AWS | |
| SI.L1-3.14.2 | Implementazione della protezione da codice dannoso in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e apprendimento automatico per identificare attività impreviste, non autorizzate e dannose all'interno del tuo AWS ambiente cloud. | |
| SI.L1-3.14.5 | Esecuzione di scansioni periodiche del sistema informativo e di scansioni in tempo reale dei file provenienti da fonti esterne, man mano che i file vengono scaricati, aperti o eseguiti. | La scansione delle immagini di Amazon Elastic Container Repository (ECR) aiuta a identificare le vulnerabilità software nelle immagini dei container. L'abilitazione della scansione delle immagini sui repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. |
Modello
Il modello è disponibile su GitHub: Operational Best Practices for CMMC 2.0 Level 1
