Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per CMMC Level 1
I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la piena conformità a uno standard di governance o conformità. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra la Cybersecurity Maturity Model Certification (CMMC) Level 1 eAWSRegole gestite dalla Config. Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli CMMC Level 1. Un controllo CMMC Level 1 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.
Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrein)
| ID controllo | Descrizione del controllo | Regola AWS Config | Linee guida di |
|---|---|---|---|
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso con un programma regolare è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non sono ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che non è possibile accedere pubblicamente alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I profili di istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservice (OpenSearchI domini di servizio) si trovano in Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nell'Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, impedendo alle policy di contenere azioni bloccate su tutte le chiavi di AWS Key Management Service. Avere più privilegi del necessario per completare un compito può violare il principio del minimo privilegio e la separazione dei doveri. Questa regola permette l'impostazione della regolablockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, assicurando che i gruppi IAM abbiano almeno un utente IAM. L'inserimento di utenti IAM in gruppi in base alle autorizzazioni o alla funzione di lavoro associate è un modo per incorporare il privilegio minimo. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per consentire azioni bloccate su tutte le chiavi di AWS Key Management Service. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni, il rollback e la delega di gestione delle autorizzazioni. Questa regola permette l'impostazione della regolablockedActionsPatternsParametro . (Valore Best Practices di AWS Foundational Security: KMS:Decrypt, kms:ReEncryptDa). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) è abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o in remoto) il traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Questa regola garantisce che i segreti di AWS Secrets Manager siano stati ruotati correttamente in base al programma di rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo in cui un segreto è attivo e potenzialmente ridurre l'impatto aziendale in caso di compromissione. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| AC.1.001 | Limitare l'accesso al sistema informativo agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati o dispositivi (inclusi altri sistemi informativi). | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non sono ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che il metodo Instance Metadata Service versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che non è possibile accedere pubblicamente alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservice (OpenSearchI domini di servizio) si trovano in Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nell'Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia l'utilizzo delle policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» su «Risorsa»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) è abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o in remoto) il traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso al cloud AWS abilitando s3_ bucket_policy_grantee_check. Questa regola verifica che l'accesso concesso dal bucket Amazon S3 è limitato da qualsiasi principale di AWS, dagli utenti federati, dai principali dei servizi, dagli indirizzi IP o dagli ID Amazon Virtual Private Cloud (Amazon VPC) forniti dall'utente. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| AC.1.002 | Limita l'accesso al sistema informativo ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che non è possibile accedere pubblicamente alle istanze Amazon Elastic Compute Cloud (Amazon EC2). Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o in remoto) il traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa della regolaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| AC.1.003 | Verifica e controllo/limita le connessioni e l'uso di sistemi informativi esterni. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La raccolta di eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Utilizzo di AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati forniscono i dettagli dell'attività delle chiamate API all'interno dell'account AWS. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Per facilitare la registrazione e il monitoraggio nel tuo ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che vengono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente. | |
| IA.1.076 | Identificare gli utenti del sistema informativo, i processi che agiscono per conto degli utenti o dei dispositivi. | Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ciascuna richiesta. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Le autorizzazioni e le autorizzazioni di accesso possono essere gestite e incorporate con i principi del minimo privilegio e della separazione dei compiti, abilitando i cluster Kerberos for Amazon EMR. In Kerberos, i servizi e gli utenti che devono effettuare l'autenticazione sono denominati principali. I principali si trovano in un realm Kerberos. Nel realm, un server Kerberos è denominato Key Distribution Center (KDC). Fornisce un mezzo per l'autenticazione dei principali. Il KDC si autentica emettendo dei ticket per l'autenticazione. Il KDC gestisce un database dei principali nel realm, le relative password e altre informazioni amministrative su ogni principale. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dal Benchmark AWS Foundations Centers for Internet Security (CIS) per la conformità della password. Questa regola permette l'impostazione facoltativa.RequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(valore AWS Foundational Security Best Practices: true),RequireNumbers(valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) è abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| IA.1.077 | Autenticare (o verificare) le identità di tali utenti, processi o dispositivi, come prerequisito per consentire l'accesso ai sistemi informativi organizzativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati per eliminare le intestazioni http. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive nell'ambiente. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AWS WAF consente all'utente di configurare un set di regole (chiamato lista di controllo accessi Web (Web ACL)) che consente, blocca o conteggia le richieste Web in base alle regole di sicurezza Web personalizzabili e le condizioni definite dall'utente. Assicurati che lo stadio Amazon API Gateway sia associato a un WAF Web ACL per proteggerlo da attacchi dannosi | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AmazonCloudWatchavvisa quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non sono ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchservice (OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nell'Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Garantirenode-to-nodecrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeLa crittografia abilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC). Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Non consentire l'ingresso (o in remoto) il traffico da 0.0.0.0/0 alla porta 22 sulle risorse aiuta a limitare l'accesso remoto. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nell'Amazon VPC senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i gateway Internet siano collegati solo ad Amazon Virtual Private Cloud autorizzato (Amazon VPC). I gateway Internet consentono l'accesso a Internet bidirezionale da e verso Amazon VPC che può potenzialmente portare a un accesso non autorizzato alle risorse Amazon VPC. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Distribuisci le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi nell'Amazon VPC. Con questa configurazione, non è necessario un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che le tabelle dei percorsi Amazon EC2 non dispongano di percorsi illimitati verso un gateway Internet. La rimozione o la limitazione dell'accesso a Internet per i carichi di lavoro all'interno di Amazon VPC può ridurre l'accesso involontario all'interno dell'ambiente. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativa della regolaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS permettendo agli utenti autorizzati, ai processi e ai dispositivi l'accesso solo a bucket Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Per proteggere i dati durante il transito, assicurati che i bucket Simple Storage Service (Amazon S3) richiedano l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo filtri stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| SC.1.175 | Monitorare, controllare e proteggere le comunicazioni organizzative (cioè informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni. | |
| SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AmazonCloudWatchavvisa quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente. | |
| SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS. | |
| SI.1.210 | Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e del sistema informativo. | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
| SI.1.211 | Fornire protezione dal codice dannoso in luoghi appropriati all'interno dei sistemi informativi organizzativi. | AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS. |
Modello
Il modello è disponibile suGitHub: Best practice operative per CMMC Level 1
